warbird001

Siehe oben, es geht darum das das lokale Default Profile fuer bestimmte Nutzer gesperrt ist und es deshalb nicht moeglich ist Benutzer automatisch per Script anzulegen. Oder meinst du was anderes? Konnte noch nicht pruefen ob die von !aN genannte Gruppenrichtlinie zu dem gleichen Effekt fuehrt. ciao Stefan:wq

Gibts da noch andere Moeglichkeiten als ueber: Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ? Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script. Aber an dem Problem mit den Registry Berechtigungen aendert das nichts. ciao Stefan:wq

Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet. Die Veraenderungen in der Registry wurden nicht uebernommen. (EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr an der richtigen Stelle. ciao Stefan:wq

Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil. Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden. Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr. Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden. Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde waere es ja kein Problem. Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht. ciao Stefan:wq

Das Default Profile ist das, das auf dem Client vorhanden ist. Es wird dann beim Abmelden auf den Server geschrieben. Ich verstehe das richtig: Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein "einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte? Keine Einstellungen in der Registry etc? Nichts Weiter? Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach" zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original, deshalb habe ich das dann aufgegeben. von d.h bin ich etwas Ueberascht. ciao Stefan:wq

Hallo Alle Ist es moeglich das Profil eines Nutzer automatisch auf den Server zu Schreiben? Also nicht erst dann wenn der Nutzer selber sich erstmals interaktiv an einem Rechner anmeldet sondern schon vorher per Script? Quasi so eine Art automatisierter Login. ciao Stefan:wq

Damit hatte ich es schon frueher versucht. Es kann anscheinend nicht alle Rechte setzen die ueber den Explorer gesetzt werden koennen. Ich habe es mal mit der Kombination von beiden Versucht: subinacl /subdirec e:\userdata\neu /deny=usr=POD cscript c:\programme\xcacls_vbs\xcacls.vbs e:\userdata\neu /E /G domaene\usr:WX7;WX7 Dabei kommt dann folgendes Raus: e:\userdata\neu domaene\yyy:(OI)(IO)(DENY)(special access:) DELETE WRITE_DAC WRITE_OWNER domaene\usr:(CI)(DENY)(special access:) DELETE WRITE_DAC WRITE_OWNER domaene\usr:(OI)(CI)(special access:) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_DELETE_CHILD FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES Das sieht gar nicht mal so Schlecht aus, wie ich subinacl allerdings dazu Ueberede nur einen ACL Eintrag und dann mit (OI)(CI) zu setzen, das habe ich bisher nicht herausgefunden. Ich werde irgendwie das Gefuehl nicht los das das nicht so einfach geht. ciao Stefan:wq

Hallo Schoen waers... Es ist Tatsaechlich moeglich mit xcacls.vbs die Einstellungen die mittels Explorer moeglich sind zu machen, aber wenn es um Verweigerungen geht dann weicht xcacls.vbs vom Explorer ab. Mit dem Befehl: cscript xcacls.vbs e:\userdata\verz /E /G domaene/usr:WX7;WX7 lassen sich die "Zulassen" Rechte Orddnungsgemaess setzen. Sieht dann genauso aus wie wenn man es aus dem Explorer macht Wenn ich dann noch mittels: cscript xcacls.vbs e:\userdata\verz /E /D domaene/usr:DCA;DCA die Verweigerungen hinterherschiebe, taucht eine Verweigerung Zuviel auf. Das normale xacls zeigt danach folgende Verweigerungen an: E:\userdata\verz domaene\usr:(OI)(CI)(DENY)(special access:) DELETE WRITE_DAC WRITE_OWNER SYNCHRONIZE Ich weiss nicht wie ich ihn dazu bringen kann die Verweigerung von SYNCHRONIZE zu unterlassen. Damit funktioniert der Zugriff einfach nicht. Wenn ich mir die Verweigerungen mittels xcacls.vbs ansehe dann taucht diese dort als E auf. Versuche mit einzelnen Verweigerungen haben nichts gebracht. Es scheint als ob xcacls.vbs beim Setzen einer Verweigerung immer auch SYNCHRONIZE (E) auf Verweigert setzt. ciao Stefan:wq

