hekmek

Hi, wir hatten das Problem auch, soweit ich weiß gibt es keine Möglichkeit außer mit Sysprep. Das haben wir schon erfolgreich durchgeführt. Grüße hekmek

@Dr. Melzer Vielen Dank, das hilft mir schon weiter.

Hallo, ich hab einen TS mit 15 TS-CAL's. Jetzt möchten zwei Anwender eine Access DB installieren und damit auf dem TS arbeiten. Ich brauche ja jetzt zusätzliche Lizenzen für Access, reichen da zwei, weil nur von zwei genutzt, oder muss ich für alle Zugreifenden eine Lizenz erwerben. Es ist ja immer schwer nachvollziehbar, ob wirklich nur zwei Leute Access nutzten. Grüße Hekmek

Hallo, also wir setzten das für bestimmte Clients und auch auf verschieden TS ein und das mit der Richtlinie "ausblenden" funktioniert doch wunderbar. Ich kann die lokalen Laufwerke ausblenden und sehe sie auch unterm Explorer nicht mehr. Grüße Hekmek

@Urmel das funktioniert ja eben nicht immer da z. B. bei der Richtlinie lokale Anmeldung die Gruppe der Administratoren nicht entfernt werden kann. Ich habe aber einen Workaround herausgefunden, der zu funktionieren scheint: Wenn man die generierte INF Datei im Sysvol Ordner der jeweiligen Policy öffnet findet man die Gruppennamen im Klartext. Wenn man jetzt diese Namen durch die SID mit einem vorangestelltem Stern(*) ändert, funktioniert die Übersetzung wieder auf allen Systemen. Bei einigen Richtlinien wie z.B. "anmelden als Dienst" funktioniert das von Haus aus, anscheinend aber nicht bei allen Richtlinien. Grüße hekmek

Hallo, ich hab das gleiche Problem und suche nach einer Lösung. Ich möchte gern mit einer Server Policy die lokale Anmeldung auf die Gruppe der Administratoren beschränken. Die Domänen Controller sind alle in englisch, es gibt aber auch einige Applikationsserver die in deutsch sind. Wenn ich die Richtlinie konfigurieren will, kann ich nur "Administrators" auswählen, die deutschen Server erkennen den aber nicht, weil sie nur auf Administratoren hören, es findet keine SID Übersetzung statt. Ich hab somit immer das Problem, das die Richtlinie, ob deutsch oder englisch, nicht angewandt wird. Ich habe mir schon überlegt einfach eine neue Gruppe anzulegen und die Domänenadmins aufzunehmen, das geht aber auch nicht, weil die Gruppe der Administratoren immer bei der lokalen Anmeldung dabei sein müssen, das ist eine Sicherheitsmaßnahme um sich nicht selbst auszuschliessen. Ist das ein genereller Bug oder was kann man da machen? Grüße hekmek

Hallo Mag, eine Verknüpfung findet nicht statt. Wir sind jedenfalls auch dabei so etwas zu implementieren aber das funktioniert, soweit ich weiß, etwas anders. Wir haben eine zentrale DB, die über LDAP angesprochen wird, dort werden alle Anwender eingepflegt, die in das Unternehmen kommen oder gehen(ist gleichzeit unsere int. Telefonliste). Diese DB ist über sogenannte Konnektoren an die verschiedenen Verzeichnisdienste (SAP,Notes,ADS,Novell...) gekoppelt. Findet jetzt eine Änderung statt, so wird es von der zentralen DB in die verschiedenen System repliziert. Es findet also keine Verknüpfung statt, sondern das, was ma sonst manuell machen würde, wird automatisiert. Welche Attribute wann und wie beeinflusst werden muss natürlich vorher alles mühselig eingestellt werden. Wir nutzten eine Lösung von Novell (Nsure Identity Manager), es gibt aber auch noch andere Anbieter z.B. MS bietet dem MIIS an.

Wenn ich deine Frage richtig verstanden habe: Unter Windows 2003: Wähle alle Benutzer aus, wenn du mit verschiedenen OU arbeitest würd ich das über die Suchfunktion machen, dann rechtsklick->Eigenschaften->Reiter Account das UPN Suffix auswählen. Du musst natürlich vorher unter dem SnapIn Domänen-und Vertrauensstellungen ein anderes hinzugefügt haben. Grüße hekmek

Bei den Gruppenrichtlinien->UserRichtlinien->IE Wartung

Oder mit dem schönen Tool OldCMP, was ich bereits schon mal gepostet habe, hier zu finden:http://www.joeware.net/win/free/index.htm Man kann nach dem LastLogontimestamp abfragen, was unter Windows 2003 neu ist gegenüber 2000. dieser wird nämlich repliziert, mit eine Woche Versatz.

Hallo Kohn, danke für deine Antwort. Ich habe mal dieses Tool auf einem Client installiert und dort habe ich die Fehlermeldung: The DC for domain xxx is not available . Ich kann mich aber an der Domäne anmelden und auch den Rechner neu reinnehmen, alles scheint ok zu sein. Was kann das sein?

