ShadowByte

Hoi Hercules, danke für deine Info. Nun wieder ein wenig schlauer ist, der junge Padawan ;) Gruß, ShadowByte.

Hauptsächlich für Ersteres, sprich Einstellungen testen etc. Es soll nur weitestgehend alles im Testnetzwerk vorhanden sein um dann in der Lage zu sein, optional alles testen zu können. Kannst Du ESX bitte mal erläutern ? Gruß, ShadowByte.

@ Johannes + Forentroll : Danke für eure Beiträge ... ich benötigte ein wenig länger für meine Aufzählung ( nervige user und ein DNS-Problem ) Vielleicht fällt euch in Zusammenhang mit meinem dargelegten Status etwas ein. Es müssen sicher auch nicht alle Server gleichzeitig in VMWare gestartet sein ... immer nur die, bei denen getestet wird. Ich war nur an einer "worst-case"-performance interessiert, für den Fall, daß man doch mal alles für einen Test starten muß/möchte/will. Off-Topic: @ Johannes : Mit deiner Signatur hast Du mir endlich die Augen geöffnet ... jetzt macht endlich alles einen Sinn :D ... hrhrhr Gruß, ShadowByte.

Hoi hwimmer, Danke für diese Frage ... die hat mir vor Augen geführt, daß ich MEINE Frage nochmal ganz neu definieren muß ( :o ) : Es geht darum unser Netzwerk so gut es geht in einer Testumgebung zu spiegeln. Momentan ergibt sich dazu folgender Status : - DC = W2k SP4 single-domain, gemischter Modus, DHCP / WINS / WSUS / PrintServer (Raid-5 RaidController) - Mitgliedsserver 1 : W2k3 (standart-edit) SP1 FileServer - Mitgliedsserver 2 : OS 400 (AS400 IBM) mit WaWi-Sofware - Mitgliedsserver 3 : W2k3 SP1 (standart-edit) Datenbanken / FileServer - Mitgliedsserver 4 : W2k3 SP1 (standart-edit) Datenbanken / FileServer (Raid-5 Raid-Controller) - Mitgliedsserver 5 : W2k3 SP1 (standart-edit) Datenbank - Mitgliedsserver 6 : W2k3 SP1 (standart-edit) Anwendungsserver (MIS, Electronic-Banking, Lohn-Programm, ArcServe) - (zukünftig : + 1 Terminal- / Anwendungsserver W2k3 (für MS Office) - Clients in Zentrale : ca. 50 WinXP Pro SP2 / Win2k Pro SP4 - Clients in 21 Filialen : ca. 110 Win2k Pro SP4 (noch nicht in der Domäne) - Doppelte HardwareFirewall - MailServer (kein Exchange) Die clients stellen natürlich kein Problem dar, die lassen sich am einfachsten "simulieren". Ich habe leider nur vage Vorstellungen, wie sich die bestehenden firewalls und der mailserver in meine Testumgebung integrieren lassen (die gleiche Anschaffung nochmal fällt, verständlicher Weise, aus Kostengründen aus ;) ). Die Server werden sich via image installieren lassen (denke ich). Leider fehlen mir für dieses Vorhaben die nötigen Erfahrungen, auch in Bezug auf die performance die eine Maschine benötigt um o.g. Status mit VMWare praktikabel wiederzugeben. Ich hoffe es war nun deutlicher ... sonst bitte nochmal läuten :D Gruß, ShadowByte.

Hoi @ all :) Ich benötige bitte eine Einschätzung eines erfahrenen VMWare-Nutzers. Testumgebung : - 6 Server W2k3 - 5 Clients WinXP Pro / Win2k Pro Welche Maschinen-performance wird benötigt, um o.g. OS einigermaßen zügig parallel laufen zu lassen (Prozessor, RAM, Festplatten etc.) ? Gruß, ShadowByte.

@ Tomy Tom : Du willst nicht wirklich den derzeitigen Status des Netzwerkzustandes unseres "Unternehmens" wissen. Und da ich hier (noch) nur der Praktikant bin, werde ich sehr darauf achten, meinen Hals allem, was der Definition "Schlinge" auch nur ansatzweise standhält, so weit wie möglich fernhalten :D . Gruß, ShadowByte.

