lukin

Hallo,

ich habe mal eine Frage. Ich möchte dem Ordner, der bei uns die Benutzerverzeichnisse und das Publicverzeichnis enthält (ich hab die Struktur nicht aufgebaut) eine neue Gruppe hinzufügen, die Zugriff auf einige Ordner erhalten soll.

Die Benutzerverzeichnisse (ca. 300) erben die Rechte des übergeordneten Ordners. Wenn ich der Gruppe nun Zugriff auf den übergeordneten Order gebe, wird das natürlich auch auf alle untergeordneten Ordner vererbt, also auch auf die Benutzerverzeichnisse. Das soll natürlich nicht sein. Auf den übergeordneten Ordner muss ich allerdings Zugriff geben, damit die neue Gruppe den Ordnerinhalt auflisten kann.

Gibt es irgendeinen Weg, die Vererbung zu umgehen? Ich habe nämlich keine Lust, bei 300 Ordnern manuell die Berechtigung zu ändern.

Normalerweise würde ich ja die neue Gruppe einer existierenden hinzufügen. Allerdings geht das in dem Fall nicht, da hier die Standardgruppe "Domänen-Benutzer" dafür verwandt worden ist, und der möchte ich die neue Gruppe nicht hinzufügen, da die aus einer anderen Gesamtstruktur ist.

Hallo,

für diejenigen, die das gleiche Problem haben und danach mal suchen, habe ich hier die Lösung:

Daniel Melanchthon [MSFT] wrote:

> Gross, Michael schrieb:

>> ich habe noch mal eine Frage. Wenn ich mit dem Benutzerkonto der

>> anderen Gesamtstruktur auf die Mailbox zugreife, kann ich keine

>> Mailboxen anderer Benutzer oeffnen.

>

> Hast Du das Trägerkonto mittlerweile deaktiviert?

>

>> Das ist auch logisch, denn in Outlook kann man

>> seine Ordner ja nicht fuer Benutzer aus anderen Gesamtstrukturen

>> freigeben. Der Zugriff auf Mailboxen anderer Benutzer klappt also

>> nur, wenn man die Standardberechtigung aendert.

>

> Das vermutest Du nur. Die Rechte vergibst Du an den MAPI-User, nicht

> an die SID des Windows-Users. Erst b eim Zugriff auf die Resource

> wird der MAPI-User auf die SID aufgelöst. Und nur, wenn das

> Trägerkonto in der Exchange-Domäne deaktiviert ist, wird die SID des

> zugeordneten Users aus der nicht-Exchange-Domäne aufgelöst. Solange

> das Trägerkonto aktiviert ist, wird dessen SID aufgelöst und der

> Zugriff verweigert, weil es ja niicht dieser User ist. Daher

>

> Wenn Du im ESM einmal an das MAPI-Konto des Trägerpostfaches explizit

> Rechte auf einiem öffentlichen Ordner einträgst, kannst Du Dir das

> sehr schön selbst ansehen. Wenn Du die Clientrechte dann mal mit

> SHIFT gedrückt öffnest, siehst Du nicht die MAPI-User, sondern die

> aufgelösten Windows-User. Je nachdem, ob Du das Trägerkonto

> aktivierst oder deaktivierst, wirst Du dort sehen, welcher

> Windows-User für den MAPI-User aufgelöst wird.

 

Hallo Daniel,

 

vielen Dank fuer deine Antwort. In der Tat lag es daran, dass der

Benutzer nicht deaktiviert war. Und ueber den von dir beschriebenen Weg

kann ich das nun auch nachvollziehen.

 

Allerdings hat es nicht sofort funktioniert: Nachdem ich den Benutzer

deaktiviert hatte, musste ich in den Outlook-Eigenschaften des

freizugebenden Ordners den Benutzer noch mal neu hinzufuegen.

Unmittelbar nach dem Deaktivieren stand dort naemlich

NT-Autoritaet\Benutzer, also der deaktivierte Benutzer. Wenn ich das nun

richtig verstanden habe, wurde nach dem erneuten hinzufuegen der MAPI

User dann korrekt mit dem Benutzer aus der anderen Gesamtstruktur

verknuepft. Demnach wird nun auch nicht mehr NT-Autoritaet\Benutzer,

sondern der korrekte Name angezeigt. Und nun funktioniert es ja auch.

 

PS: Zum ueberpruefen der zugeordneten Clienttrechte muss man nicht

SHIFT, sondern STRG druecken. Nur fuer diejenigen, die mal ein

aehnliches Problem haben und diesen Beitrag lesen.

