loisyn
-
Gesamte Inhalte
46 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von loisyn
-
-
Man brauch da gar nicht viel zu knacken, die USN kann auch gesetzt werden (während eines authoritive restores mit NTDSUtil).
so long Loisyn
-
Hallo zusammen,
ich habe mal wieder eine Spezialfrage:
WIr verwenden ADAM und speichern dort Konfigurationsdaten. Einige Attribute solcher Objekte ändern sich sehr häufig.
Nun taucht - bisher nur theoretisch - das Problem auf, dass ja jedes Objekt über eine 64-bittige USN verfügt, welche beim Ändenr des Objekts hochgezählt wird.
Weiss jemand, was passiert, wenn wir die 2 hoch 64 Änderungen gemacht haben? Gibt es einen Überlauf? Wenn ja, wie reagiert die Replikation, wenn nein, was passiert dann?
Bin für jeden Hinweis dankbar,
so long Loisyn
-
Hallo zusammen,
kennt jemand von euch eine Lösung, automatisiert (gescheduled) Benutzer einer Domäne in eine zweite, unabhängige Domäne zu kopieren (ich brauche nur den gleichen SamAccountName, UPN und das Passwort) und synchron zu halten.
Wichtig ist hierbei, dass die Benutzer-Kennwörter nicht unverschlüsselt übermittelt werden dürfen oder in einer Übergabedatei sichtbar sind!
Bin für jeden Tipp dankbar.
Gruss Loisyn
-
Sorry, ich meinte die lokale Routingtabelle auf dem VPN-Server...
Greez Loisyn
-
Hi stuffy,
ich vermute, dass diese hohe Portnummern Client-Ports sind. Schau mal nach, welch Port-Nummer die Gegenstelle verwendet.
Das sollte dein FW-Log auswerfen, ansonsten mal mit dem Netzwerkmonitor den Traffic mitschneiden.
So long Loisyn
-
Hallo Mr. Toby,
wie Michael schon sagt, gibt es die Hostheader-Möglichkeit (meistverbreitet, einfach, benötigt aber einen DNS-Record für jedes Web)).
Zwei weitere Möglichkeiten wären:
- Für jedes Web eine extra IP-Adresse (einfach, brauch aber mehrere IP-Adressen)
- Für jedes Web eine extra Port-Nummer (muss im Browser aber immer angegeben werden)
So long, Loisyn
-
Hi Michael,
wenn du den LAN-internen Verkehr meinst: hierzu sieht MS IPSec vor.
Bei MS gibt es genügend Artikel zu diesem Thema.
Wenn du den Rechner-internen Verkehr meinst, dann würde ich das mittels SSL/TLS-Techniken angehen (erfordert aber die entsprechende Fähigkeit deiner Dienste).
So long, Loisyn
-
Hallo Mike,
zwei Fragen vorneweg:
1. Ist auf dem VPN-Server das Routing aktiviert, wie sieht die lokale Routing-Tabelle aus ("route print") ?
2. Hat der VPN-Client als Default-Gateway die 192.168.111.80 ?
So long Loisyn
-
Hi Herbert,
vergleiche doch mal die aktuelle Sicherheitseinstellung mit denen des Setup Security Sicherheitstemplates.
Das geht mittels des Snap-Ins "Sicherheitskonifguration und -analyse".
Gehe entsprechend der Anleitung zum "Erstellen einer neuen Datenbank" vor und importiere die Sicherheitsvorlage "Setup Security.inf".
Dann nochmal einen Rechtsklick auf "Sicherheitskonfiguration und -analyse" und "Computer jetzt analysieren" ausführen. Dort bekommst die Differenzen zwischen der aktuellen und der initialen Konfiguration angezeigt.
ACHTUNG: Benutze nicht "Computer jetzt konfigurieren" !!!
SO long Loisyn
-
Hi Niddelmeier,
unter HKLM\SOFTWARE\Clients\Mail sollte ein Key mit dem Namen des Notes Mail Clients vorhanden sein. Den Namen trägst du als Wert im Wert (Standard) ein.
Oder mit Klickie-Buntie:
Im IE unter Extras - Internetoptionen - Programme den Mail-Client auswählen.
So long Loisyn
-
Sorry, aber mit xcacls kann ma nur NTFS-Berechtigungen setzen.
Ich möchte aber die Freigabeberechtigungen setzen :-(
Trotzdem danke für den Vorschlag...
Niemand hier mit Script-Kenntnissen???
Greez Loisyn
-
Hi Leute,
ich müsste eine Freigabeberechtigung skriptgesteuert ändern/setzen.
Ich erstelle die Freigabe mit "net share blubb=c:\blubb" und setze die NTFS-ACL mit "cacls \BMS /e /g BMS_User:c".