Hoi Christian :) Das ist nicht umsetzbar. In jedem Büro, in dem ein client zur Verfügung stehen soll, wird es unweigerlich auch Netzwerkdosen geben. Ich denke default wird das in 90 % der mittelständischen Unternehmen räumlich so eingerichtet sein. Dies nun durch räumliche Bausmaßnahmen zu ändern ... da muß ich leider wieder auf die Brezelstange verweisen :D . Bitte nicht falsch verstehen, Du hast natürlich Recht, daß dein Vorschlag eine Lösung des Problems darstellt ... für uns nur leider nicht umsetzbar. Wie Du schon erwähnst ein RIESENAUFWAND und letzlich (ein wenig user-know-how vorrausgesetzt) auch umgehbar und daher ebenfalls nicht praktikabel. Ich danke euch trotzdem für eure Beiträge ! Gruß, ShadowByte.

Hoi IThome ! :) Danke für deine schnelle Antwort (wieder einmal ... und irgentwie hatte ich gehofft das Du das tun würdest :D ) ! Eine tolle Sache die sich da hinter deinem Link verbirgt ... allerdings kostet das wieder mehr als eine Brezelstange auf dem münchener Oktoberfest und disqualifiziert sich daher leider als Argument gegenüber meinem Chef ... (scheinbar werden die alle irgentwo geklont und mit dem "No budget for everything"-Gen ausgestattet :suspect: ... aber wem erzähle ich das ... ). Ich hatte auf etwas (übersehenes) "hausgemachtes" oder ein einfaches tool gehofft. Wenn noch jemanden etwas dazu einfällt, ich wär dankbar dafür. Bis dahin werde ich mal eine Brezelstange zum Mittag essen ... bei dem Gehalt (bei dem Chef) ist einfach nicht mehr drin :o . Gruß, ShadowByte.

Hoi @ all ! :) Folgendes Zenario : Ein user bringt einen firmenfremden (privaten) Rechner (Laptop) mit in die Firma, stellt diesen auf dhcp und verbindet ihn mit dem Firmennetzwerk. Er wird unweigerlich eine PI-Adresse vom dhcp bekommen ... Gibt es eine Lösung, mit der man in diesem Punkt entgegensteuern kann ? (Beispielsweise eine gleiche Passwortabfrage einer Berechtigten Person wie bei der Integration eines clients in die Domäne) Mir fällt nichts ein und gefunden habe ich diesbezüglich auch nichts. Danke für eure Beiträge ;) Gruß, ShadowByte.

Danke ! ;)

Danke Dir ! Ich nehme an, daß Sysprep 2.0 Bestandteil des SP2 ist.

Hallo Zahni :) Kannst Du mir bitte dann noch erklären, wie ich das einstelle ? :) Danke. Gruß, ShadowByte.

Hoi @ all :) Ich beschäftige mich derzeit mit der mass-installation von Computern und konnte mich anhand bestehender threads auf diesem bord gut herantasten. Allerdings bleiben trotzdem noch zwei Fragen offen : 1. Um bereits eingerichtete Computerkonten (ADS) zuzuweisen, müsste ich jedesmal die sysprep.inf anfassen und entsprechend mit dem neuen Computernamen verändern. Gibt es da Abhilfe ? Habe ich in den threats etwas übersehen ? 2. Verständnisfrage : Was ist mit dem letzten Punkt in dem sysprep-wizzard "Identifikationszeichenfolge" genau gemeint ? Ich verstehe darunter eine, den "automatisch generierten Computernamen" ergänzende Zeichefolge ... Danke für eure Hilfe ! Gruß, ShadowByte.

Danke für eure Antworten. Ich werde mich über eure Links einlesen. Gruß, ShadowByte.