Habe evtl. eine (wenn auch Unschoene) Loesung gefunden: Die Nutzer der Gruppe a sollen sich bei Profilproblemen nicht Anmelden duerfen. Wenn das Laden eines Servergespeicherten Profils Fehlschlaegt dann gibt ueblicherweise eine Fehlermeldung und es wird ein lokales Profil erstellt. (Kopie von c:\dokumente und einstellungen\default user) Ich Verweigere nun der Gruppe a per Verzeichnisssicherheit das Auflisten des Verzeichnissinhalts von: c:\Dokumente und Einstellungen Das hatt anscheinend zur Folge das der Zugriff auf das Default User Profil bei diesen Nutzern Fehlschlaegt, was wiederum zur Folge hat das bei defektem Servergespeicherten Profil kein neues lokales Profil mehr erstellt werden kann. Deswegen bricht bei Mitgliedern der Gruppe a dann der Login Vorgang mit einem "Zugriff Verweigert" ab. Unschoener Nebeneffekt: Das Anlegen neuer Nutzer gestaltet sich deshalb etwas Umstaendlich. Das Servergespeicherte Profil muss erstellt werden bevor der Nutzer der Gruppe a hinzugefuegt wird. Sobald er in der Gruppe a ist kann er kein Profil erstellen. Das erste an und Abmelden muss deshalb vom Administrator bei Erstellung des Kontos erledigt werden. Beobachte das seit kurzem, bisher sind mir bei den Nutzern noch keine Nebeneffekte begegnet die nicht tolerierbar waeren. Was meint ihr, ist das ein guter Weg? Automisches Erstellen von Nutzern ist mir zurzeit kaum Moeglich. Weiss jemand wie man einen Benutzer Automatisch per Script an und wieder Abmelden kann? (Damit das Profil geschrieben wird) ciao Stefan:wq

Hallo Alle Wie kann ich ueber die Kommandozeile ereichen das mir mittels xcacls fuer ein Verzeichniss Folgendes anzeigt wird: --- E:\userdata\verz domaene\usr:(OI)(CI)(DENY)(special access:) DELETE WRITE_DAC WRITE_OWNER VORDEFINIERT\Administratoren:(OI)(CI)F NT-AUTORIT<8E>T\SYSTEM:(OI)(CI)F domaene\usr:(OI)(CI)(special access:) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_DELETE_CHILD FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES --- Weder das Setzen von Verweigerungen noch die Special Access Einstellungen funktionieren hier mittels xcacls. Das Beispiel habe ich ueber den Windows Explorer erstellt ciao Stefan:wq

Hallo Alle Gibt es eine Moeglichkeit GPOs zwichen verschiedenen Domaenen hin und her zu Kopieren? BackupGPO / RestoreGPO aus den GPMC Scripts funktioniert anscheinend nicht. Ich habe den Eindruck das das nur innerhalb der gleichen Domaene funktioniert. ciao Stefan:wq

WDS Dienst laeuft und funktioniert. Das Ding sieht im Legacy Modus genauso aus wie RIS und die vor dem Update Mittels RipRep erstellten Images lassen sich Installieren. Warums zuerst gehakt hatt ist mir unklar, hauptsache es Laeuft. Danke fuer die Hilfe. ciao Stefan:wq

Hallo Ich habe hier das gleiche Problem, aber auch nach WDSUTIL /uninitialize-server funktioniert nichts was mit einem RIS zumindestens Aehnlichkeit haette. Mir ist dabei relativ egal ob nun RIS oder WDS solange ich meine bereits erstellten Images verwenden kann. Bevor ich nun meinen Geist aus dem Schrank hole, gibts noch andere Moeglichkeiten das wieder ans laufen zu bekommen? ciao Stefan:wq

Hmm... Schaut nach dem gleichen Fehler aus. Aber die Loesung will nicht so Richtig. Haenge mich dort mal an....

