dmetzger

Hallo Ich bekomme täglich irgendwelche Schadensstatistiken ins Haus. Viele stammen von Antivirensoftware-Herstellern, die natürlich an möglichst eindrücklichen Zahlen interessiert sind, um die Kunden bei Kauflaune zu halten. Wenn man dann die Auflistungen so vergleicht, stellt man auch fest, dass der Schaden angeblich immer in den bereichen am grössten ist, in denen der Aussender zufällig sein Fachgebiet ansiedelt. Ich bin also sehr, sehr misstrauisch geworden. Zudem ist es so, wie humpi richtig bemerkt hat: Viele heutige Viren sind eigentlich Trojaner, die unentdeckt Daten saugen. Aufgeregte Schadensbilanzen alleine sagen überhaupt nichts aus. Steck den Finger in die Luft, lasse Dir eine schöne Zahl mit vielen Nullen einfallen, und Du bist etwa gleich nahe an der Realität wie die angeblich seriösen Hochrechnungen aus den Marketingabteilungen der Industrie.

Bei 60 Mitarbeitern wäre dann ein zweiter Server mit den Freigaben vielleicht doch kein Luxus, auch damit die Mitarbeiter nicht mehr auf dem DC herumsurfen. Das ist zwar inital ein grosser Konfigurationsaufwand, auf die Dauer aber doch die bessere Lösung.

Eigentlich hast Du Dir die Antwort ja schon selbst gegeben $-Zeichen setzen, damit die Freigaben nicht mehr sichtbar werden. Gleichzeitig mit NTFS-Berechtigungen dafür sorgen, dass Nutzer den Inhalt von Freigaben nicht lesen können, falls einer den Trick mit dem $-Zeichen kennt.

Einfach nur so kurz als Bemerkung, ehe Du mit dem Downgrade beginnst: Du erwähnst den IIS. Der wird offenbar gebraucht. Vielleicht als Intranet? Jedenfalls erlaubt XP Pro nur bis zu 10 gleichzeitiger Zugriffe, beim Server 2003 entfällt diese Beschränkung. Spart Dir vielleicht den zweiten Tag;-)

GPO-Berechtigungen kontrolliert? Domänenbenutzer müssten die Berechtigungen "Lesen" und "Gruppenrichtlinien übernehmen" bekommen. Admins haben diese automatisch.

Schau Dich mal bei Zyxel (http://www.zyxel.de) um. Ich kann die Zywalls absolut empfehlen. Gut zu konfigurieren, sehr viele Möglichkeiten, ausgezeichnete Dokumentation und Geräte in vielen Preisklassen. Meine Erfahrungen damit sind positiv.

Was sich mehrfach bewährt hat, ist die Speicherung von Freigabendaten auf einer dezidierten Festplatte oder, etwas teurer, einem dezidierten Server. Dadurch lassen sich NTFS-Berechtigungen mit geringerem adminstrativem Aufwand einrichten und die Domänenbenutzer-Zugriffe auf andere Festplatten einschränken resp. verhindern. Es hat dann einfach nichts anderes auf der Freigaben-Platte, das für die Nutzer interessant wäre;-)

Ich denke, dass sich hier die Ursache auf die Schnelle und aus der Ferne nicht seriös ermitteln lässt. Der Patient müsste mehr als nur telefonisch untersucht werden. Gleichzeitig wundere ich mich, dass eine Firma im Jahr 2005 noch Heimbenutzer-Betriebssysteme wie Win 98 und Win ME einsetzt. Die paar Euro weniger als bei XP Pro dürften durch die aktuellen Reparaturaufwände ja schon wieder mehr als verbraucht sein. Und wenn man dann noch die paar Euro für ein professionelles Firewallgerät spart und lieber ZoneAlarm verwendet (und davon womöglich die Gratisversion), muss sich der Betrieb auch nicht wundern, wenn sich die Viren durch die geschäftskritischen Daten auf dem Chef-Notebook fressen. Ich würde grundsätzlich hier ansetzen, ehe ich noch mehr Zeit mit Registratur- und DNS-Experimenten und mit "Aktualisierungen" auf ME verschwende.

Wie sieht es mit NTFS-Berechtigungen aus?

