kahnung

Richtig: Das Laufwerk soll nur zugeordnet werden, wenn die sich am Terminalserver anmelden. Die Berechtigungen sehen so aus, dass "Authentifizierte Benutzer" und "B\Domänen-Benutzer" (also die Domänen Benutzer der entfernten Domäne) die Gruppenrichtlinen "Lesen" und die "Gruppenrichtlinie übernehmen" dürfen. Ja, "GPRESULT / R" hab ich mir angeschaut, die Richtlinie wird auch angewendet...

Hallo zusammen, so langsam verstehe ich manche Dinge nicht mehr: Wir haben Domäne T und Domäne B. Die Vertrauensstellung ist bidirektional. Die Vertrauensstellung funktioniert auch. Folgendes Problem habe ich: Die Kollegen aus der Domäne B melden sich mit Ihren Benutzern an der Domäne T an Citrix Xenapp -Server (Terminalserver) an. Das funktioniert soweit auch. Jetzt habe ich aber das Problem, dass div. Gruppenrichtlinien nicht funktionieren. Es funktioniert z. B., ein Script (Benutzerkonfiguration, Windows-Einstellungen, Scripts), welches immer ein Programm startet. Das Script ist eine Batch - Datei. Was nicht funktioniert ist, wenn ich unter "Benutzerkonfiguration" -> "Windows Einstellungen" -> Laufwerkzuordung" ein Netzlaufwerk zuordnen möchte. Mit einem Benutzer in der Domäne T klappt es, mit einem Benutzer aus der Domäne B nicht. Der Loopback Modus ("Computerkonfiguration" -> "Administrative Vorlagen" -> "System" -> "Gruppenrichtlinie" -> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie") ist auf der OU aktiviert, sonst würden ja die anderen Einstellungen nicht funktionieren... Natürlich könnte ich jetzt das Netzlaufwerk verbinden in die Batch einbauen, in der auch die Anwendung gestartet wird, aber "die feine Englische" ist das ja auch nicht Und außerdem sollte das doch funktionieren, oder? Hat von euch jemand nen Tip für mich? Kann das Thema bald nicht mehr sehen.. :-/ Danke schonmal, kahnung

Hi! Sorry, wenn ich jetzt diesen alten (aber immer noch aktuellen) Thread auskrame, aber ich hab zu folgender Frage noch keine Lösung gefunden: Wo trage ich jetzt Benutzer, die Domänen-Admins sein sollen ein? In die Domänen-Admins - Gruppe, oder? Bei uns sind die nämlich in der Gruppe "Builtin/Administratoren" eingetragen. Als ich dann gestern versucht habe, ein dcpromo (neuer DC) zu machen, hat dieses gemeint, dass ich nicht in der Gruppe Domänen-Admins oder "Organisations-Admins" bin und es deshalb fehlschlagen könnte. Ich habe meinen User dann natürlich in die Gruppe "Domänen-Admins" hinzugefügt und schon gab es diese Meldung nicht mehr. Die Gruppe Domänen-Admins ist Mitglied der Gruppe "Builtin/Administratoren"... Ausser das "dcpromo - Problem" ist mir noch nichts aufgefallen, was nicht funktioniert, wenn ich "nur" in der Gruppe "Builtin/Administratoren" direkt enthalten bin... Bin für jede Info dankbar, kahnung

Erstmal Danke für die Tips, konnte aber noch nicht weitersuchen. (Muss mich auf meinen Urlaub vorbereiten) ;-) Danach werde ich nochmal danach schauen! Danke nochmal!

Hi! Also ist hab jetzt mal eine Testumgebung (Danke VMware!!) aufgebaut. 4 Windows 2000 Server, davon 2DC, einer CA, ein einfacher memberserver. Nachdem die CA installiert ist, die DCs mal neu gestartet, klappt die Verbindung auf untereinander "einfach so" per LDAPS (Port 636). Auf dem "einfachen" memberserver ist nur in den "Vertrauenswürdigen Stammzertifizierungsschnittstellen" das Zertifikat von der CA. In "Eigene Zertifikate" ist keins drin. Tja. Es könnte so einfach sein... Im dem Produkiven Netz hilft alles nichts. ;-( Komisches Windows... Im Testsystem kann der DC sich sogar auf sich selbst mit LDAPS verbinden. Das geht in der Produktivumgebung auch nicht. @0l2i + fluehmann: Habe ich beides ausprobiert. Klappt nicht. Was hat es denn mit dem "Schannel" auf sich? Auszug aus Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle : Mehrere SSL-Zertifikate Schannel (Microsoft-SSL-Anbieter) wählt das erste gültige Zertifikat aus, das im Speicher des lokalen Computers gefunden wird. Wenn es mehrere gültige Zertifikate im Speicher des lokalen Computers gibt, wählt Schannel möglicherweise nicht das richtige Zertifikat aus. Ich habe dort ja mehrere Zertifikate installiert. Die reden von "Eigene Zertifikate", oder? Wenn noch jemand n Tip hat.... Viele Grüße!

