IvkovicD
-
Gesamte Inhalte
496 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von IvkovicD
-
-
...jetzt seid mal wieder ernst....
sowas auch
:D
Dejan
-
Original geschrieben von Shiba
Des weiteren sollen alles Arbeitsstationen Zeitsyncronisiert werden. Welche Lösung ist hier sinnvoll?
hi Frank,
ich gehe davon aus, dass dein Kunde eine Domäne am laufen hat, dann hat sich das Thema mit der "time sync" von selbst erledigt, da der W32Time Dienst auf jeder W2K/XP-Pro mit dem DC synchronisiert, sobald der Rechner hochgefahren wird.
Gruß
Dejan
-
Hi Sascha,
wenn eine seperate Messagebox raufkommt, muss es eine Applikation aufgerufen (generiert) haben, ersetzt mal deine Echos mit "pause" und beobachte, wann es genau erscheint.
Was passiert, wenn du das .cmd lokal kopierst und dann startest?
Kannst alle Befehle aus dem .CMD (falls möglich) auch manuell ausführen, werden dann diese ausgeführt....?
Was hat den der Client nicht/zuviel, was der andere nicht hatzuviel hat (ich weiss, absolut bl. Frage, aber einen Gedanken wert....). Warum führt er das aus?
gruß
Dejan
-
hi,
in der Default Domain Policy GPO unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie
die Richtlinie "Anmeldeereignisse überwachen" aktivieren.
Ansonsten hier zwei Links, die dir beim suchen helfen werden:
http://www.microsoft.com/germany/ms/security/guidance/modules/secmod144.mspx
http://support.microsoft.com/default.aspx?scid=kb;de;300958
gruß
Dejan
-
ja, der W2K-DHCP unterstützt das ebenfalls.
http://support.microsoft.com/default.aspx?scid=kb;en-us;240247
-
Original geschrieben von blub
- abgesicherter Modus mit netzwerk gestartet
hi blub,
der Abfolge nach sehe ich nur hier einen Unterschied. Muss mir mal morgen das genauer anschauen...
gruß
Dejan
-
hallo flex,
wenn du eine native AD-Domäne hast, benötigen die DCs nicht mehr den Port 135, im mixed Mode aber schon noch.
Ansonsten zwei nette Links, die das ganze gut erklären:
http://support.microsoft.com/default.aspx?scid=kb;en-us;179442
http://support.microsoft.com/default.aspx?scid=kb;en-us;832017
gruß
Dejan
-
Original geschrieben von white-horse
- W2k Citrix Terminal Server
- W2k Adv. SQL Datenbankserver
- W2k DomainController
- Novell Fileserver
- Linux Webserver
- Linux Fileserver
hi Patrick,
ich fange gleich mit einer phrase an: my2cents.
back to business: bei deinen diensten, die du oben nennst, fällt mit nur ein dienst auf, der so richtig knackig mit einer (großen) firewall abgesichert werden kann-> der webdienst. die anderen, auch aus gründen der performance, sind packet/statefull inspection klassiker. dafür eine mordsfirewall hinhängen ist kein guter ansatz (ausser für den hersteller, der verdient sich eine goldene nase an euch).
ich würde mehrere ansätze verwenden (die meisten wohl schon vorhanden), lokale packetfilter, ssl und IPSec für die client/server kommunikation, obligatorische virus/spam tools, eine kombination aus switch/router mit guten packet/accessfiltern (cisco catalyst)
damit hast du einen möglichen engpass schon vorher abgeblockt, geschweige denn von redundanten HP-Firewalls für 250 benutzer...(teuer und vorbeikonzipiert)
mehr infos?
gruß
dejan
-
hi blub,
schau mal diesen schlüssel an:
\\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language
da hast du zwei keys
InstallLanguage
und noch einen (bin mit meinem simpad unterwegs, der hat das net)
dann noch:
http://support.microsoft.com/default.aspx?scid=kb;en-us;246664
gruß
dejan
-
Original geschrieben von thork
ich habe ihm administratorrechte gegeben und trotzdem kann er die ip adresse auf einem win xp pro client nicht ändern, weil ihm angeblich die rechte fehlen. lokal exisitiert der benutzer auf dem xp pro rechner mit admin rechten.
hi,
ich lese raus, dass der betreffende Benutzer in der Domäne Adminrechte hat, ebenso ein lokaler Benutzer (selber Name) auf der XP Pro. Allerdings greifst du wohl mit dem Domänenbenutzer auf die XP Pro zu, und da hat er eben keine Adminrechte, weil der Domänenbenutzer nicht der lokale Benutzer ist (Namen sind Schall und rauch).
