hekmek

Hi, danke für deine Antwort. Muss ich noch einmal ausprobieren. Wenn ich mich als normaler Benutzer anmelde und ein Startscript läuft, kommt immer eine Fehlermeldung Zugriff verweigert wenn er was in %systemroot% schreiben soll. Vielleicht hab ich aber was falsch eingestellt. Grüße Hekmek

Hallo, kann mir jemand sagen mit welchen Rechten die Start/Anmeldescripte über GPO's laufen? Ich meine mal was gelesen zu haben, das die über die Computerrichtlinie unter System laufen, bin mir aber nicht sicher. Bei mir jedenfalls scheint das nicht zu funktionieren. Grüße Hekmek

Hallo, @Edgar das war der goldene Rat, habs mit deiner For-Schleife hinbekommen. Vielen Dank für deine Hilfe. Grüße Hekmek

Hallo, ich suche verzweifelt eine Möglichkeit den Text aus einer Datei in eine Variable zu schreiben. Der Hintergrund ist, dass ich bei den Clients die Notes Version auslese und in eine Datei zurückschreibe. Diesen Text möchte ich gern in eine Variable schreiben um ihn weiter zu verwenden. Vielen Dank im voraus Gruß Hekmek

Ich habe zwei verschiedene OU' s direkt unterhalb der Domäne, es ist eine reine W2003 Domäne. Auf beiden OU's hab ich eine Gruppe abgesetzt, die das Recht hat Computer erstellen/löschen. In einer der beiden OU's kommen alle Rechner, die neu in die Domäne intigriert werden, ich hab den Pfad von dem Standard Container "Computer" umgebogen. Ich möchte nun, das die Mitglieder dieser Gruppe das Recht haben, die Computer Objekte dann in die andere OU zu verschieben. Dazu benötigt man wohl zusätzliche Rechte, aber welche? Grüße

Hallo, folgende Situation: Es sind Berechtigungen für eine Gruppe auf zwei OU's abgesetzt, die Computerobjekte in diesen OU's erstellen dürfen. Welche Rechte werden benötigt, damit die Gruppenmitglieder die Computerobjekte von einer OU in die andere verschieben dürfen. Das Recht Computer erstellen/löschen scheint nicht auszureichen. Gruß Hekmek

Hallo, erstmal vielen Dank für eure Antworten. Also es handelt sich um ca. 2000 Clients, 60 % W2K, Rest NT, einige wenige Xp Clients. Die Server laufen unter VM, die Auslastung ist soweit in Ordnung, mich wundert nur, das der erste, seitdem die Domäne läuft, ca. 600.000 Anmeldevorgänge durchgeführt hat und der Zweite gerade mal 40.000. Subnetze hab ich konfiguriert, es ist alles ordnungsgemäss eingetragen. Ich wollte nur wissen, ob es den vielleicht irgendwelche Schalter gibt, die diesen Lastenausgleich etwas besser verteilen. Die beiden Server am Hauptstandort liegen im selben IP Adressbereich auf zwei unterschiedlichen Maschinen. DNS läuft bei uns komplett unter BIND 9. Liegt das eventuell daran, das der erste, bis auf den Infrastrukturmaster, sämtliche Rollen inne hat (zzgl. GC) ? Hekmek

Hallo, nach erfolgreicher Migration von NT auf Windows 2003 habe ich jetzt insgesamt 3 Windows 2003 Domänencontroller am Laufen. Zwei stehen bei uns im Hausnetz und einer an einem anderen Standort. Ich habe auch die Standorte im ADS definiert. Meine Frage ist folgende: Wenn ich eine Abfrage der durchgeführten Logins mache, sehe ich, dass nur einer den Großteil übernimmt. Das war aber schon so, als ich den dritten Server am externen Standort noch nicht installiert hatte. Die Verteilung erfolgt nicht wirklich gleichmässig auf die verschiedenen DC's. Gibt es eine Möglichkeit dieses zu steuern? Den so habe ich ja keine echte Lastenverteilung. Grüße Hekmek

Oder noch einfacher mit den Befehl aus dem Resource kit global oder local für lokale Gruppen, einfach in eine Textdatei umleiten. Bei windows 2003 gibt es aber auch die ganzen neuen Befehle, mit denen man alles Mögliche anstellen kann (dsget). Hekmek

schau dir mal den Befehl subinacl aus dem Resource Kit an, ist recht mächtig das Tool aber auch kompliziert. Wenn der neue Server ein W2003 Server wäre könntest du das neue Tool von MS FileServerMigrationToolkit dafür nehmen. Mit dem Ding ist es kinderleicht und man kann auch noch schön Server konsolidieren damit. Grüße hekmek

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters den Wert autodisconnect auf dem DC ändern oder durch Eingabe "net config server /autodisconnect:-1" für unendlich. Es wird aber empfohlen den Wert direkt in der Registry zu ändern. Grüße hekmek