 

Danke,

Michael

 

BTW, wenn ich irgendwas falsches gesagt habe, bitte korrigieren! Danke.

Hallo,

ich habe heute F-Secure Anti-Virus fuer Exchange 6.31 auf unserem

Exchange 2003 Enterprise Server installiert. Der Exchange Server

behinhaltet 2 Speichergruppen. In den Konfigurationseigenschaften des

Virenscanners kann ich bei der Auswahl der Mailboxen jedoch nur die

Mailboxen einer Speichergruppe auswaehlen. Die Mailboxen der anderen

Speichergruppe werden mir ueberhaupt nicht angezeigt. Hat jemand eine

Ahnung, woran das liegen kann?

Und noch was (für diejenigen, die hier mal die Suche benutzen)

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx

Ich habe mittlerweile alleine rausgefunden, warum es nicht funktioniert

hat. Und zwar musste bei der Vertrauensstellung die "Gesamtstrukturweite

Authentifizierung" aktivieren. Vorher hatte ich die "Ausgewaehlte

Authentifizierung aktiviert". So, OK, es funktioniert nun. Aber ich

verstehe es nicht. Denn soweit ich weiss, bewirkt die

"Gesamtstrukturweite Authentifizierung" ja nur, dass die in der

vertrauten Domaene bzw. Gesamtstruktur als authentifizierte Benutzer

automatisch der Gruppe "Jeder" der vertrauenden Gesamtstruktur

angehoert. Ja, OK, aber was hat das mit dem Zugriff auf Exchange zutun?

Schliesslich habe ich die Rechte auf die Mailbox ja explizit gegeben,

die Gruppe "Jeder" hat damit doch nichts zutun?!

Vielleicht kann mir das ja jemand beantworten.

Danke,

Michael

Hallo,

Windows Update bezieht Exchange ja nicht mit ein. Gibt es irgendwo eine Übersicht über die Updates für Exchange 2003? http://www.microsoft.com/exchange/downloads/2003/default.mspx finde ich nicht so hilfreich, da ich nicht weiß, was wirklich wichtig ist und was nicht.

Danke,

Hallo,

echt, diese Verschandelung dieser Domäne hier geht mir langsam auf den Senkel. Ich bin langsam am Ende, hier geht echt so gut wie nix. Erstens kämpfe ich gerade mit diesem dämlichen AutoEnrollment Fehler 15. Ich hab schon 50 Newsgroup-Beiträge gelesen aber keiner konnte mir helfen.

Aber hier scheint irgendwie richtig was im Busch zu sein. Ich habe gerade mal eine WS aus der Domäne geworfen und wollte sie neu in die Domäne einfügen. Wenn ich dabei den NetBIOS-Namen der Domäne angebe, funktioniert es. Aber wenn ich den DNS Namen der Domäne angeben, gibt's folgende Meldung:

Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\WINDOWS\debug\dcdiag.txt weiter.

 

Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "domaene.dom" verwendet wird, wurde ordnungsgemäß abgeschlossen:

 

Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.domaene.dom

 

Die folgenden Domänencontroller wurde von der Abfrage identifiziert:

 

rb01.domaene.dom

 

Die häufigsten Ursachen dieses Fehlers sind:

 

- Host (A)-Einträge, die den Namen des Domänencontroller dessen IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.

 

- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.

 

Klicken Sie auf "Hilfe", um weitere Informationen über die Fehlerbehebung zu erhalten.

Ich versteh's nicht, weil der DC im DNS ja auch gefunden wird.

/edit: Achso, Domäne = Windows 2003 im einheitlichen Modus und WS = WinXP SP1

Hallo,

um einer anderen Gesamtstruktur die Benutzung der Exchange Organisation unserer Gesamtstruktur zu ermöglichen, habe ich nun eine ausgehende Gesamtstrukturvertrauensstellung erstellt, so dass sich Benutzer der anderen Gesamtstruktur in unserer Gesamtstruktur authentifizieren können.

Anschließend habe ich die Prozedur wie in KB Artikel 278888 befolgt, um dem Benutzer in der anderen Gesamtstruktur Zugriff auf eine in unserer Gesamtstruktur befindliche Mailbox zu ermöglichen. Dabei führt man folgende Schritte durch:

[...]

