Hirgelzwift

na siehst du, ende gut alles gut :) danke für die rückmeldung

schau mal bitte ob dir der link nicht die erforderliche hilfe gibt, das thema ist leider sehr komplex: http://support.microsoft.com/kb/322684/de edit: ich hab mich gerade noch ein bisschen reingelesen. mach mal ohne -mi und bei dem benutzer stelle die domäne voran also: domäne\administrator vielleicht jemand anders eine idee der mit dem tool schon intensiv gearbeitet hat?

also DNS ist gar kein problem du installierst einfach den DNS dienst und fertig, zumindest sofern das DNS AD implementiert ist. deinem dhcp clients gibst du diesen 2. DNS server, der ist am besten auf dem 2. DC aufgehoben den du eh schon hast. als sekundären server mit. statische clients und server natürlich statisch konfigurieren. bei DHCP ist das ein wenig anders. bevor ich hier aber das erklären anfange benutze mal bitte die boardsuche. das thema ist hier schon rauf und runter in den verschiedenen möglichkeiten und mit allen vor und nachteilen. ich persönlich bevorzuge einen 2. DHCP server der genau wie der 1. DHCP genügend adressen bereitstellt das er alle clients damit bedienen könnte und damit würden beide DHCP ständig arbeiten. natürlich braucht dieser DHCP server dann einen scope der sich mit dem anderen nicht überschneidet.

klar du kannst jedes programm verbieten. entweder als dateiregel oder als hashregel. das geht sowohl als computer GPO als auch als benutzer GPO. beachte bitte dabei das wenn du konkurierende einstellungen machst das die computer GPO gewinnt. Computer bzw. Benutzerkonfiguration/Windows-Einstellungen/Richtlinien für Softwarebeschränkungen edit: deinstallieren kannst du programme per GPO nur wenn du sie per GPO installiert hast. office produkte müssten sich aber auch für die de-installation skripten lassen und das skript kannst du per GPO zuweisen.

passt schon, danke für die rückmeldung :)

das hab ich schon mal gemacht. du musst dir eine batch schreiben in der du den programmaufruf schreibst die user mit %1 übergeben. der befehl mit dem du arbeiten kannst ist "net" batch1 - add.bat net localgroup "Administratoren" "domäne\%1" /add batch2 - user.bat start /wait add.bat [i]benutzerid[/i] start /wait add.bat [i]benutzerid[/i] usw. mit excel kann man das schön aufbereiten. in benutzerid setzt du deine echten UID's der benutzer. edit: batch2 ist dann die datei die du ausführst

um zum eigentlichen thema zurückzukehren: ich bin mir nicht ganz sicher weil ich es unter W2K nie gemacht haben. @kerstel: beschäftige dich bitte mal mit dem thema "eingeschränkte gruppen". dazu gibt es hier im board ettliche threads. das sollte dir helfen können die benutzergruppen so zu setzen wie du es brauchst. @kohn: ich habe mal für einen konzern gearbeitet die hatten weltweit 250.000 benutzer. ich war nur ein kleiner admin in einer frima in diesem geflecht von firmen aber dort war es konzernpolicy das alle benutzer auf ihren PC's lokale admin rechte haben. da gab es richtige security ausschüsse mit vielen mitgliedern, also den security managern aus allen geschäftsbereichen und und und. ob die das mittlerweile geändert haben weis ich aber auch nicht. nochmal: wie auch immer, ich gebe dir recht und wer recht hat zahlt......, oder? ach was, was trinkst du, ich gebe einen aus ;)

ähh, ich denke wir reden da von millisekunden die sich in grossen netzwerken aber zu mehreren sekunden aufschaukeln können. ich spreche viel lieber von kosten nutzen und von ausfallsicherheit. RAID 1, 10, 5 haben alle ausfallsicherheit. jedes RAID hat was für sich aber auch gegen sich. stell mal die kosten zusammen vieleicht fällt dann die entscheidung leichter. RAID1= 2 platten RAID5= 3 platten (minimum)