Die dynamische Aktualisierung funktioniert einwandfrei, das geht ja ab BIND Version 8 glaub ich. Ich meinte eigentlich die Serverseite. Wir haben das bei uns so eingestellt, dass die Clients ihre Einträge in DNS nicht selber machen dürfen, sondern der DHCP das übernimmt. Der wiederum authentifiziert sich mit einem hinterlegten Key beim DNS, damit nur gesicherte Aktualisierungen stattfinden. Das gleiche würde ich gerne mit den Servern machen, damit sich nur bekannte Maschinen registrieren dürfen, dass scheint aber noch nicht zu gehen. Windows DNS nutzt eine Abwandlung von TSIG (GSS-TSIG) zur Verschlüsselung, was BIND wohl noch nicht kann. Da wir Dutztende von Servern haben, werden wir ein Script Linuxseitig einsetzten, um so die Access list zu pflegen. Grüße hekmek

So jetzt funktionierts, ich habe bei der Reverse Zone vergessen den DC in die allow-update Gruppe mit aufzuführen. Ich hatte nur die Einträge in den Forward-Lookupzone gemacht. Ich hatte die A und PTR Records manuell eingetragen aber Windows schreibt regelmäßig die Einträge neu und erzeugte eine Fehlermeldung, obwohl die Einträge da sind. Weiss jemand ob es möglich ist den Windows Servern einen Key für die Registrierung der Records mit zu geben, damit man nicht alle Einträge manuell in der Zone bei allow-update einpflegen muss? Ich meine das so wie das z.B bei DHCP und DNS unter Linux ist, man generiert einen Key den der DHCP Server nutzt um Einträge in der Zone des DNS machen zu dürfen. Grüße Hekmek

Das ist richtig, nur BIND DNS. Da wir eine bereits weltweit etablierte DNS Infrastruktur haben wollen wir nicht noch zusätzlich weitere Systeme pflegen müssen. Wie schon gesagt, die Namesauflösung funktioniert wunderbar, da es aber eine Testumgebung ist möchte ich natürlich alle Fehlerquellen beseitigen bevor es produktiv geht.

Die beiden KB Artikel hatte ich auch schon gefunden, die Meldung kommt aber auch während des Betriebs und nicht beim Neustarten. Trotzdem, vielen Dank für deine Antwort.

Hallo allerseits, ich habe bei uns im Moment eine Testumgebung aufgestellt, wo wir eine Migration von NT auf Windows 2003 durchtesten. Da wir in unserer Produktivumgebung DNS mit Linux BIND version 9 einsetzten, wollen wir die auch weiterhin nutzen. Die Konfiguration ist soweit ok, die Namesauflösung funktioniert und nslookup bringt auch keine Fehler. Ich bekomme aber regelmässig einen Eintrag im Eventlog des DC's: "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/xxx.xxxx.intern herstellen. Es war kein Authentifizierungsprotokoll verfügbar." ID 40961 Source: Lsasrv. Hab auch schon gegoogelt aber nichts aufschlussreiches gefunden. Vielleicht kann mir einer von euch da weiterhelfen, was das sein könnte. Wie gesagt, es funktioniert alles einwandfrei aber es kommt immer diese Meldung. Grüße Hekmek

Hallo, ich würds einfach mit der mmc Computerverwaltung machen oder wenns über die Console sein soll, würd ich die PSTools von sysintenals.com empfehlen. Grüße hekmek

Leg dir doch Verknüpfungen auf dem Desktop ab. Problem ist nur, wenn du die LW Buchstaben benötigst. Grüße

Explorer->Extras->Ordneroptionen->Offline Dateien aktivieren. Auf den Share's dann die Verzeichnisse oder Dateien auswählen und mit rechter Maustaste Offline verfügbar machen auswählen. Grüße hekmek

Hallo shambler, ich bin zwar kein Experte aber ich denke mal das das nicht der Fall ist. Seit W2003 gibt es ja Client Access und Device Access Lizenzen. Das bedeutet eben auf Benutzter oder auf ein Gerät zugeordnet (Client-seitig). Die Standarddienste, die Windows anbietet, außer Terminalserver, sind dadurch abgedeckt. Das würde ja sonst bedeutet, dass du für jede Hardware die am Server hängt Lizenzen benötigen würdest. Die Printserverfunktionalität ist ja ein Standarddienst, den Windows mitbringt. Es werden nur genügend CAL's auf der Client Seite benötigt. Aber Achtung: soweit ich weiß, müssen dass ebenfalls Windows 2003 CAL's sein, also wenn der Kunde vorher nur NT oder W2K Server im Einsatz hatte, müssen die CAL's auch upgegradet werden.

Hi, wir haben Proxy im Einsatz (http://www.funk.com). Ist ganz nett, schnell aber ein wenig teuer.

Hallo, also es gibt eine Möglichkeit mit der Sysprep version1.1, da kann man verschiedene IDE und SCSI Treiber mitgeben, ist ganz gut in der Anleitung beschrieben. Ist allerdings eine ganz schön fummelige Sache, und sollte gut getestet werden.