Seit W2K3 ist aber die Standard-Freigabeberechtigung nur noch "Jeder lesen".
Ich muss jetzt sicherstellen, dass der Benutzer "Blubber" Ändern-Rechte über die Freigabe hat.
Hat jemand 'nen Skript für mich?
Danke im Voraus...
Loisyn
-
Hallo zusammen,
ich möchte einem nicht-Admin-Benutzer die Berechtigung geben, einem Mitglied der Administratoren-Gruppe das Passwort zurück zu setzen.
W2K3 lässt jedoch jede 60 Minuten einen Prozess laufen, der Abweichungen vom "default security descripter" (dazu gehört auch die DACL) bei Mitgliedern der Administratorengruppe zurücksetzt. Daher verschwindet der Eintrag meines Benutzers immer wieder aus der ACL.
Dieses Verhalten ist natürlich grundsätzlich lobenswert, da nicht-Admins nicht Passwörter von Admins setzen können sollen, da sie ja anschließend sich als Admin anmelden könnten...
Mein nicht-Admin-Benutzer ist jedoch durch ein wesentlich aufwändigeres Zugangssystem geschützt und daher als vertrauenswürdig deklariert (Administratoren-Mitglied darf er jedoch nicht sein).
Nun meine Frage: Kann ich
a) den "default security descripter" für die Administratoren-Mitglieder verändern, um den entsprechenden Benutzer hinzuzufügen, oder
b) diesen "Aufräum-Prozess" abschalten, oder umkonfigurieren, dass er gewisse Benutzer auslässt?
Danke im Voraus,
loisyn
-
Hallo egal2000,
VPN ist eine Technik, um von der Ferne aus über eine IP-Verbindung ins lokale Netz einzubinden und arbeiten zu können, als wäre man physikalisch im LAN.
Das hat nichts mit WLAN-Verschlüsselung zu tun.
Für die WLAN-Verschlüsselung gibt es neben dem nur relativ sicheren WEP noch Verschlüsselung auf IP-Ebene einzuführen, mit IPSec z.B.
Hier gibt's genug Stoff zum Einlesen:
http://www.microsoft.com/germany/ms/security/guidance/topics/cryptographyetc.mspx
So long Loisyn
-
Hallo mriess,
wie schon auf dein letzten Posting hin erklärt:
Verwende hierfür DFS (distributed file system).
Da hast du alle Möglichkeiten...
So long loisyn
-
nun, dass es nicht geht, wusste ich ja bereits.
Die Frage ist aber, warum?
Die Gruppe ist noch nicht mal vom ADMINDSHOLDER geschützt...
Ich hoffte, man könnte deshalb bei dieser Gruppe die Einstellung ändern...
Greez Loisyn
-
Hi,
hierfür ist DFS mitgeliefert!
DFS eignet sich zum Abstrahieren des Servernamens aus einem UNC-Pfad.
Die Fehlertoleranz, die du möchtest ist bei DFS automatisch dabei.
Beispiel:
Deine Domäne heißt: mydomain.local
Dein Server heißt: Server1
Die Freigabe heißt: SharedData
Du erstellst den DFS-Stamm: dfsroot und hängst die Freigabe ein.
Dann kannst du bei den Clients statt \\Server1\SharedData nun überall \\mydomain.local\dfsroot\SharedData benutzen.
Du kannst im Fehlerfall die Daten auf einen anderen Rechner überspielen und die eingehängte Freigabe auf dessen Freigabe deuten lassen. So brauchst du keine Rekonfiguration der Clients.
Du kannst auch gleich ein Replikat der Daten auf einem zweiten Server halten. Dann ist die Ausfallsicherheit ohne dein zutun gewährleistet. Die genaue ANleitung hierfür sprengt aber den Rahmen hier...
So long Loisyn
-
Hi an alle,
ich steh' grad auf dem Schlauch...
Ich möchte eine selbst-definierte Gruppe (Typ: domain local) in die Gruppe der "remote desktop users" aufnehmen (Typ: built in local).
Die Domäne ist im einheitlichen Modus, da müssten sich doch domänen-lokale Gruppen verschachteln lassen...
Ich kann auch alle von mir erstellten domain local groups ineinander verschachteln, nur in vordefinierte Gruppen kann ich nur globale oder universelle Gruppen aufnehmen.
Kann man das ändern? (Bitte keine Lösung anbieten nach dem Motto: nimm' doch eine globale Gruppe; unsere Anwendung erfordert eine domain local group!)
Gruß Loisyn
-
Hi zusammen,
aus einem Masterinstaller starte ich DCPROMO mit einer Antwortdatei. Im Anschluß an den Reboot sollen weitere Programme ausgeführt werden.
