WolverineJR

So... ich hab´ es nun nach den o.g. Links einfach mal ausprobiert und bin nun in eine Sackgasse gerannt... Ich habe den Server an dem die Uhr angeschlossen ist, nun aus der Domäne entfernt und in eine einfache Arbeitsgruppe eingefügt, damit ich keine Probleme mit doppeltem Zeitabgleich bekomme (Zeit von ADS-Domäne und lokale Zeit). Danach habe ich auf dem NTP-Server folgende Einstellungen in der Registry vorgenommen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time Dort unter "Parameters" folgende Einträge vorgenommen: - "LocalNTP" mit dem Wert "1" eingetragen - "ReliableTimeSource" auf "1" gesetzt - "Type" auf "NoSync" gesetzt unter "TimeProviders\NTPServer" folgende Einträge vorgenommen: - "AllowNonstandardModeCombinations" auf "1" - "Enabled" auf "1" - "InputProvider" auf "1" Habe danach den kompletten Server durchgestartet. Den Active-Directory-Domänencontroller, der auch PDC-Emulator ist, habe ich mit folgendem Befehl an den neuen NTP-Server gehängt: w32tm /config /manualpeerlist:xxx.xxx.xxx.xxx (IP-Adresse NTP-Server) /syncfromflags:manual /reliable:yes /update Bekomme aber von dem Domänencontroller nach einem Reboot folgende Fehlermeldungen: 1. Fehlermeldung: Der Zeitanbieter "NtpClient" empfängt momentan ungültige Zeitdaten von xxx.xxx.xxx.xxx (ntp.m|0x0|xxx.xxx.xxx.xxx:123->xxx.xxx.xxx.xxx:123) bzw. kann das Ziel nicht erreichen. 2. Fehlermeldung: Zeitabieter "NtpClient": Von dem manuell konfigurierten Peer xxx.xxx.xxx.xxx wurde nach 8 Kontaktversuchen keine gültige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. NtpClient versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. 3. Fehlermeldung: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. HILFE!!!! Ich komme irgendwie nicht weiter! Danke schon im voraus!

Die Tobit-Uhr wird über ein serielles Kabel an den Server angeschlossen. Eine entsprechende Software stellt dann die Synchronisation her. Ich bekomme ja bereits im Ereignisprotokoll Fehlermeldungen, dass die Zeit nicht mehr synchronisiert wird. Anscheinend beißt sich bereits die Zeit von der Tobit-Uhr mit der ADS-Zeit. Der Link hat übrigens gestimmt... Das ist das Produkt.

Ping von Client auf Server geht? Firewall aktiv? (W2k3 interne Firewall eventuell)? welche Netzverbindung der beiden Maschinen untereinander? (LAN 100MBit/ISDN-VPN o.a. Wählverbindung...)? wird Zugriff der Remotedesktopverbindung auf den Server lokal auf dem Server geregelt oder z.B. über Gruppenrichtlinien einer Active-Directory-Domäne vergeben?

Laufen denn die Terminal-Dienste??

Hallo Leute! Mal ´ne Frage... Wir wollen von unserem aktuellem NTP-Anbieter unserer ActiveDirectory-Domäne weg (verdammt üble Zeitdifferenzen... führt zu ständigen Sync-Verlusten). Haben nun eine Tobit-Uhr an einen W2k3-Sp1-Server angeschlossen, welcher Mitglied unserer ADS-Domäne ist. Nun meine Frage: Da alle Mitglieder der ADS-Domäne ihre Zeit vom Domänen-Controller beziehen, wie funktioniert das mit dem NTP-Server der zugleich auch ADS-Member ist? Kommt der mit der Zeit-Synchro nicht total durcheinander? Oder muss ich da in der Registry des NTP-Servers explizit sich selbst als Server nennen? Und wie konfiguriere ich dann die ganze Umgebung (also Zeitserver und Domänencontroller), damit diese die Zeit korrekt übernehmen (also vom Zeitserver)?? Vielen Dank!!!!!

So... habe die richtige GPO gefunden. Und zwar unter "Benutzerkonfiguration/Administrative Vorlagen/Windows Komponenten/Terminaldienste/" und dort den Punkt "Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen" auf "Aktiviert" und "Vollzugriff mit Erlaubnis des Benutzers" stellen. Dann können keine Benutzer mehr die Sessions anderer Benutzer willkürlich trennen, aber die Remoteüberwachung in den Termaldiensteverwaltung ist noch möglich.