Hallo an alle Spezialisten! Ich habe folgendes Problem: Damit am ISA Server (über OWA) die Kennwortänderung klappt, muss der ISA Server mit den Domain Controllern über LDAPS (Port 636) kommunizieren. Auf dem ISA Server sind die entsprechenden Regeln eingestellt, im Log kommen auch keine Fehler dazu. Wir haben 2 CA in der Domäne. Der Zugriff über ldp.exe über Port 389 vom ISA (oder auch anderen Server) klappt, über Port 636 nicht. Noch nicht einmal von einem DC zum anderen klappt es mit LDAPS. Ist es nicht so, dass alle Server / PCs, wenn in der Domäne eine CA ist, dieses Zertifikat erhalten, sodass LDAPS theoretisch möglich wäre? Ich habe mir jetzt schon einige Stunden div. Technet Artikel und andere Quellen durchgelesen und ausprobiert, leider ohne Erfolg. Kann mir jemand sagen, welche Zertifikate, in welchem Store (Lokaler Computer: Eigene Zertifikate / Vertrauenswürdige Stammzertifizerungsstellen) sein müssen? Also DC und ISA Server. Die auf dem Server, auf dem die CA installiert ist, ist doch egal?! Ich habe so langsam die Bedenken, dass mit unserem AD was nicht so ganz in Ordnung ist... Bin echt für jeden Tip dankbar! Grüße, kahnung PS: Die Domäne (+ DCs) ist Windows 2000. Der ISA Server ist ein 2006er.

Hi! Ja. Danke. Werd mir die Software mal anschauen! Michaha

Hallo MCSEler, kann mir jemand sagen, ob es eine Software gibt, mit der ich in unserer Dateistruktur nach den Rechten von einem bestimmten User suchen kann? Das "schwierige" dabei ist, dass dieser auch die Gruppen nach diesem User auflösen sollte.... Wir haben den Security Explorer, mit diesem klappt das suchen nach dem User (und einer Gruppe, die ich aber wissen muss) schon ganz gut. Aber dann muss ich auch die Gruppe(n) wissen, die darin enthalten sind. Wäre schön, wenn es da was gäbe. Michael

Und wenn es mit der Anleitung von "Gulp" nicht funktioniert, weil man Vista Home (Basic oder Premium) hat, dann muss man folgenden Registry Key setzen: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "LmCompatibilityLevel"=dword:00000002 Grüße, kahnung

Hallo nochmal, ja. Hab Windows XP - Clients (vergessen reinzuschreiben). Aber in den Policy´s hab ich diesen Dienst nicht ?!?! Ich habe dafür in: Benutzerkonfiguration-> Administrative Vorlagen-> Systemsteuerung-> Anzeige-> Desktopdesigns-> Designnoptionen entfernen --> Aktiviert Auswahl des Fenster- und Schaltflächenstils verhindern --> Aktiviert Auswahl der Schriftartgröße nicht zulassen --> Nicht konfiguriert Designfarbauswahl nicht zulassen --> Nicht konfiguriert Bestimmten visuellen Stil laden bzw. "Windows - klassisch" erzwingen -->Aktiviert Hat das dann die gleiche auswirkung? Aber merkwürdig ist es schon, dass der Dienst nicht angezeigt wird. Sollte ich denn eine falsche Policy importiert haben? Kann man das den .adm - Dateien irgendwie ansehen? Danke! kahnung

Ja, auch Hallo! Also an diesem Punkt bin ich auch im Moment. Gibts da mittlerweise ne Lösung für? Wäre nämlich ****, wenn man 550 Pc´s manuell umstellen müsste... Danke!

Hallo, ich hätte da mal ein Problem: Ich habe: Windows 2000 Server (DC) in Domäne Windows XP SP2 - Clients Gruppenrichtlinien (Policy) für Windows XP SP2 im AD Ich hänge nun schon ewig an folgender Einstellung: Ich bekomme es einfach nicht hin, das sich die Clients die Einstellungen des Proxy´s ziehen. Die Lasche mit den Einstellungen ist immer leer. Normal muss man doch "nur" folgende Einstellungen machen, oder?: Benutzerkonfiguration -> Windows-Einstellungen-> Internet Explorer-Wartung-> Verbindung-> Proxyeinstellungen (hier die Proxyeinstellungen eintragen). Da gibt es ja noch unter Computerconfiguration-> Administrative Vorlagen-> Windows-Komponenten-> Internet-Explorer-> Proxyeinstellungen pro Computer vornehmen(anstelle von Benutzer) hat die dann auch was damit zu tun? Wäre klasse, wenn mir jemand helfen könnte. Das macht einen ja bekloppt mit diesen Policys.... Thx