Hallo Alle Whaerend der Installation von SP auf einem w2k3 DomaenenController erfolgte eine Fehlermeldung das ich nicht ueber ausreichende Installationsrechte verfuegen wuerde. Danach lief die Installation zwar weiter aber nach dem Neustart hies es: "Ein Dienst konnte nicht gestartet werden bitte kontroliieren sie Ereignisanzeige" Ein nochmaliges durchlaufen der SP2 Installation als "Administrator" brachte keine besserung. In der Ereignissanzeige fand ich unter Anwendung eine Warnung mit ID 53258 / MSDTC . Das Problem konnte ich durch einen Hinweis auf eventid.net hier im Board loesen. Nun Taucht in der Ereignissanzeige unter System aber immer noch die Meldung: Der Dienst Remoteinstallationsdienste wurde beendet. Die angegebene Prozedur konnte nicht gefunden werden. Weiss jemand wie ich den wieder ans Laufen bekomme? ciao Stefan:wq

Hallo Alle Jetzt geht der Aerger los. Bisher war es nicht erforderlich Kontingente zu verwenden. Leider gibt es Leute die es umbedingt so haben wollen.... Um den Aerger moeglichst klein zu halten moechte ich aber erstmal nur die Querulantin treffen. Reicht es aus die Kontingente zu Aktivieren / Scharfzuschalten und dann nur der Betreffenden Person einen Kontingenteintrag zu verpassen? d.h fuer die anderen bleibt erstmal alles beim Alten? Bei Versuchen in einer XP/W2K3 Testumgebung funktionierte das Problemlos. Leider ist das bestehende Netz aber noch Komplett w2k Basiert. So das ich dort quasi am offenen Herzen Arbeiten muesste. Geht das da auch? ciao Stefan:wq

Hallo Alle Eben erwaehnte ein Kollege das er demnaechst Kontingente fuer Gruppen auf einem DFS Aktivieren wolle. Ist die Kontingentverwaltung fuer DFS eine andere als die fuer normale Datentraeger? Es geht w2k3 sp1 mit Bordmitteln. ciao Stefan:wq

Hallo Alle Ich erinnere mich dunkel daran das es Moeglich ist die lokale Kopie eines Servergespeicherten Profils zu unterbinden. Da dinge wie cookies , urls usw ueblicherweise unter "Lokale Einstellungen" gespeichert werden, koennte das eine Moeglichkeit sein zu ereichen das die Browser History des IE nach einem neustart leer ist? Kanns leider im Moment nicht testen. Die Tools clearprog und ocp sind zwar grundsaetzlich geeignet, versagen aber (vermutlich) wegen anderer Einschraenkungen ihren Dienst. (Fehlemeldung: Illegal Picture , oder so ae.) ciao Stefan:wq

Hallo Alle Ich habe hier 3 Rechner die mein Vorgaenger speziell Praepariert hatt. Server und Client w2k , es werden Mandatory Profiles mit Autologin verwendet. Das geschah zum Teil durch Einstellungen ueber AD Gruppenrichtlinien. Aber wohl auch durch einige Lokale Einstellungen ueber die aber keine Unterlagen mehr Existieren. Nun ist bei einem dieser Rechner die Platte abgeraucht. Nach Neuinstallation des Systems laesst sich das alte Profil nicht mehr Laden. Also erstmal ein neues Konto mitsamt Profil erstellt und dieses mit dem Rechner an der richtigen Stelle im AD Platziert. Trotzdem zeigen sich einige Unterschiede zu den 2 anderen Rechnern: Das Netzwerkumgebungs Icon ist auf dem neuen Rechner nicht ausgeblendet. Das Arbeitsplatz Icon ist nicht gesperrt. Es kann geoeffnet werden. Die Verlaufsanzeige des InternetExplorers wird nicht bei jedem Neustart geloescht. Habt ihr ne Idee wo ich suchen muss? ciao Stefan:wq