Hallo Community, ich hab das Problem, dass die Aktualisierung der Richtlinien nicht mehr funktioniert. Wenn ich gpupdate /force eingebe passiert eine ganze Zeit lang nichts, läuft in einen timeout. Ich hab schon alles überprüft: dcdiag, netdiag, gpotool, nslookup...alles sieht gut aus. Die Domäne besteht aus zwei DC's und ca. 30 XP Clients. DNS, WINS und DHCP sind ordnungsgemäß installiert. Das einzige was ich sagen kann ist, dass bei erstmaligen Aufsetzten die Richtlinien aus einer anderen Domäne importiert wurden, auch die Domänen und DC Richtlinien. Das hatte zu Problemen geführt, habe ich aber nach einigen Versuchen wieder gefixt. Ich hoffe das einer von euch vielleicht noch eine Idee hat, wo ich ansetzten könnte. Grüße hekmek

Dein PDC Master scheint jedenfalls auch nicht mehr da zu sein, wie du schon selbst bemerkt hast, lief der vielleicht früher auf einem anderen DC? Du kannst mit NTDSUTIL.exe die Rolle des PDC ja auch wieder gewaltsam übernehmen, falls der andere Server nicht mehr online ist und auch nicht wieder wird. Genaue Vorgehensweise findest du in der MS KB unter 255504 Grüße hekmek

Hallo, da kann ich mich nur anschliessen, das passiert auch bei uns des öfteren. Die Fehlermeldung mit dem versuchten Herunterstufungsangriff habe ich auch. Wir haben das immer auf Novell geschoben (Zugriff nur über cifs) da wir eine sehr heteroge Umgebung haben aber wie ich sehe haben auch andere das Problem. Ich würde mich über Tips zur Fehlerbehebung freuen. Grüße Hekmek

Die Synchronisation nach der Domänenhierarchie sollte eigentlich schon funktionieren, ich hab mit den XP Clients bei uns aber auch schon Probleme gehabt. Schau mal, ob der Registry Wert der Clients unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters bei Type auf NT5DS steht. In diesem Modus synchronisiert er sich mit dem DC. Vielleicht hilft dir das ja weiter... Grüße Hekmek

dsget computer "Computer-DN" -sid Damit sollte es auch gehen.

Also das was du vorhast, kannst du doch auch über die GUI der AD User und Computer machen, rechte Maustaste auf OU und exportieren. Wenn man bestimmte Attribute abfragen will, z. B. wieviele XP Rechner mit SP2 vorhanden sind kann man über "Gespeicherte Abfragen" einfach welche generieren und dann exportieren. Wenn es zu speziell wird braucht man allerdings wohl Scripte. Grüße Hekmek

PSGETSID, auch von Sysinternals.com, enthalten in den PSTools.

@Das Urmel Das ist richtig, das Tool geht aber wahlweise auf pwdLastSet (W2K Domäne) oder auf LLT (Windows 2003 native).

Ich denke mal der Einsatz der verschiedenen Systeme hängt auch davon ab was für Anforderungen gestellt werden. Bei uns gab es mal eine Evaluierung im SAN Bereich. Da setzten wir bisher natürlich auf SCSI Platten und haben uns mal ein kleines SATA-SAN zum Test aufgestellt (3 Terra). Die Kostenseite ist natürlich sehr verlockend aber die Zugriffszeiten sind bei SCSI auf einer ganz anderen Ebene. Bei unseren Test (random Zugriff) war SATA um den Faktor 10 langsamer. Für den einen oder anderen Applikationsserver denk ich mal ist das aber eine gute Alternative, setzten wir so auch ein.

Hallo, also für diesen Zweck setzte ich das Freeware Tool OldCMP ein: http://www.joeware.net/win/free/index.htm Das lasse ich jedes WE laufen und hab das schön in einem HTML Report. Das nutzt auch das Attribut LastLogonTimestamp. Man kann die Rechner auch gleich deaktivieren/löschen...kleines feines Tool. Grüße Hekmek

Für diesen Zweck eignet sich, wie so oft, ein schönes kleines Tool von http://www.sysinternals.com das da heisst: AutoLogon. Grüße Hekmek

Schau dir mal den Befehl WSUSUtil.exe an, der ist im Installationsverzeichnis unter Tools dabei. Da gibt es einige Schalter, schau dir mal die Hilfe an, vielleicht hilft dir das ja weiter. Grüße Hekmek

Und für die Freunde der Registry: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\ fDenyTSConnection (REG_DWORD). 1 = Remote Desktop disabled 0 = Remote Desktop enabled Grüße Hekmek

Hi, zum Suchen empfehle ich EventCombMT, ist in den ALTools enthalten: http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en Damit kann man schön nach Events suchen, auch auf mehreren DC's . Da sind auch einige andere gute Tools dabei, rund um das Thema Account Lockout. Grüße Hekmek