Nimm den Domänen-Benutzer (wenn du willst) in die lokale Admingruppe der XP pro auf, dann gehts
gruß
Dejan
-
genausowenig,
allerdings heist die Datei dann config.pol, nicht NTconfig.pol.
gruß
Dejan
-
hi Sascha,
hast du schon mal überprüft, wer (auf der NTFS-Ebene) überhaupt berechtigt ist, diese *.cmd auszuführen? Weiterhin prüf mal nach, was die CMDs genau machen, greifen die evtl. auf Daten zu, die in deinem manuellen Share gar nicht existieren?
gruß
Dejan
-
anderer Ansatz:
30000 Dokumente sind ne Menge Holz, da lohnt sich doch das drum-herum.
Warum liest du die 30000 Dokuemente nicht in eine Accessdatenbank ein (nur die Links/Pfade-Dateinamen, versteht sich), und läßt daraus gesteuert (d.h. mal einen Schwung zum Drucker, und danach warten, bis der Drucker sich wieder meldet) das Drucken ablaufen. Irgendwo in den MSDN hab ich mal ein Konstrukt gesehen, dass genau sowas macht (war ein Mehrzeiler ~ 20 oder so). Vielleicht findest du jemanden, der dir das schnell mal codet für nen Appel (und nen Dutzend Eier :D ) und danach verkaufst du das an weitere Notare und machst Sie alle glücklich (hmmmmm...10% auf mein Konto?) :p ;) :D
hab ein wenig gesucht:
http://support.microsoft.com/default.aspx?scid=kb;en-us;154569
oder gleich ein kleines Programm aussen rum...
http://support.microsoft.com/default.aspx?scid=kb;en-us;178784
my2cents
Gruß
Dejan
-
Original geschrieben von blub
einmal auf start drücken -> ganz links :D
btw: ich suche was, wo ich schnell die Sprachversion von Windows sehe
cu
blub
welche ?
vom OS oder vom Gebietsschema?
gruß
Dejan
-
hi kanal,
Konten sperren sich seltenst selber, irgendwas versucht immer vorher mit falschen passwort (etc) unter dem Konto sich irgendwo anzumelden, bis die Domäne den Riegel vorschiebt.
Schalte mal ein entsprechendes Audit auf deinen Server ein (in der "Default Domain GPO") welches explizit mitlogged, wenn jemand/etwas Benutzerkonten verwendet (könnte etwas). Das wäre mal ein erster Versuch, das Problem zu kanalisieren (ups :D)
Ansonsten wäre es interessant zu wissen, was diese vier 98er machen, bevor sie gesperrt werden (bestimmte Applikation am laufen, Mittagspause (Idlezeit), usw.)
gruß
Dejan
-
Original geschrieben von DeLiRiUm
nun müßte man das noch irgendwie in einem Textfenster angezeigt bekommen.
ein bisschen präziser...
wann soll es genau erscheinen, soll der Benutzer eine Taste bestätigen darauf, villst du irgendwas abhängig davon starten?
gruß
Dejan
-
damals schon, als es nur NT gab, heute kannst du das Tool auch für W2K-> W2K und weiter rauf benutzen...
http://support.microsoft.com/default.aspx?scid=kb;en-us;326480
http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/w2kadmt.mspx
Restructure Windows 2000. You can use ADMT to reorganize your Windows 2000 domain structure. As when you migrate from Windows NT to Windows 2000, migration within Windows 2000 also lets you consolidate multiple domains into fewer domains, and possibly a single domain.gruß
Dejan
-
hi DeLiRiUm,
'ver' in der Konsole...
gruß
Dejan
-
Hi unowen,
NT Computer reagiert gar nicht auf GPOs, da musst du weiterhin die Policies verwenden, die es unter der NT Umgebung gab/gibt (poledit.exe, *.adm Templates, NTConfig.pol, tattoing, etc.)
NT Benutzer - du meinst eher Benutzer auf NT Rechner (siehe oben).
gruß
Dejan
-
Original geschrieben von georgianagent
Daraufhin wurde nochmal die Leitung überprüft und das Prob wurde endlich gelöst.
...tststs, ein Schelm wer dabei böses denkt....
-
nope, nicht so komplex,
die Vertrauensstellung erleichert die Benutzerverwaltung über Domänengrenzen hinweg, das bedeutet nicht, dass du extra Benutzer dafür anlegen musst. Du greifst in so einem Fall direkt auf die UserDB der entsprechenden Domäne, um z.B. Zugriffsberechtigungen zu vergeben, den Rest erledigt dein LSA, indem er mit den betreffenden Istanzen verbindung annimmt (auch mit der entprechenden Fremddomäne im endeffekt).
Vom Zugriff her ist das System ähnlich, wenn du Unterdomänen hast, und aus diesen Domänen Benutzerkonten benutzt, um Zugriff in deiner Haupt-Domäne zu regeln.
Wenn du eine Vertrauensstellung erstellt hast, kannst du auf die Benutzer/gl-Gruppen der anderen Domäne zugreifen, mehr ist das im ersten Schritt nicht.