Win 98 macht in einer SBS 2003-Umgebung wenig bis keinen Sinn. Die Verwaltung über AD ist stark eingeschränkt (Gruppenrichtlinien, Softwareverteilung, Nutzerprofile etc.) Win 98 ist insgesamt weniger komfortabel in der Verwaltung und als Betriebssystem deutlich weniger sicher als Windows XP Pro. Viele der von SBS 2003 bereit gestellten Funktionen können von Win 98 nicht genutzt werden. Mittelfristig wird somit der Unterhalt dieser Systeme teurer als eine Aktualisierung. Die Bemerkung meines Vorredners trifft ebenfalls zu. XP Home ist nicht domänenfähig. Wenn der Chef meint, mit XP Home das Gleiche wie bei XP Pro billiger zu bekommen, ist das ein teurer Irrtum. Es gibt ausserdem kein EFS und keinen Remotedesktop bei XP Home. In diesem Forum finden sich schon einige Zuschriften von schlauen Leuten, die mit XP Home Geld zu sparen meinten.

Willkommen an Board! Du müsstest über die Boardsuche so ziemlich alle Deine Fragen mehr als beantworten können.

Sind die Clients so konfiguriert, dass Remotedesktop-Verbindungen zugelassen sind? Ist auf allen ggf. vorhandenen Firewalls Port 3389 freigegeben? Ja genau: Ich nehme an, die Clients werden ausschliesslich mit Win XP Pro betrieben, nicht etwa Win 2000 Pro (den Fall hatte ich schon mal...)

Würde Dir gerne helfen, aber die Informationen sind zu spärlich. Wie viele Netzwerkkarten hat der Server? Wie lautet seine genaue IP-Konfiguration (ipconfig /all). Gibt es einen Router zwischen Server und Clients, oder ist da ein einfacher Switch/Hub. Irgendwelche Firewalls aktiviert?

Dann ist der Akku geladen! Empfehlung generell für Notebooks: Im stationären Netzbetrieb den Akku rausnehmen und diesen erst wieder für mobile Verwendung einsetzen. So hält er deutlich länger.

Das Verfallsdatum von Computerkennwörtern (NICHT Nutzerkennwörtern) in AD-Domänen beträgt standardmässig 30 Tage, um die Sicherheit in Domänen zu erhöhen. Wenn Du ein 9 Monate altes Image zur Wiederherstellung nutzt, sind dort eben die Computerkennwörter von damals gespeichert. Dir bleibt nichts anderes, als jeden betroffenen Client aus der Domäne zu nehmen und wieder hinzuzufügen, dann wird ein neues Computerkennwort generiert. Das Gleich wäre der Fall, wenn ein Client sich mehr als 30 Tage lang nicht in der Domäne anmeldet, also wenn zum Beispiel ein Mitarbeiter 5 Wochen Australien-Urlaub macht. Ich empfehle regelmässige Sicherungen der DC, also mindestens wöchentlich. Sonst passieren dann eben zeitaufwändige Zwischenfälle wie dieser.

Welches Modell? Wie lange hängt es schon am Strom?

Genau, richtig erkannt. Also wenn Du mal wirklich viele E-Mail erhalten willst, nimmts Du die externe;-) Sonst ist die interne die korrekte Wahl.

Über AD nachzudenken, lohnt sich eigentlich immer;-) Arbeitsgruppen funktionieren bis maximal 10 Nutzer, einerseits technisch (z.B. maximale Zahl gleichzeitiger Zugriffe auf freigegebene Ordner), andererseits vom Verwaltungsaufwand der Arbeitsstationen her (lokale Konten für jeden Nutzer nötig, Einstellungen müssen manuell übertragen werden etc.). Eine Domäne kann schon für 5 Nutzer eine wesentliche Erleichterung im administrativen Aufwand bringen. Von daher würde ich etwa diese Grösse als Richtwert nehmen.

zu 2.: Du kannst in AD eine Verteilergruppe definieren, die alle Empfänger der Faxe beinhaltet. Die eingehenden Faxe gehen an diese Verteilergruppe und somit an alle ihre Mitglieder. Das hat den Vorteil, dass Du Mitglieder zur Gruppe hinzuwegen oder aus ihr entfernen kannst, ohne jedesmal den Faxassistenten erneut ausführen zu müssen. Du wiederholst am einfachsten den Faxassistenten, um die Empfängeradresse zu ändern. zu 3.: Wenn ich die Frage richtig verstehe, handelt es sich hier um eine standardmässig angelegte Verteilergruppe, die sämtliche Domänenbenutzer einschliesst.

