blub

- Was hast du denn für ein AD? 2000 oder 2003.

- Was ist das für eine Policy (*.adm, IPSEC...)

cu

blub

Hi,

AT.exe ist auch nicht mehr ganz zeitgemäss. Das Standardtool ist ab 2000 schtasks. Wenns aber sowas wie at.exe sein soll, dann nutz besser jt.exe

http://www.mcseboard.de/showthread.php?threadid=7572&highlight=jt.exe

cu

blub

Hast du dir den Technet-Artikel "PSS ID Number: 321208" angeschaut? Hat wohl eher was mit deiner Wins-Konfiguration als mit deinem Netz zu tun.

cu

blub

kann man auch rel. einfach selbst programmieren. Schau hier

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wmisdk/wmi/swbemservices_execnotificationqueryasync.asp

cu

blub

Hatte ich allerdings auch noch nicht. Gibt es denn unter Properties irgendwelche Threads?

cu

blub

Hi fragma,

der taskmanager ist ein ziemlich armseliges Tool, der die Prozessorlast immer nur in bestimmten Zeitabständen misst. Dadurch kanns passieren, dass ein Process eine Menge Prozessorlast frisst, ohne dass es der Taskmanager mitbekommt. Hol dir von http://www.Sysinternals.com den "Processexplorer" und lass dir die Deltas der Contextswitche einblenden. Der Prozess mit dem grössten Delta wird dein gesuchter Prozess sein.

cu

blub

Hi,

solange es keine binären Einträge sind und du die Einträge nach HKLM oder HKCU schreibne möchtest, ist es per GPO über *.adm Dateien möglich. Es gibt einige Artikel in der Technet, wie ADM-Dateien zu schreiben sind. Ist nicht so schwierig, wenn man die Beispiele ummodelt.

cu

blub

guckst du hier

http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/cnfc/cnfc_por_simw.asp

suchst du wins

-> port 42

tool wäre z.B. portqry aus dem 2003-er Reskit

cu

blub

Hallo Newbie,

Hol dir das dnslint.exe von http://www.microsoft.com. Der mach auch nix anderes als nslookup, aber wertet die Meldungen farblich (grün, gelb, rot) für dich aus.

cu

blub

Hallo morpheus,

Ab AD werden die Anmelde-DCs über das Sitekonzept definiert. Der Client sucht sich seinen DC möglichst in seiner Site. Wenn kein DC in seiner Site vorhanden ist, dann wird die Site gesucht, die am günstigsten zu erreichen ist. Besonders in Branch-Officeumgebungen ist dies aber nicht immer gewünscht, so dass man dann per RegSettings (DNS-Einstellungen) festlegt, dass die Clients sich in der zentralen Site anmelden sollen. Genau ist das im 2000-er Branch-Office Guide beschrieben. (Auswendig weiss ichs jetzt auch nicht)

Wenn beide Server in einer Site sind, könnte man es im DNS (Weight/ Priority) realisieren. Ist aber eine Bastelei, deren Nebeneffekte man erstmal erroieren muss. Normal macht mans mit Sites.

cu

blub

Hi,

Hab gerade

http://oca.microsoft.com

gefunden. Dort kann man seine Bluescreens analysieren lassen. Wenn's jemand ausprobieren kann, wäre die Erfahrung interessant.

cu

blub

Ein absolutes Spitzenprogramm, gerade was Speicher, Threads, Systemtroubleshooting anbelangt, ist der "Processexplorer" von sysinternals.

Das ist quasi ein Super-Taskmanager

Cu

blub

ja,

man wird zwar aufgefordert ein pw einzugeben, aber eine leeres pw wird akkzeptiert.

cu

blub

DNS muss es natürlich geben, aber nicht zwingend auf einem DC. Hab ich vielleicht falsch verstanden

cu

blub

DDNS bzw. DNS muss nicht sein

@grizzly

Bei Win2003 geht der systemaccount auf jeden Fall auch bei scheduled Tasks. Unter Win2000 hab ichs noch nicht gemacht

cu

blub

hast du es mal mit dem Account "nt authority\system" versucht?

cu

blub

Mal als Tipp, für diejenigen, die eine Gehaltsverhandlung führen müssen:

Erkundigt euch zuerst, ob es in dem Unternehmen Gehaltsgruppen, Gehaltsklassen, Gehaltsbänder etc. gibt. Meist beginnt es mit Gehaltsgruppe 3 (Hausmeister) bis ca. Gehaltsgruppe 8 (Uni-Doktor). Vielleicht könnt ihr dem verantwortlichen Personaler rauskitzeln, in welche Gehaltsgruppe ihr reinkommen sollt und was die Ober- und Untergrenze sind. Das ist nämlich euer Verhandlungsspielraum bzw. der eures potentiellen Chefs.