Hoi @ all :) Da ich nie mit NT4.0 gearbeitet habe, liegen meine Kenntnise und Erfahrungen bezüglich dieses Server-OS im unteren roten Bereich. Meine Frage rekrutiert sich aus der Tatsache, daß meine Firma íhre Domäne noch immer im gemischten Modus betreibt, obwohl seit langer Zeit schon keine NT4.0-Sofware mehr eingesetzt wird. Bis dato wurde gegen eine Heraufstufung in den nativ-mode mit der Aussage argumentiert, daß niemand mehr sicher sagen könne, ob etwaige Soft- oder Hardware ohne diesen gemischten Modus noch einwandfrei funktionieren würde. Ich teile diese Ansicht in keiner Weise. Der einzige zu überdenkende Punkt wäre unsere alte AS400 IBM-Maschine (mit integrierten w2k File- und Anwendungsserver). Diese läßt nämlich aus unbekannten Gründen keine Updates des integrierten W2k-Servers zu (tut man es doch, gibt es einen bluescreen und nur ein zurückgespieltes image bringt Abhilfe). Nun zu meiner Frage : Welche Unterschiede bestehen zwischen einer Domäne im W2k-mixed-mode und einer im W2k-native-mode. Der Literatur konnte ich lediglich Unterschiede bezüglich der Gruppen und deren domänenübergreifenden Verschachtelungsmöglichkeiten entnehmen. Weitere Unterschiede könnte ich mir in Bezug auf die Namenskonvention vorstellen. Gibt es noch weitere gravierende und vorteilhafte Gründe für den native-mode ? EDIT : DC = W2k SP4 - Mitgliedsserver = W2k und W2k3 - Clients = Win2k Pro und WinXP Pro Gruß, ShadowByte.

Ah ... danke ! :D Gruß, ShadowByte.

... btw : wie setzt ihr bitte das "Off-Topic" in den threat ?

Hoi IThome und Edgar ! :) Mit eurem Beispiel hab ihr mir die Verständnis-Lücke geschlossen ! Ergo : ich hinterlege in der .bat den Pfad zur SC.exe und führe DANN mit eben dieser .exe den dahinter folgenden Befehl aus ... tja, ist eigentlich ganz logisch aber manchmal braucht man eben Einen mit dem Eifelturm übergezogen, wenn der Zaunpfahl nicht hilft :D Ich danke euch ! :) Gruß, ShadowByte.

Hoi @ all :) Ich muß nochmal nachhaken ... Ich habe scheinbar noch immer nicht ganz verstanden, wie der Ablauf erfolgt wenn ich bei einem user im Netz per SC.exe eine .bat starten möchte um einen Dienst zu starten/stoppen. DC = W2k SP4 (SC.exe ist also vorhanden) Mitgliedsserver = W2k3 SP1 (SC.exe vorhanden) Clients : Win2k Pro Ich erstelle eine .bat wie folgt : sc \\SERVER start DIENST pause Die Berechtigung zum starten/stoppen des Dienstes wurde für die entsprechenden user auf dem entsprechenden Server gesetzt. Führe ich die o.g. .bat auf dem client aus, erfolgt die Meldung, das der Befehl "SC" nicht verstanden wurde. Also muß ich dem client die SC.exe mitgeben und genau hier wollen meine Verständnis-Synapsen nicht recht zueinanderfinden. Wie veranlasse ich den client diesen SC-Befehl zu verstehen und damit zu arbeiten ? @ Velius : an eine angepasste .mmc hatte ich auch schon gedacht, ist jedoch nicht erwünscht. Danke trotzdem für diese Anregung :) Gruß, ShadowByte.

Thanks @ all :) Die sich nun doch eröffnende Möglichkeit, GPO´s auf Gruppen anzuwenden, erleichtert mein Vorhaben enorm ! Scheinbar hatte ich es seiner Zeit als gegeben hingenommen, daß dies nicht möglich sei. Über die Filterung bin ich bis dato noch nicht gestolpert, vielen Dank an alle für diesen Hinweis ! :) Gruß, ShadowByte.