12. Right-click the user account, and then click Properties.

13. Click the Security tab, and then click Add.

14. In the Type names separated by semicolons or choose from list box, type the Windows NT 4.0 user account that you want to own the mailbox (or the Windows 2000 user account in another forest that you want to own the mailbox), and then click OK.

15. In the User Properties dialog box, click the user account that you added in step 14.

16. In the Permissions list, click to select the Allow check box next to the Send As permission.

17. Click the Exchange Advanced tab, and then click Mailbox Rights.

18. Click Add, click the user account that you added in step 14, and then click OK.

19. In the Permissions list, click to select the Allow check boxes next to Read Permissions, Full Mailbox Access, and Associated External Account.

20. Click OK.

[...]

Soweit, so gut. Wenn ich nun aber von der anderen Gesamtstruktur aus auf eine Mailbox zugreifen möchte, fordert mich Outlook immer noch zur Authentifizierung des Mailboxbesitzers in unserer Gesamtstruktur auf. Das ist zwar an sich kein Drama, da man das Kennwort speichern kann und somit auch Zugriff auf Exchange erhält. Trotzdem, normal kann das eigentlich nicht sein, da der Benutzer in der anderen Gesamtstruktur ja zuvor entsprechende Rechte auf die Mailbox bekommen hat.

Wenn ich übrigens den Benutzer in unserer Gesamtstruktur, also den Besitzer der Mailbox, so wie im KB-Artikel beschrieben deaktiviere, bekomme ich logischerweise überhaupt keinen Zugriff auf die Mailbox. Also muss da noch irgendwo ein Fehler drin sein - ich weiß aber momentan nicht mehr, woran es noch liegen kann. Hat jemand eine Idee?

Danke,

Hallo,

ich bin mir jetzt nicht sicher, aber wird das primäre DNS Suffix bei Aufnahme eines Clients in die Domäne nicht automatisch zugewiesen? Hier ist das bei einer Domäne nicht der Fall. Hat jemand eine Idee, woran sowas liegen kann? Es ist zwar kein Problem, da ich das mit den GPO wieder schnell in den Griff bekomme, aber wenn jemand eine mögliche Ursache dafür weiß, würde mich das interessieren.

Gruß

Das geht mit Gruppenrichtlinien. Jedenfalls bei W2K3 ist es dabei:

Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS Client\DNS Suffix Suchliste

Da kannst du mehrere eintragen

Hi,

wir kommen nicht mehr drumrum, USB für die Benutzer freizugeben. Gibts eigentlich irgendeine Software, die loggen kann, was die Benutzer so auf die USB Sticks speichern bzw. was sie einlesen?

Danke,

Ich habe mittlerweile einige Informationen dazu gefunden:

http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/messsyst.mspx

http://support.microsoft.com/?id=278888

Wenn jemand mehr findet oder Erfahrungen hat, immer her damit!!

Hallo,

unsere Exchange-Organisation soll ja von einem zweiten Forest genutzt werden. Dazu möchte ich jetzt eine Vertrauensstellung zwischen beiden Gesamtstrukturen erstellen und einrichten, dass sich die Benutzer des Forests ohne Exchange-Organisation im Forest mit der Exchange-Organisation anmelden.

Nun habe ich in diesem Zusammenhang aber noch von einer anderen Möglichkeit gehört, nämlich der des "Ressourcen-Gesamtstrukturmodells". Beschrieben ist diese Möglichkeit in einem Artikel von Microsoft:

Ein Beispiel: In einem Szenario, in dem von Gesamtstruktur A und Gesamtstruktur B eine einzelne Exchange-Organisation gemeinsam genutzt wird, sind Exchange-Server nur in Gesamtstruktur B installiert. Benutzer A hat ein Benutzerkonto in Gesamtstruktur A, und das Postfach des Benutzers A befindet sich in Gesamtstruktur B. Zum Zuordnen des Benutzers in Gesamtstruktur A zum Postfach des Benutzers in Gesamtstruktur B wird für Benutzer A ein deaktiviertes Benutzerkonto in Gesamtstruktur B erstellt und diesem Konto das Postfach zugeordnet. Die E-Mails des Benutzers A werden auf Exchange-Servern in Gesamtstruktur B gespeichert, und ein Attribut des deaktivierten Kontos verweist auf das Konto des Benutzers A in Gesamtstruktur A. Diese Art von Exchange-Umgebung wird als Ressourcen-Gesamtstrukturmodell bezeichnet

Weiß jemand mehr über diese Möglichkeit? Ich habe da bis jetzt leider nichts finden können.