Leider funktioniert der Autologon mit den gewöhnlichen Mitteln nicht, dann das DCPROMO löscht die vorher manuell eingetragenen Reg-Keys (AutoAdminLogon, AutoLogonCount, DefaultPassword).
In einer Beschreibung zu W2K las ich von der Möglichkeit, in der Antwortdatei die u.a. GUIUnattended zu benutzen.
So wie ich das mache, funzt es aber nicht.
Hier der Inhalt der Antwort-Datei:
[DCInstall]
AdministratorPassword=loisyn
AutoConfigDNS=Yes
CreateOrJoin=Create
DatabasePath="%systemroot%\NTDS"
DNSOnNetwork=Yes
DomainNetBiosName=mydomain
LogPath="%systemroot%\NTDS"
NewDomainDNSName=mydomain.local
Password=loisyn
RebootOnSuccess=Yes
ReplicaOrNewDomain=Domain
SiteName=My-Site
SysVolPath="%systemroot%\sysvol"
TreeOrChild=Tree
UserDomain=Serv001
UserName=administrator
[GUIUnattended]
AutoLogon=yes
AutoLogonCount=1
Wer weiß, wie's geht?
Bin um jeden Tipp dankbar. Gruß Loisyn
-
Hi,
zuerst zu deiner Frage:
Ja es ist normal, dass serverbasierte Benutzerprofile beim Abmelden auch lokal gespeichert werden. Dadurch können z.B. Notebook-Benutzer das gleiche Look&Feel haben, wenn sie unterwegs oder zu Hause arbeiten, denn Windows nimmt die lokale Kopie des Proifls, wenn die serverbasierte nicht verfügbar ist.
Das lokale Kopieren des Benutzerprofils lässt sich via Group-Policy aber auch abstellen.
Hier gibt's einige Infos:
Nun zu deinem Problem:
Steigt denn die Profilgröße innerhalb zwei Wochen stark an?
Haben die Benutzer Shortcuts zu Dateien auf anderen Rechnern auf dem Desktop?
Mach' mal noch ein paar weitere Angaben...
So long Loisyn
-
Hier ist das Script, welches den Benutzer und Passwort eines Dienstes ändert:
Beim Aufruf gibt es 4 Parameter (siehe Comments)
#Parameter1: Name der Domäne oder des Rechners
DomainNetBiosName = WScript.Arguments(0)
#Parameter2: Name des Benutzers
UserName = WScript.Arguments(1)
#Parameter3: Passwort
Password = WScript.Arguments(2)
#Parameter4: Name des Dienstes
ServiceName = WScript.Arguments(3)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colServiceList = objWMIService.ExecQuery("Select * from Win32_Service")
For Each objservice in colServiceList
If objService.Displayname = ServiceName Then
errReturn = objService.Change( , , , , , , DomainNetBiosName & "\" & UserName , Password)
End If
Next
So long, Loisyn
-
Hlalo zusammen,
ich brauche ein Skript, das mir die Anmeldung eines Dienstes auf einen bestimmten Benutzername und Passwort setzt.
In der Registry kann ich im Klartext ja nur den Benutzernamen setzen, das Passwort habe ich dort nicht gefunden...
Der Key in dem ich gesucht habe:
HKLM\System\CurrentControlSet\Services\MyService
ObjectName ist wohl der Anmeldename...
Ein VB-Skript oder so wäre echt klasse.
Wer kann helfen?
Gruß Loisyn
-
Folgender Workaround funktioniert:
als Username nicht den UPN sonden den SamAccountName benutzen (die alte NT4-Schreibweise "domäne\user").
Die UPN-Namensauflösung scheint wohl während des Systemstarts noch nicht zur Verfügung zu stehen.
Das ist deshalb bitter, weil der UPN automatisch eingetragen wird, wenn man im das Dienste-SnapIn den User über "Browse" sucht und anklickt :-(((
Vielleicht weiß jemand, auf welchen Dienst ich warten kann, damit der UPN verwendet werden kann? Den NTETLOGON hatte ich schon probiert...
Greez Loisyn
-
Hi urmel98,
da ist ein Leerzeichen zwischen srv und dem _kerberos....
nslookup -type=srv _kerberos._tcp.<DNS-Name_deiner_Domäne>
Gruß Loisyn
send to- option
in Windows Forum — Allgemein
Geschrieben
Hallöchen,
gehe auf das Profilverzeichnis des Benutzers, z.Bsp. C:\Dokumente nud Einstellungen\Username
Dort findest du ein Verzeichnis SendTo, das die Verknüpfungen enthält, welche bei Rechtsklick - SendTo angezeigt werden.
Nun auf E-Mail-Empfänger einen Rechtsklick - Eigenschaften und unter "Öffnen mit" Outlook auswählen.
So long
Loisyn