Eine vorhandene LAN Karte zu Aktivieren ist fuer einen Nutzer nicht viel mehr als ein paar Mausklicks. Das duerfte fuer einen Trojaner auch kein grosses Hinderniss sein. Stellt sich die Frage wie effektiv man eine Netzwerkkarte unter Windows Deaktivieren/Deinstallieren kann ohne das andere Parallel Installierte Betriebssysteme davon Betroffen sind. Soweit ich ihn verstanden habe war er mit der Installation schon im Internet. Wie sicher kannst du sein das auf deinem System kein Trojaner vorhanden ist? Doch nur soweit wie es dir die Virenscanner Bestaetigen. 100% Sicherheit gibt es letzendlich nur bei getrennter Kabelverbindung. ciao Stefan:wq

Vermutlich ja aber: Was heisst eigentlich DSL? Betreibst du das mit PPPOE u.co (also direkt vom PC zum DSL Modem) oder laeuft das ueber einen Router der da noch dazwichen haengt? Im ersten Fall: Software Deinstallieren. Netzwerkkarte in der Systemsteuerung deaktivieren. Und hoffen das du dir nix eingefangen hast was in der Lage ist das umzukehren. Im zweiten Fall kommt es drauf an wie Paranoid du bist und was du fuer Moeglichkeiten hast. Die einfache Variante: Dem Windows Client ein Feste IP Zuweisen. Default Route und DNS NICHT Eintragen. Mehr Aufwand und von Router zu Router Unterschiedlich(bzw Moeglich o. Unmoeglich) DHCP auf dem Router generell abschalten und nur mit Festen IPs Arbeiten. Windows Client bekommt eine andere IP als der Linux Client. Anhand der Vergebenen IPs auf dem Router Sperren vergeben. Unuebliche Netzmask vergeben. ciao Stefan:wq

Hallo Alle Kann mir jemand sagen ob es moeglich ist mittels subinacl das Recht "Unterordner und Dateien Loeschen" auf Ordner zu setzen bzw zu Verweigern? Mit D oder C geht es Anscheinend nicht. Besteht die Moeglichkeit mittels subinacl sowohl Zulassen als auch Verweigern Eintraege zu setzen? Wenn ich zuerst mit: subinacl /subdirec e:\data\user\*.* /GRANT=max=RW setzte und dann versuche mittels subinacl /subdirec e:\data\user\*.* /DENY=max=op die Verweigerung hinterher zu schieben, werden die vorher gesetzten Berechtigungen ueberschrieben und es bleiben nur die Verweigerungen. subinacl /subdirec e:\data\user\*.* /GRANT=max=RW /DENY=max=op Fuehrt zum gleichen Ergebniss. ciao Stefan:wq

Wenn ich das so genau wuesste... Nur die Auswirkungen bekomme ich immer Life mit. Ich bin mir relativ sicher das es keine Absicht der Benutzer ist, sondern eher ein Software Problem. Es gibt z.b in einem Menu eine Verkuepfung "Outlook Express Starten" die immer wieder mal (aber eben nicht immer) keinen Besitzer hatt und deshalb erst nach Besitzuebernahme Geloescht werden kann. Das Cookies Verzeichniss ist bei einige Nutzern auch so ein Kandidat wo die Dateien nur fuer den Nutzer selber lesbar zugreifbar Das sind nur 2 Beispiele , das kann in so ziemlich allen ProfilOrdnern auftreten. Einzig Auffaellig ist das sehr oft Links .LNK betroffen sind. ciao Stefan:wq

O.K , werds Versuchen. Was meinst du, koennte es Sinn machen via Verzeichnissfreigabe "Berechtigungen Aendern" und "Besitz Uebernehmen" in C:\Dokumente und Einstellungen fuer die Benutzer zu Verweigern? Das sollte O.K sein. Danke ciao Stefan:wq

.MAN kommt nicht in Frage, die Nutzer muessen Einstellungen aendern und auch Abspeichern koennen. Die Richtlinie das die Administratoren ebenfalls Vollzugriff auf die Profile haben ist Aktiviert. Das Problem tritt trotzdem auf. Hmm, die Benutzer Arbeiten nur mit einer Kopie, die ist dann ja auf dem Client vorhanden. Dann ist die Loesung des Problems wohl eher auf dem Client(w2k) anzusetzen als auf dem Server(w2k). ciao Stefan:wq