@kohn: siehst du das nicht ein wenig durch die rosarote brille? ich will dich nicht kritisieren aber soweit ich weis arbeitest du für einen öffentlichen arbeitgeber und da lassen sich richtlinien ganz anders druchsetzen wie in der freien wirtschaft. es gibt einfach "wichtige" leute die bestehen darauf lokale admin rechte zu haben und sie sind in einer position auch darauf bestehen zu können. wenn dann die adminrechte erst mal ein paar leute haben dann meckern ein paar weniger wichtige rum das sie sie nicht haben und dann ist auch der chef obendrüber dazu geneigt seinen "wichtigen" leuten auch die adminrechte einzuräumen zu lassen weil sie ja sonst unmöglich arbeiten können. das telefonat läuft dann so ab das der chef oder seine tippse anruft und einen satz sagt: sorgen sie sofort dafür das...... und damit ist das gespräch beendet. tja, der ober sticht den unter und was willst du dann sagen? kohn ein moderator und etliche leute von MS und sonst woher haben gesagt das.....? es werden dann 1000 gegenargumente angebracht die du nicht unbedingt entkräften kannst. ich denke da gerade an die sigi von dr.melzer :D. wenn dann der chef der meinung ist das ihm auch nur ein auftrag für 4.50 € entgangen ist, weil sein untergebener dich verantwortlich macht, weil der eben das und das nicht machen konnte weil er keine admin rechte hatte, dann kannst du im grunde deine kündigung noch am selben tag abholen und er hat sogar einen kündigungsgrund für eine fristlose: nichtumsetzen von direkten dienstanweisungen und arbeitsverweigerung. das das vorgehen so wie du es beschreibst absolut richtig ist brauchen wir alle nicht zu diskutieren, ich denke da gibt es keine zwei meinungen, aber.......... es lässt sich nicht immer realisieren.

also ich habe jetzt mal den AV schutz auf mails in OL2K3 abgeschaltet. wir werden über einen längeren zeitraum die beobachtung machen und sehen was dabei rauskommt. wie auch immer, wir scannen schon seit eh und je am gateway und selbst wenn ein virus von intern verschickt werden könnte dann schlägt ja immer noch der normale scanner zu sowie du versuchst eine datei auszuführen zu öffnen zu kopieren oder was auch immer, oder? oder habe ich da was falsch verstanden? der mailscanner dient eigentlich lediglich dazu das der anhang erst gar nicht in der inbox aufschlägt sondern schon beim einliefern den virus entfernt!? ich denke das ist so. außerdem läuft ja auch den exchange servern auch ein scanner mit mail plug in und da sollten schon dort die viren vernichtet werden. somit wäre der mailscanner in outlook sozusagen die dritte stufe und der normale scanner die vierte stufe. aber ich denke wenn die stufen zuvor schon "versagt" haben, weil virus (noch) unbekannt, dann ist sowieso alles zu spät und stufe 3 und 4 versagen genau so und vermitteln "nur" pseudosicherheit. hat jemand andere erfahrungen?

ich habe meine tests gemacht weil ich das selbe problem habe bzw. hatte und es heute nacht auf einigen servern abschalten konnte. daher möchte ich meine erfahrung hierzu kundtun: jedesmal nach dem anmelden als admin, als benutzer auch aber nicht so schlimm, legte der TS erst mal eine denkpause ein. man konnte zwar wenn man schnell war noch z.b. auf Start klicken und noch ein programm o.ä anklicken aber dann kam die besagte denkpause. es dauerte rund eine minute bis das programm dann startete bzw. bis andere aktionen möglich waren. ich schob die schuld immer in richtung druckerverbindung weil wir doch einige drucker über das netzwerk bereitstellen und der admin alle drucker, in allen niederlassungen, auf dem TS, verbunden hat. wir verwenden bzw. verwendeten einen, mehr oder weniger unbekannten, virencanner mit dem wir eigentlich nicht glücklich sind. da dieser vertrag bald ausläuft evaluiere ich gerade auch virenscanner anderer firmen. eine namhafte AV firma hat uns eine lizenzierte teststellung zur verfügung gestellt und als ich den virenscanner deinstalliert hatte waren die probleme plötzlich weg. auch nach der neuinstallation der neuen AV software kamen die probleme nicht zurück. um es kurz zu machen: ich denke das problem wird von deiner AV software ausgelöst.

danke für die blumen :freu: also so wie ich deine antwort lese war das problem bzw. die lösung das der W9x client nun ein eigenes netzwerk hat so wie in lösungsansatz 2 beschrieben?

der hauptbenutzer hat im grunde auf fast alle bereiche der platte direkten zugriff. wenn es aber darum geht "wichtige" sachen in die registry einzutragen, ich kann dir jetzt nicht alles einzeln aufzählen, dann scheitert der hauptbenutzer. um updates über WUS zu installieren brauchst du aber weder das eine noch das andere. das passiert wie gesagt im kontext des system kontos das, wenn du es nicht verändert hast soviel darf wie ein admin auch, also im grunde alles.