Hi,

der Fehler lag wie vermutet in der Firewall: Dort war ein transparenter Proxy installiert. Der hat alle DNS Anfragen abgefangen und ins Internet gepfiffen. Mein Provider hat mich übrigens mit dem Tool "Dig" bekannt gemacht. Wer es noch nicht kennt, es ist weit besser als nslookup:

http://pigtail.net/LRP/dig/

Jetzt funktioniert alles perfekt :)

Gruß,

Eben, genau darum ging es, ob der Port für UDP freigegeben ist, nicht für TCP (außer Zonentranfer sekundärer Zonen).

 

Wenn es dann trotz korrekter Eintragung oder Konfiguration der Weiterleitung nicht funktioniert, wird der Verkehr immer noch irgendwo geblockt, ODER das Routing klappt nicht. Das Routing, sagst du, geht aber.

Dann bleibt nur geblockter Verkehr. Das sollte man nochmals prüfen, z.B. mit einem Sniffer auf der Remote Seite.

 

 

grizzly999

Ich kann mir auch nur noch vorstellen, dass irgendwo noch was geblockt wird. Mal sehen, was mein Provider auf meine E-Mail antwortet. Ich gebe dann noch mal Rückmeldung. Wenn jemand noch eine andere Idee hat, immer her damit.

Ich kann jetzt nur raten, aber Port 53 ist etwas zu wenig für eine FW-Config, dazu gehört auch noch das Protokoll

 

 

grizzly999

Naja, DNS basiert ja auf dem TCP/UDP Protokoll und das ist im Paketfilter auch aufgemacht worden. Also müsste ich von der Arbeitsstation in Gesamtstruktur A ja zumindest eine DNS Anfrage an den DNS Server in Gesamtstruktur B stellen können, oder?!

Hallo,

damit zwei Unternehmen eine Exchange-Organisation nutzen können, möchte ich zwischen beiden Strukturen eine Gesamtstrukturvertrauensstellung einrichten.

Die Benutzer aus Gesamtstruktur A sollen auf das Exchange in Gesamtstruktur B zugreifen können. Zwischen beiden Gesamtstrukturen gibt es eine VPN. Damit die Vertrauensstellung möglich ist, muss ja zwischen beiden Domänen DNS-Kontakt bestehen. Dazu habe ich den Paketfilter von unserem Internetprovider so konfigurieren lassen, dass Gesamtstruktur A auf den DNS von B zugreifen darf und umgekehrt. Die IP-Connectivity besteht auch und Port 53 ist auch jeweils erreichbar.

Wenn ich allerdings auf irgendeinem DNS Server z.B. eine Weiterleitung an den anderen DNS Server einrichte, kann ich trotzdem keine Namen der anderen Gesamtstruktur auflösen. Das klappt wie gehabt nur in der jeweils eigenen Gesamtstruktur. Selbst wenn ich auf irgendeiner Arbeitsstation in Gesamtstruktur A den DNS Server von Gesamtstruktur B eintrage, kann ich keinen einzigen Namen aus Gesamtstruktur B auflösen. Ich bekomme immer nur die Meldung, dass der Servername für die IP Adresse nicht gefunden wurde (non-existent-domain) und dass die Standardserver nicht verfügbar sind. Wenn ich eine IP Adresse in einen Namen auflösen lassen möchte, passiert genau dasselbe.

Hat jemand eine Ahnung, wo da der Fehler liegen kann? Die Erreichbarkeit des Ports 53 habe ich übrigens mit Microsofts PortQuery getestet. Kann es evtl. sogar sein, dass ich auf Port 53 wider Erwarten nicht zugreifen darf, obwohl PortQuery mir trotzdem die Aktivität des Ports 53 anzeigt?

Wie auch immer, ich bin für jede Hilfe sehr dankbar!

Hi,

ich möchte jetzt ein paar W2K3 Server mit einigen der kritschen Updates vom 08. Februar patchen. Auf http://v4.windowsupdate.microsoft.com/en/default.asp?corporate=true finde ich allerdings die Updates nicht. Kennt jemand noch eine andere Möglichkeit, an die einzelnen Updates zu gelanden?

