robotto7831a

Hallo! zu 1 b: Das die NTFS Rechte nicht geändert werden ist beim Verschieben von Dateien so. Anders beim Kopieren. zu 2: Solange die Software für die Installation keine Admin Rechte benötigt, kann man nicht verhindern das Benutzer z. B. portable Software installiert. Warum arbeiten deine Benutzer eigentlich direkt auf dem Server? Frank

Sowohl als auch. Kommt drauf an welche Maschine. Frank

Am Server habe ich, wenn ich mich lokal anmelde, Admin Rechte. Wenn ich mich lokal anmelde, dann mache ich das ja um irgenwelche administrative Tätigkeiten auszuführen. Sonst gibt es ja keinen Grund für eine lokale Anmeldung bzw. über RDP. Frank

Wenn ich mich nach jedem Passwortwechsel an jedem Rechner wieder anmelden muss wo ich mal angemeldet war, dann hätte ich aber was zu tun. Frank

Wir administrieren egal ob Client oder Server entweder mit dem lokalen Administrator oder halt mit Domänenbenutzerkonten denen die entsprechenden Rechte geben wurden. Also einen ganz normalen AD Benutzer der wie NilsK es bereits erwähnt hat in der lokalen Admingruppe eingetragen ist. Frank PS: Als Server meine ich jetzt keinen DC.

Der Domänenadministrator liegt ganz unten in der Schublade und wird nur im Notfall oder für wirkliche administrative Aufgaben direkt an der Domäne geholt und verwendet. Frank

Um administrative arbeiten an einem Client durchzuführen, arbeiten wir maximal mit dem lokalen Adminkonto. Für mich ist Grund ersichtlich, dass man ein Domänenadminkonto dafür benötigt. Ich lasse mich aber gerne mit stichhaltigen Argumenten von dem Gegenteil überzeugen. Frank

Definiere verwalten. Für das normale arbeiten in der Domäne hat mein Domänenbenutzerkonto über Delegierung das Recht Benutzer, Computer und Gruppen zu verwalten. Damit wird 90% der täglichen Aufgaben erschlagen. Computer werden auch mit meinem normalen Benutzerkonto in die Domäne gehoben. Dafür benötigt man keine Domänen Administratorrechte. Was treibst Du denn auf den Rechnern das Du den großen Bahnhof benötigst? Frank

Das Kennwort befindet sich aber nur im Cache wenn sich ein Domänenadmin jemals von der Maschine aus angemeldet hat. Und auf einem x beliebigen Client gibt es keinen Grund sich als Domänenadmin anzumelden. Frank

Vielleicht solltest Du mal darüber nachdenken für diesen Server einen gesonderten DNS Namen anzulegen und über diesen dann die Software zugreifen lassen. Bei der nächsten Aktion müsste nur der DNS Name auf die neue IP geschwenkt werden und die Software ist glücklich. Sowas wie "lizenzfs". Frank

Suchst Du vielleicht das? Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de Frank

Hallo, warum läst Du die Richtlinie überhaupt auf den DC wirken? Frank

Da hast Du natürlich Recht aber wie viele Personen administrieren die Client Rechner? Das sind doch bestimmt maximal eine Hand voll Personen vom IT Support die das Kennwort dann kennen. Normale Benutzer kennen in der Regel nicht das Admin Passwort. Frank

Hallo, das sind ja jede Menge Anforderungen die Du hast. Aber lieber spät als nie. Bei uns läuft das so ab. Keiner hat Domänenadmin Rechte. Die Personen die Benutzer, Gruppen usw. anlegen und pflegen müssen haben entsprechende Rechte bekommen. Das Domänenadmin Passwort ist unter Verschluss und wird nur im Notfall benutzt oder wenn halt etwas an der Domäne gemacht werden muss. Danach wird das Kennwort per Hand geändert und wieder eingeschlossen. Warum möchtest Du auf jedem PC für jeden Admin Account ein anderes Passwort pflegen? Ober habe ich das bei Ziel 1 falsch verstanden? Ein Adminaccount pro Client PC reicht doch aus. Frank

Jetzt haben wir zwei total gegensächliche Aussagen. Was stimmt denn jetzt? Frank

OK Danke. Frank

OK. Da mein WSUS direkt nach Hause telefoniert könnte ich dann ja theoretisch die Shares deaktivieren oder? Ich habe auch keine abhängigen Replikaitonssserver. Frank

Hallo, ich betreibe einen WSUS Server auf einer W2K3 Maschine. Der WSUS Server legt bei der Installation zwei Netzwerkfreigaben an. Diese haben unter anderem die Berechtigung Jeder mit lesen. Jetzt ist die Berechtigung Jeder lesen unser Sicherheitsabteilung ein Dorn im Auge. Da von diesem WSUS nur eine Hand voll Server versorgt werden und diese alle der Domäne angehören war mein erster Gedanke ich mache eine Gruppe mit den Computerobjekten und trage diese in der Netzwerkfreigabe mit der Berechtigung lesen ein. Kann der WSUS Client dann überhaupt auf den Share zugreifen wenn ich die Berechtigung Jeder lösche und die Gruppe mit der Berechtigung lesen eintrage? Frank

FTP Dienst installieren bzw. aktivieren wenn er schon vorhanden ist und sich mit einem FTP Client von XP aus verbinden. Eventuell vorher die Dateien die man kopieren möchte in das FTP Home des Users legen wenn der FTP in einer chroot Umgebung läuft. Frank

Hallo, wenn dann muss auf der Unix Maschine was installiert werden. Samba bietet auf der Unix Maschine einen Fileserverdienst an. FTP ist eine andere Möglichkeit. Frank

Soviel mir bekannt ist ein Squid. Frank

Wenn Du die benötigten Lizenzen hast und die Chance alles neu zu machen, dann würde ich immer auf das aktuellste Produkt aufsetzen. Alleine schon wegen dem Support. Für 2003 ist doch mittlerweile der Support ohne Service Pack ausgelaufen wenn ich das richtig im Kopf habe. Frank

Hallo zusammen, wir gehen über einen Proxy ins Internet. Jetzt müssen aber verschiedene Leute auf ein Bugtracker Tool von einer Fremdfirma zugreifen und dieses Tool benötigt eine SOCKS Verbindung. SOCKS ist an der Firewall freigeschaltet und eingerichtet. Als Programm habe ich im Internet SocksCap gefunden. Nur leider hat dieses Tool anscheinend Probleme wenn Java 1.6 auf dem Client installiert ist. Kennt jemand ein anderes Tool? Frank

Hallo, Du kannst einen komplett konfirgurierten PC mit sysprep versiegeln und dann mit WDS oder Ghost oder sonst was ein Image erstellen und dieses dann auf den neuen PC verteilen. Frank

So habe ich das auch verstanden. The Sean Blog : Windows Server 2008 - Fine Grained Password Policy Walkthrough Frank