hmmm, ich hab mir jetzt den thread dreimal durchgelesen und mir ist noch was aufgefallen: die IP adressen die du verwendest liegen beide im selben subnet. das kann dazu führen das dir sozusagen das routing einen streich spielt. je nachdem welche bindungsreihenfolge die NIC's haben vermuten sie den W9x rechner im eigenen subnetz, weil sie sich ja auch im selben subnetz sehen. will sagen das wenn du den w9x rechner pingst dein XP rechner immer nur die eine netzwerkkarte benutzt die in der bindungsreihenfolge oben steht, weil ja wie erwähnt im selben subnetz. lösungsansatz 2: verwende für dein DSL subnetz einen anderen privaten adressraum wie das für das LAN. 192.168.0.x/24 für DSL 192.168.1.x/24 für LAN. natürlich musst du die IP adresse am W9x rechner entsprechend anpassen.

wie du schon schreibst, das ist sehr stark abhängig davon was die leutchen auf ihrem PC so alles können dürfen bzw. müssen. manche sachen gehen mit hauptbeutzer manche brauchen adminrechte. windows updates sollten normalerweise auch mit normalen benutzerrechten laufen weil die, wenn mich nich alles täuscht, im kontext des system users installiert werden. was verwendest du denn für windows updates? inet, WUS, SUS?

das ist so ein thread wo man es am liebsten sehen würde. wie stehen denn die "alten" NTFS rechte? ich habe 1000 rechner mit netdom von der einen in die andere domäne gehoben und hatte keinen nenneswerte probleme ausser es wurden NTFS rechte manuell verstellt so das nur "alte" benutzer zugriff hatten.

bevor du dich totsuchst würde ich zonealarm erst mal keinen meter trauen. ich würde es zunächst mal komplett deinstallieren um einen ansatz zu finden ob es daran liegen könnte. selbst ein "nur" deaktivieren von zonealarm reicht oft nicht aus. ich sage nicht das es zonealarm ist, aber es könnte ein ansatz sein bzw. wenn es weg ist kann man es als mögliche fehlerquelle ausschließen.

dann verwende halt kix. http://www.kixtart.org damit kannst du regkeys schreiben und als (computer) logon skript ins AD einbinden. ein batch ist kein skript sondern eine stapelverarbeitung. wie soll man skripten ohne skript!? :suspect:

ich persönlich würde ein RAID 5 erst da einsetzen wenn es sich über ein RAID 1 bzw. RAID 10 nicht mehr abbilden lässt. Will sagen wenn ich 1 TB brauche dann kann ich das nicht mehr mit RAID 1 + 10 abbilden weil es (noch) keine (normale) 1 TB platten gibt. es hängt stark davon ab wieviele Daten ständig verändert werden. RAID 5 ist aber im grunde beim schreiben etwas langsamer weil es für die parität erst das CRC errechnen muss und dass dann auch in komprimierter form in den paritätbereich schreibt. ebenso kann die entscheidung für ein RAID 5 ausfallen wenn ich genügend slots für platten habe und mehrere kleinere platten u.U. billiger sein können wie eine bzw. zwei grosse platten.

naja, wie auch immer. universelle gruppen klingt nach multidomänen konzept in einer grossen umgebung. ich würde mal bis morgen warten ob die gruppe dann immer noch nicht zu sehen ist. stichwort: AD replikation

schau mal dort: http://support.microsoft.com/kb/910203/de

das problem wurde hier schon 1000 mal diskutiert. das ist fast immer ein treiber problem. der treiber für den HP drucker ist auf dem zielsystem nicht verfügbar. dabei ist es wichtig das der trieber auf beiden systemen ein und dieselbe version haben. am besten den neuesten treiber von hp downloaden und auf beiden systemen installieren.

arbeitest du im outlook mit cache modus?

weil es auch der falsche key sein dürfte: HKEY_USERS\.Default\Control Panel\Keyboard ist nach meiner info der richtige. siehe auch: http://support.microsoft.com/kb/154529/de oder für XP per policy bzw. skript: http://support.microsoft.com/kb/314879/de grundsätzlich: HKCU ist erst nach der anmeldung aktiv.

dann musst du doch lediglich die TCP/IP druckerports auf dem DC in domäne A zusätzlich erzeugen, einen drucker anlegen, unter verwendung dieses ports, und auf diesen dann die benutzer der domäne A drucken lassen. dann ist es egal was in domäne B ist. wenn du auf druckerwarteschlangen der domäne B drucken lassen möchtest brauchen domäne A und B eine vertrauensstellung.