Ist mir jetzt ein wenig peinlich, aber die Problemstellung ist doch ein wenig anders. Es geht nicht um den Haken um die Prozesse aller Benutzer anzuzeigen, sondern um den Karteikartenreiter "Benutzer" im Taskmanager. Zur Zeit kann dort jeder Terminalserver-Benutzer die Session eines anderen angemeldeten Users einfach beenden, indem er den User auswählt und auf "Abmelden" bzw. "Trennen" klickt. Gibt es hierfür eine Möglichkeit, dies per Gruppenrichtlinien zu unterbinden? Vielen Dank!

Hallo Leute! Ich suche eine Gruppenrichtlinie für unsere Terminalserver (Terminalserver sind W2k3SP1), mit der es möglich ist unter dem Taskmanager den Haken "Prozesse aller Benutzer anzeigen" auszublenden bzw. zu deaktivieren. Hab mir schon in der GPMC einen Wolf gesucht. Aber nichts gefunden. Der Taskmanager soll nicht deaktiviert werden! Die Benutzer sollen (laut unserer Applikationsbetreuer) in der Lage sein, ihre Applikationen per Taskmanager zu beenden. Wir haben eine W2k3SP1-ADS-Domäne... zur Info. Danke!!

Noch eine Frage... wo kann ich denn das Tools "repadmin" finden? Habe W2k3 Standard Edition und das ResourceKit installiert. Finde das Tool aber nicht.

hmm... netlogon läuft als Prozess bzw. Dienst gar nicht...

Hallo Leute! Wir führen hier im Hause gerade eine Systemüberwachungssoftware auf Basis von SNMP ein. Hier sollen auch unsere beiden Windows2003-ActiveDirectory-Server überwacht werden. Nun wollte ich mal dezent nachfragen, welche Dienste, Prozesse und Dateien für den Betrieb mit welchen Parametern zu überwachen sind. Ich habe mir bereits folgende Dienste notiert: DNS-Client, DNS-Server, WINS, Windows-Zeitgeber, Kerberos-Schlüsselverteilungscenter. Hat hier noch jemand Ergänzungen? Danke!!!!

Danke für die rege Anteilnahme! Also die TS-Server-User haben keine Möglichkeit, selbstständig Programme, welche wir ihnen nicht als Shortcut auf den Desktop legen, zu starten. Office ist auf den TS nicht installiert. Nur die Office-Viewer (für Word und Excel). Taskleiste ist in keinster Weise manipulierbar. "Eigene Dateien" sind nicht sichtbar. Der einzige Punkt, welche noch nicht implementiert wurde, ist die Manipulierbarkeit des Desktops... gibt es dafür bereits eine GPO? Die Idee mit dem Registry-Key werde ich mal verfolgen. Das wäre eine Möglichkeit.

Hallo und Danke für den Tipp... aber das ist auf den ersten Blick doch ziemlich "starker Tobak". Ich hatte nicht vor mich in die LDAP-Abfragen-Programmierung einzuarbeiten. :-) Gibt es denn nicht die Möglichkeit über bereits vorhandene ADS-Bordmitteln oder mit Zusatztools (möglichst kostenfrei) solche Abfragen zu tätigen. Ich habe auf einer NT-Domäne bereits etwas ähnliches mittels Hyena gesehen. Nur das wird nicht gerade billig sein.

Der User hat in der Terminalsession keine (uns bisher bekannte) Möglichkeit einen Editor zu starten. Das Startmenü wurde stark eingeschränkt und die lokalen Platten sind nicht sichtbar. Darum sehen wir als einzige Möglichkeit sich mittels des Kontextmenüs eine Batchdatei auf den Desktop zu legen und dort etwaige Kommandos abzusetzen. Die Möglichkeit bestimmte Abläufe einer Batch zu verbieten haben wir gar nicht in Betracht gezogen, weil dadurch etwaige Anwendungen, mit denen die Benutzer arbeiten sollen, dadurch in Mitleidenschaft gezogen werden könnten.

Hallo Leute! Kennt jemand einen Weg, wie man best. Informationen aus der ADS in eine Datei extrahieren kann. Speziell suche ich einen Weg, wie ich die Mitglieder einer ADS-Gruppe in eine Datei zwecks Dokumentierungszwecken extrahieren kann. Danke!!

Auf der gruppenrichtlinien-Seite habe ich nicht nach dem Problem gesucht. Dort sind ja auch nur die Gruppenrichtlinien (zwar ein wenig übersichtlicher) abgebildet. Und ich habe auf dem DC in den GPO´s nichts finden können. Darum habe ich ja hier gepostet, ob jemand Abhilfe weiß... die Gruppenrichtlinien sind des öfteren nicht gerade in ihrem Namen und der Beschreibung verständlich. Und vielleicht hat ja jemand das Problem vorher schonmal lösen können.

"Active Desktop" habe ich per Gruppenrichtlinie bereits deaktiviert. Dürfte also wirkungslos sein. Trotzdem Danke! Weitere Ideen?