Gratuliere, der SBS 2003 ist eine gute Wahl;-) 1. Ja, er führt alle definierten Aktionen immer aus. Die konditionelle Ausführung ist nicht vorgesehen. 2. + 3. Ich verstehe die Fragen nicht. Kannst Du sie präziser formulieren? Danke.

Wichtig bei den eingeschränkten Gruppen ist die zentrale Kontrolle über ihre Mitglieder. Es ist also möglich, wie bereits erwähnt, Nutzer zu lokalen Administratoren zu machen, ohne dass diese weitere Nutzer ebenfalls zu Administratoren befördern können. Ein lokaler Administrator hat nämlich dieses Recht. Ist er jedoch Mitglied einer eingeschränkten Gruppe "Lokale Administratoren", werden die von ihm beförderten Nutzer bei deren Anmeldung sofort wieder aus dieser Gruppe entfernt, wenn nicht der Domänenadministrator sie zur eingeschränkten Gruppe hinzugefügt hat. Anders gesagt: Die vom Domänenadmin vergebenen lokalen Adminrechte können von den lokalen Admins nicht Unbefugten weitergegeben werden.

Tja, es ist sogar noch einfacher. Wenn Du bei der externen Karte die Internetverbindung auch für die anderen PCs freigibst (Internet Connection Sharing), bekommt die interne Karte automatisch die IP-Adresse 192.168.0.1 zugeteilt. Die anderen 5 PCs, die über den Switch verbunden sind, erhalten dann automatisch die passenden IP-Adressen im Bereich 192.168.0.2 - 192.168.0.254, also ohne jegliche manuelle Konfiguration. Beim ersten PC mit den zwei Karten bekommt die externe automatisch eine IP-Adresse vom DSL-Anbieter, wenn das DSL-Modem kein Router ist oder kein Firewall-Gerät zwischen DSL-Anschluss und PC vorhanden ist. Falls das DSL-Modem ein Router ist oder Du eine Firewall einsetzt (was zu empfehlen ist), dann benötigt die externe Karte eine IP-Adresse im gleichen IP-Adressenbereich wie der interne Anschluss (LAN) des Routers oder der Firewall. In der Regel haben diese Geräte die interne Adresse 192.168.1.1; Du fährst also gut mit zum Beispiel 192.168.1.2. Alle Klarheit beseitigt?

SMS arbeitet mit Paketdaten im PKG-Format; Du kannst MSI-Dateien importieren. Hier gibts alle Infos in Englisch: http://www.microsoft.com/resources/documentation/sms/2003/all/opsguide/en-us/default.mspx Die neue "PC Professionell" hat in der Abonnementenusgabe (Netzwerk-Sektion) einen Vergleich von Netzwerk-Verwaltungswerkzeugen. Darin wird auch der SMS beschrieben.

Sorry, beim 70-285 meinte ich die MOC-Unterlagen. Ich habe die Möglichkeit, diese auf rechtlich einwandfreie Weise zu beziehen. Ein offizielles MS Press Buch gibt es leider nicht. Das ist die gleiche Situation wie beim SBS-Examen 70-282. Was auch viel hilft, ist der Besuch von Newsgroups und Diskussionsforen wie diesem hier. Ich liebe die englischsprachigen Microsoft-Foren, weil sich dort ausgewiesene Experten aufhalten und tiefsinnig alle Fragen beantworten.

Erzähl uns doch noch ein bisschen mehr. Etwa, ob Du alle eingehenden E-Mails als Faxe verschiecken willst, oder solche von bestimmten Absendern. Es gibt ja die E-Mail-Weiterleitung, und vielleicht liesse sich diese über die Funktion [fax:faxnummer] zweckentfremden. keine Ahnung, ist nur so eine Idee. Ich probiers dann am Abend gleich mal selbst mit meinem SBS 2003 aus.