Danke & Gruß

Hallo,

sorry, mir ist auf die Schnelle kein sinnvollerer Titel eingefallen. Ich habe ein paar Fragen. Wir führen demnächst Exchange 2003 ein, das von zwei Standorten genutzt werden soll. Beide Standorte haben Ihr eigenes Forest. Standort A und Standort B. Standort A wird nun um Exchange erweitert und Standort B soll es mitnutzen. Damit Standort B das kann, müssen die Mitarbeiter sich ja in einer Domäne der um Exchange erweiterten Gesamtstruktur in Standort A anmelden. Dazu möchte ich zwischen beiden Forests der Standorte eine Gesamtstrukturvertrauensstellung einrichten und die Benutzer der Domäne von Standort B in die Domäne von Standort A migrieren und denen dann ein Postfach erstellen. Somit können dann die Mitarbeiter in Standort B sich in der Domäne in Standort A anmelden und mit Outlook arbeiten.

Zwischen beiden Standorten gibt es eine VPN mit einer Firewall. Bis jetzt wird kaum Kommunikation zugelassen. Wenn ich nun die Vertrauensstellung einrichte, muss ich dann für alle Arbeitsstationen in Standort B noch etwas anderes als a) den Domänencontroller, b)den DNS Server und c) den Exchange Server des Standorts A erreichbar machen?

Gruß

Für den Einzelclient (der dann nicht in den administrativen Konsolen und Auswertungen auftaucht) geht es auf jeden Fall.

Wie kann ich denn so einen Einzelclient installieren? Ich habe mal ein Paket mit dem Client Packager gemacht - aber der findet immer noch den Server und möchte sich darüber updaten.

Hallo,

na ich werde mir mal die Testversion runterladen und gucken. Ein manuelles Update scheidet für mich jedenfalls schon mal aus - da muss ich try_to_find voll zustimmen. Aber ich sehe ohnehin gute Chancen, meine F-Secure Geschichte durchzukriegen.

Gruß

Geht das nicht?

Hallo,

wir haben ca. 30 Notebooks für unsere Road Warrior im Einsatz, auf denen wir bisher Virenscanner von McAfee eingesetzt haben. Da die Lizenzen für McAfee nun ausgelaufen sind und ich die Produkte noch nie gerne administiert habe, möchte ich jetzt entweder zu Produkten von Trend Mirco (OfficeScan) oder F-Secure (AntiVirus for Workstations). Prinzipiell bin ich von der Leistung beider Produkte überzeugt. Allerdings stellt sich beim OfficeScan für mich noch die Frage, ob sich der Scanner auch über das Internet updaten lässt.

Soweit ich informiert bin, handelt es sich dabei um eine reinrassige Client/Server Lösung und benötigt eben einen entsprechenen Server, von dem dann die Virenupdates bezogen werden. Oder gibt es auch die Möglichkeit, den Scanner sich über das Internet updaten zu lassen? Den Road Warriorn stehen nämlich nur ihre gewöhnlichen Internetverbindungen zur Verfügung und deshalb ist das ein absolutes Muss. Bei F-Secure for Workstations z.B. kann ich explizit auswählen, worüber sich der Scanner updaten soll.

Ich persönlich würde ohnehin gerne die Produkte von F-Secure kaufen, weil wir mit denen schon ein paar Server schützen, die Administration sehr einfach ist alles auch hervorragend funktioniert. Auch aus Gründen der Einheitlichkeit wäre das ohnehin vorzuziehen. Allerdings ist OfficeScan meines Wissens etwas kostengünstiger und deshalb möchte ich mich trotzdem gerne darüber informieren.

Vielleicht weiß ja jemand Rat.

Hallo,

ich stelle mir die Schriftart im Windows immer etwas größer ein, was dann natürlich den negativen Nebeneffekt hat, dass die Symbole im Explorer und die Icons in der Startleiste ebenfalls größer werden. Und da das keine Vektorgrafiken sind, sieht das immer ziemlich verzerrt aus. Kennt jemand eine Möglichkeit, die Symbolgröße getrennt von der Schriftgröße einzustellen? Gibt es dafür vielleicht irgendeinen Wert dafür in der Registrierung?

Zur besseren Veranschaulichung anbei mal ein Screenshot:

http://haltestelle.net/taskleiste.gif

Gruß,

Hallo,

ich weiß, dass ich mit dem MSIA nach Microsoft Produkten scannen kann. Das funktioniert auch gut. Ab morgen werde ich aber den FlashPlayer verteilen und das ist ja nun kein Microsoft Produkt - weiß jemand wie ich rausbkomme, auf welchen Rechnern die Installation erfolgt ist und auf welchen nicht?

Gruß,