Hallo Leute! Um unseren Terminalserver-Usern eine möglichst "unkomplizierte" ;) Verwendung der Terminalserver zu gewährleisten, suche ich noch nach einer Möglichkeit per Gruppenrichtlinien das Öffnen des Dialogfenster bei dem Rechtsklick der Maus im Desktop zu verhindern (sonst können sich die Kollegen eine Batchdatei erstellen, mit der sie viel anstellen können). Habe leider nichts in den Standardgruppenrichtlinien finden können. Hat hier jemand ne Idee?? Als ADS-Domän-Server haben wir Windows 2003 Server (noch ohne ServicePack 1) und als Terminalserver ebenfalls Windows 2003 Server (aber mit ServicePack1). Danke schonmal im voraus!

Hat hier niemand eine Idee?? Oder funktioniert das bei jedem??

Hallo Leute! Ich habe ein Problem betreffs Sichern von GPO´s in einer W2k3-ActiveDirectory-Domäne. Für unsere Terminalserver habe ich eine Group Policy erstellt und auf eine ActiveDirectory-Gruppe angewendet, in welcher die Maschinenkonten der Terminalserver liegen. Die Gruppenrichtlinien greifen auch alle wunderbar. Zu Testzwecken möchte ich nun aber eine Kopie der Terminalserver-GPO erstellen. Hierfür wird ja eigentlich die Funktion des Sicherns der GPO in der GPMC verwendet. Wenn ich diese aber anwende, bekomme ich jedesmal (und auch bei anderen GPO´s wie zum Beispiel der "Default Domain Policy") die Fehlermeldung "Gruppenrichtlinienobjekt: Terminalserver...Fehlgeschlagen Der angegebene Server kann den angeforderten Vorgang nicht ausführen." und einen entsprechenden Eintrag in der Anwendungs-Ereignisanzeige. Die Sicherung der GPO sollte in das lokale Verzeichnis "C:\GPO\" laufen. Dort habe ich bereits der Gruppe "Jeder" Vollzugriff gegeben, damit Berechtigungen zum Schreiben keine Probleme bereiten sollte (mir ist bewußt das dies so nicht sein sollte aus Sicherheitsgründen... wenn´s hoffentlich mal funktioniert drehe ich es auch wieder hoch). Der Lesezugriff sollte auch funktionieren, da selbst bei Standard-GPO´s (also bei denen zumindest jeder lesen darf) auch die Probleme auftreten. Hat jemand eine Idee? Grüße!

Der lokale Admin ist nicht in einer OU. Wir regeln aber das Recht der Benutzung der Remotedesktopverbindung über eine GP. Und dort kann ich leider nur Benutzer/Gruppen innerhalb der Domäne hineinnehmen. Keine lokalen Benutzer.

Hallo! Sorry das ich mich erst so spät melde. Habe nun den lokalen Administrator in die lokale Gruppe der Remotedesktopbenutzer eingefügt. Geht leider immer noch nicht. Und der TS ist kein DC. Es erscheint aber nun folgende Meldung: Sie müssen über die Berechtigung "Anmeldung über Terminaldienste zulassen" verfügen... usw. Ich habe doch die Berechtigung mich über den Terminaldienst anzumelden, da der lokale Admin in der Remotedesktopbenutzergruppe ist. Oder verstehe ich da was falsch?? Weitere Ideen? Grüße!

Hallo! Ich habe folgende Problemstellung. Wir haben eine AD-Integration unter W2k3 mit W2k3-Terminalserver. Die User greifen auf die Terminalserver mittel Remotedesktopverbindung zu. Nun haben wir globale Gruppenrichtlinien auf die ADS-Gruppe der Terminalserver angewendet. Das funktioniert auch soweit wunderbar. Nur haben wir jetzt das Problem, dass sich der lokale Administrator der Terminalserver nicht mehr per Remotedesktopverbindung am jeweiligen Terminalserver anmelden kann. Es erscheint die Meldung, dass die lokalen Richtlinien es nicht erlauben, dass sich der User interaktiv anmeldet. Das ist ja auch logisch, da innerhalb der ADS-GPO´s der Zugriff geregelt wird... aber eben leider nur für User innerhalb der ActiveDirectory-Domäne. Nun ist die Frage, wie kann ich den lokalen Administrator wieder über die Remotedesktopverbindung anmelden lassen?? Vielen Dank schonmal im voraus! Grüße!!

... muss ich das machen??? Wenn ja... WIE??

Hi, ich hab mal aus Interesse schnell ein Skript erstellt, welches die Dateien im angegebenen Verzeichnis ausgeben, welche am heutigen Tag erstellt wurden. Dies kann man dann mit z.B. "blat" kombinieren. Grüße heutige_dateien.txt