Allerdings hat nicht jede Firma ein so geordnetes Gehaltssystem

cu

blub

Wenn ich das PSEUDO-Adminkonto oder irgendein UserKonto (und in welcher Domäne gibt es z.B. kein Konto "Test" :rolleyes: ) geknackt habe, habe ich 3 Mausklicks später den Accountnamen des echten Administrators.

Wenn ich in meiner Domäne komplexe Passwortregeln durchsetze, dann führt mit heutiger Rechnerkapazität auch keine PW-Attacke auf ein Konto zum Ziel. Werden die PW-Regeln nicht eingehalten, hilft auch das Umbenennen des Adminaccounts nur wenig. (eigentlich nur, wenn der Angreifer überhaupt keinen Account aus der Domäne kennt)

cu

blub

Hallo,

Das Administratorkonto umzubenennen, bringt kaum was, da jeder User an Hand der SID auch das umbenannte Adminkonto identifizieren kann.

Die Kennwörter von Administrator-Konten sollten nach dem 4 Augenprinzip erstellt werden und in einen Tresor geschlossen werden. Das sind Notfallkonten, die im Normalfall keinesfalls benutzt werden. Zum Installieren etc. dürfen nur persönlich zuordbare Konten verwendet werden, die eben in den entsprechenden Admin-Gruppen Mitglieder sind.

Will man die Sicherheit weiter erhöhen, kann man Smartcards für Mitglieder der Administratorengruppen einsetzen. Ebenso kann man Netzwerkscans durchführen, ob jemand noch versucht, mit Administrator-Konten zu arbeiten.

Letztlich Unterbinden kann man die Verwendung von Adminkonten nur, wenn der Chef eine entsprechende Arbeitsanweisung mit Konsequenzen herausgibt.

cu

blub

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp

die ist auch nicht schlecht

MS03-041 bis 046 sind übrigens überarbeitet worden. Die Installation der ursprünglichen Patches kann einem unter dummen Umständen den Rechner schrotten. (mir natürlcih passiert...)

cu

blub

grizzly, hast wohl recht. Kann es sein, dass diese Fähigkeit zu net use * \\ftp.microsoft.com\data erst mit irgendeinem Servicepack dazugekommen ist? Weil, ich war mir sehr sicher :-)

Aber ist letztlich unwichtig

cu

blub

Hi,

Müsste ich mich jetzt schon schwer täuschen: Meiner Meinung sind die ganzen net-Befehle pure Netbiosbefehle ohne Hostnamensauflösefahigkeiten.

Daher ist es auch verständlich, wenn der Ping funktioniert (zuerst Wins und dann als zweites System DNS)

Mit Net use hat man nur Chancen, wenn die Anfragen an den richtigen WINS weitergegeben werden, oder über Broadcast aufgelöst werden können. Das kann manchmal zutreffen, manchmal auch nicht.

Endgültigen Aufschluss gibt ein Netzwerkmonitor wie der Ethereal.

cu

blub

Hallo Markus,

Wenn du mehr als ein Subnetz hast, bin ich mir fast sicher, dass ihr bereits einen WINS-Server im Einsatz habt.

Sonst könnten sich u.a. gar keine Clients an der NT4.0-Domäne anmelden.

Mach mal auf einem Client, der sich an der Domäne erfolgreich angemeldet hat "ipconfig -all" . Tauchen dort WINS-Einträge auf?

cu

blub

Du brauchst keine FW. Alles, was du für IPSEC brauchst, ist ab Win2000 (Client und Server) mit dabei.

Wenn du in einer Domäne bist, kannst du IPSEC über Domain-GPOs eindrehen, ansonsten auch lokal. Schau in deiner mmc mal nach ipsec.

Wenn du sowohl auf deinem Client und deinem Server einen "preshared key" eingibst, hast du ganz schnell und einfach eine sehr sichere Verbindung.

Open SSH hab ich noch nicht verwendet

cu

blub