Zur zweiten Frage: Wenn die Verbindung unterbrochen ist, ist die fehlende Authentisierung zur anderen Domäne nicht das Problem, da ja die Verbindung zur Ressource so oder so nicht existiert. In eurem Fall ist das aber auch kein Problem, weil die Authentisierung geschieht immer in eurer Domäne direkt (wo die User sind, die zu authentisieren sind), und das geht unabhängig des DSL-Status.
Es fehlen immer nur die Dienste, die durch die Netzwerktrennung verursacht werden (hier: Zugriff Exchange)
gruß
Dejan
-
Original geschrieben von derAku
d.h. wenn die fremde Domäne meiner Domäne Vertrauenstellung gibt, dann speichert meine Domäne die Passwörter ? (oder fragt die fremde Domäne dann nimmamehr? oder merkt sich die fremde Domäne die Passwörter und fragt dann nimmamehr?)
Kann ich dem doofen Outlook nicht irgendwo das Passwort so eintragen dass es sich merkt? immerhin muss ich es ja bei der installation des Kontos sowieso eintragen?
So als Hintergrundinfo: Funktioniert die Authentifizierung dann auch über Kerberos oder nur wie jetzt per LM?
hallo Gerold,
nicht das ganze unter einander verwechseln, die andere Domäne speichert nicht deine Passwörter ab. Wenn du das ganze transparent gestalten willst, dann beginnst du damit,
1. eine Vertrauenstellung zwischen beiden Domänen einzurichten (es reicht, wenn die andere Domäne deiner Domäne vertraut)
2. verändere die Mailboxrechte der Zielmailbox in der anderen Domäne so (muss der andere Admin machen), dass der Benutzer aus deiner Domäne die "vollen Mailboxrechte und lesen" hat (Active Directory Benutzer and Computer - > Eingenschaften -> Exchange erweitert -> ganz unten).
3. Konfiguriere deinen Outlookclienten so, dass er auf die andere Mailbox über \\Exchangeserver\Alias(Mailbox) zugreift.
das wars, du wirst nicht nach einem Passwort gefragt, da sich der Outlookclient automatisch (und jedesmal neu) mit dem Benutzer (Zugangsdaten!) aus deiner Domäne in der anderen Domäne meldet, und dort die Zugriffsrechte auf die Mailbox hat. Die Vertrauensstellung verbindet somit die beiden Domänen, damit du eben nicht mehr sowas in Zukunft machen musst.
gruß
Dejan
-
Hi phunez,
hast du EFS benutzt?
gruß
Dejan
-
Bitte vormachen...
Original geschrieben von StrikeCommandrHallo Zusammen!
Also ich habe es dank Eurer Hilfe hinbekommen und es git sogar zwei Lösungen:
1. die Schnelle: Im Abgesicherten Modus mit dem Adminkonto anmelden, klappt auch wenn es deaktiviert ist! (Blub)
und
2. die Elegante: Den net Befehl als Service starten. (Raffael)
Ich zweifle irgendwie an diesen Lösungen. Das wäre, falls möglich, eine schicke Möglichkeit, sich mal schnell einen Account zu schnappen.
Egal für wie doof man Microsoft hält, so billig ist das unter W2K3-DC/ADnicht zu machen - das ist nicht drin.
Ich habe einen Windows 2003 Server (AD ist aufgesetzt) in einer VMWare laufen, und habe beide Lösungen mal versucht, und es ist das rausgekommen, was ich vermutet habe:
zu 1.: das Anmelden wird über den Administrator in der SAM übernommen (ich habe verschiedene Passwörter für beide Adminkonten benutzt, so dass ich den Unterschied definitiv merke; die Anmeldung geht nur über den lokalen SAM-Admin); der hat nichts mit dem Domänenadmin zu tun. Somit scheidet das mal aus. Auch ist in diesem Fall die AD nicht aktiv, damit ist auch der Zugriff auf die AD-Konten nicht möglich....Der Server macht einen auch aufmerksam, dass der Zugriff nicht funktionieren wird!!!
zu 2.: geht auch nicht; ein Zugriff auf die Passwörter wird bei meinem Server mit "access-denied" quittiert (unabhängig welches Konto versucht wird). Auch das reaktivieren eines gesperrten Kontos ist nicht möglich. Wie soll es auch gehen, es hat sich kein Benutzer angemeldet.
Das cmd.exe läuft wohl unter "Systemrecht", und nicht unter "Adminrecht".
....also bei mir zeigt der W2K3-Server genau das, was ich erwarte: sicheres Verhalten gegenüber so profanen Hackattacken.
Hat jemand andere Erfahrungsberichte? Bin gern bereit dazu zu lernen....
BTW an StrikeCommander: Hast du damit echt dein gesperrtes Domänen-Admin-Konto reaktiviert?
gruß
Dejan
Änderung des Fragenpools ab 01.April 2004?
in MS Zertifizierungen — Prüfungen
Geschrieben
...ich war immer der Meinung, das wer lesen kann, eindeutig im Vorteil wäre/ist....
manches deutet aber nicht darauf hin.....
my2cents
Dejan