vision

hab ich auch schon dran gedacht. ich finde das ist aber keine saubere lösung....

da die berechtigungsfelder beim account operator nicht grau hinterlegt sind (siehe bild) ist die berechtigung nicht vererbt. habs aber trotzdem mal ausprobiert (vererbung in der ou rausgenommen) und eine neue gruppe angelegt. > account operatoren bekommen wieder vollzugriff?

nur wenn ich eine nt-gruppe per "delegation" rechte auf eine ou gebe werden in allen darin enthaltenen objekten die neu deligierte gruppe nachgezogen.

Anscheinend werden die Account operatoren IMMER standardmäßig gesetzt!?

sorry, kleiner fehler bei step 2.

die account operatoren bekommen natürlich full-controll auf die neue gruppe nicht auf die ou

ok, jetzt mit jpg :-)

step 1)

- ich erzeuge eine OU. automatisch haben die "account operatoren" full-controll auf die ou.

- ich entferne die "account operatoren", da in der ou administratoren konten stehen, die nicht von accountoperatoren editiert werden dürfen, sonder nur von domain admins.

step2)

- ich erzeuge in der ou eine globale gruppe

- automatisch haben die "account operatoren" full-controll auf die ou. WARUM ?

die account operatoren sind auch nicht repliziert worden, da sie nicht grau unterlegt sind?

ich hoffe das es jetzt einigermaßen verständlich ist, falls nicht bitte bescheid sagen.

grüsse

die rechte habe ich in der ou gesetzt, bloß steht in der berechtigung einer gruppe, die ich in der ou erstelle was anderes drin als in der ou !?

d.h. in der ou habe ich den "account operator" unter security alle rechte genommen. lege ich eine gruppe in der ou an stehen dort in der security die "account operator" wieder drin??

sorry, habe mich wohl nicht eindeutig ausgedrückt:

1.) ich möchte die verwaltung einer ou delegieren und einschränken. z.b. habe ich aus einer ou die "account operators" entfernt und eine spezielle gruppe eingefügt die dort die verwaltung der user und gruppen übernehmen soll. erstelle ich jetzt in dieser ou eine gruppe, stehen dort wieder die "account operator" drin. sie bekommt die rechte also nicht von dieser ou vererbt.

2.) wie kann ich die rechte einer ou nachträglich auf allen drunterliegenden objekte vererben? (so wie es bei ntfs-rechten möglich ist geht es anscheinend nicht)

grüsse

vision

hi,

ich habe auf einer ou rechte vergeben (u.a. Account Operator rausgeschmissen). erstelle ich nun in der ou eine gruppe erhält sie nicht die gleichen berechtigungen wie die ou (z.b. sind die Account Operator wieder drin)?

warum?

wie kann ich nachträglich allen objekten in einer ou, die rechte von der ou vererben?

gruss

vision

kann man die farbtiefe auch verringern? wenn ja wo?

hi,

blende ich den richtlinien (lokal oder gpo) die bildschirmschoner-karte aus.

gruss

vision

hi,

es gibt eine möglichkeit. man kann sich eine "dll" selber schreiben, die dann dann die autoreply funktion übernimmt. läuft bei uns so. kann aber leider nicht mehr dazu sagen, da ich es nicht implementiert habe.

grüsse

vision

ne idee, wie ich die keys rausbekomme? ich hab sie nicht gefunden... :-(

kann man die terminalserver konfig (z.b. "idle Time", "disconnect time") auch per policy über alle server setzen? oder muß ich jeden server einzeln konfigurieren.

hallo,

Ist-Stand:

Root-Domain (2 Server)

Child Domain Deutschland (5 Server über 4 Standorte/sites verteilt)

Alle können sich direkt unterhalten (ohne firewall).

Jetzt müssen wir eine Child Domain für Schweitz aufbauen.

Zwischen uns und Schweitz steht eine Firewall.

Wir haben einen Child Schweitz bei uns stehen.

Ein andere Child muß in Schweitz vor Ort (hinter der Firewall) stehen.

Der Schweitzer Child will mit jedem Domaincontroller kontakt aufnehmen !?

Was muß ich tun, um das ganze so zu limitieren, das er nur noch Verbindung mit seinem child-partner bei uns kontakt aufbauen will. verbindung zu einem root wäre auch noch ok.

eine "site" schweitz haben wir schon erstellt, genutzt hat es aber nichts...

grüsse

vision

ups, hab grad festgestellt, das im netz der terminal-server nur auf einem dc installiert sein darf!?

ich habe meinen w2000 terminal-server von einer nt4 in eine w2k-domäne gemoved. linzenzserver auf dem server läuft seitdem nicht mehr??

hallo,

macht es sinn einen lizenz server für alle terminal-server zu betreiben? oder installiert man ihn immer mit auf den trm-srv?

grüsse

vision

hallo,

kann man die Terminal-Server Konfig (idletime, disconnect time) per Domain Policy konfigurieren?

ok, muß ich wohl mit leben ;-)

bleibt nur noch die möglichkeit die admina in der root-domain einzurichten....

noch ne aktuelle frage.

die einstellungen in der policy (computer & user) beziehen sich auch wirklich nur auf selbige !?

d.h. wenn ich eine änderung in der policy unter "computer konfiguration" mache, wirkt sich das auch nur auf computerkonten aus? und änderungen in dem user teil wirken sich nur auf user konten aus?

hallo,

bin gerade beim ads design und habe mich eben mit der passwortrichtlinie beschäftigt.

eigentlich wollte ich für die admins eine andere richtlinie hinterlegen, wie für die "normalen" benutzer.

doch das ads hat mich eines besseren belehrt. obwohl ich auch auf OU's eine passwortrichtlinie setzen kann, zieht die nicht. sondern nur die Default Domain Policy.

Stimmt das? wenn ja...so ein shit :(

lang lebe w2k ..naja solange wirds ja leider nicht überleben ;-)

schon klar, aber gegen ein paar sinnvolle tips spricht ja nix ;-)

exchange / outlook bekommt auch keine probleme, wenn ich tagsüber einfach user verschiebe?

hallo,

kann es auswirkungen auf den laufenden betrieb geben, wenn man computer in eine andere ou verschiebt?

gleiches bei usern?

bye

vision

das dürfte aber nichts mit den gecachten passwörtern zu tun haben. sondern nur mit lokalen accounts.

wenn jemand an der workstation sitzt und mit ner linux boot diskette bootet kommt er an die hash passwörter dran, ohne das windows etwas merkt.

hallo,

wir haben das gleiche problem auf einem unserer w2k sp2 fileserver. ich habe den verdacht, das es eventuell ein lastproblem ist. der server ist extrem hoch belastet (ca. 600 projektlaufwerke / 3000 user). wir haben auch schon mal ein paar aussetzer, d.h. server ist für 2 min. nicht erreichbar, gehabt.

falls du das problem gelöst hast, bitte bescheid sagen :)

welche usernamen setzt Ihr so ein?