Hoi :) - Welches OS haben die clients und wie viele sind es ca. ? - Läßt Du einen DHCP laufen ? Wenn ja, wie hast Du ihn konfiguriert ? - Gibt es noch andere Server in deinem Netzwerk ? Wenn ja, wie viele und welche OS laufen darauf ? - Hast Du einen DC mit Domäne/ADS/DNS ? Wenn ja, in welchem Modus läuft deine Domäne ? (gemischt, native, W2k3 ...) - Was genau meinst Du mit "Clients gehen offline" ? - War der "Umstieg" von W2k auf W2k3 eine Migration oder eine Neuinstallation ? - etc. Gruß, ShadowByte.

... entry threat above ... In der Regel geht man so vor, daß man die Freigabe-Berechtigung für "Alle" auf "Vollzugriff" setzt (man will ja in erster Linie lediglich eine ressource erstmal zugänglich machen) und dann mittels der NTFS-Berechtigungen den einzelnen usern (sinnigerweise die user, für die diese Brechtigung gelten soll, in eine Gruppe anlegen und die Berechtigung auf eben diese Gruppe anwenden) den Zugriff zu ermöglichen. Es gibt natürlich (fast) unzählig viele Möglichkeiten und Varianten der Zugriffskonfiguration ... aber die zu erläutern würde hier den Rahmen sprengen ;) So, nun ist es wieder ein halbes Buch geworden ... aber vielleicht ist der Groschen damit nun gefallen :) Gruß, ShadowByte.

Die Freigabe einer ressource dient ausschließlich dazu, diese anderen über das Netzwerk zur Verfügung zu stellen. Allein dafür wird eine Freigabe erstellt. Die in dieser Freigabe vergeben Berechtigungen sind in erster Instanz VÖLLIG unabhängig von den NTFS-Berechtigungskonfiguration der ressource. Ohne die Einrichtung einer Freigabe, ist der Ordner ein Raum mit nur EINER Tür. Der Ordner ist im Netzwerk weder "sichtbar" noch "erreichbar". Man kann auf diesen Ordner nur zugreifen, wenn man sich lokal an dem Rechner anmeldet. Um diesen (ausschließlich !) lokalen Zugriff steuern zu können, nutzt man als Admin die NTFS-Berechtigungen (Sicherheit). Beispiel : Als Admin konfigurierst Du folgende NTFS-Berechtigung für die ressource "Ordner1" auf dem "FileServer A" Administrator : Vollzugriff : ja Ändern : ja (ergibt sich automatisch aus "Vollzugriff") Lesen : ja (ergibt sich automatisch aus "Vollzugriff") Lokaler user1: Vollzugriff : nein Ändern : ja Lesen : ja (ergibt sich automatisch aus "Ändern") Du gibst den Ordner NICHT frei. Er ist im Netzwerk weder sichtbar noch kann auf ihn zugegriffen werden, weil er NICHT freigegeben wurde. Lediglich user die sich direkt an dem Rechner anmelden auf dem dieser Ordner1 liegt, können auf ihn zugreifen. User1 meldet sich lokal an "FileServer A" an und hat das Recht auf Ordner1 Änderungen vorzunehmen. Nun meldet sich user1 an seiner workstation in seinem Büro irgentwo im Netzwerk an und möchte auf den Ordner1 auf dem "FileServer A" zugreifen. Dies ist UNMÖGLICH, da der Ordner1 NICHT freigegeben wurde. Der Ordner KANN NICHT gefunden werden. Er müsste sich wieder zum "FileServer A" begeben (latsch, latsch) und sich lokal anmelden um auf Ordner1 zugreifen zu können. Meldest Du Dich als Administrator an einer workstation im Netzwerk, wird es Dir nicht anders ergehen als user1 ... "Kein Anschluß unter dieser Nummer ... " :) Nun gehen wir bei und richten für Ordner1 eine Freigabe ein. Freigabeberechtigung : Administrator : Vollzugriff : ja Ändern : ja (ergibt sich automatisch aus "Vollzugriff") Lesen : ja (ergibt sich automatisch aus "Vollzugriff") User1: Vollzugriff : nein Ändern : nein Lesen : ja Meldest Du Dich nun lokal als user1 auf "FileServer A" an, hast Du noch immer die ganz oben beschriebenen NTFS-Berechtigungen (jetzt spielen die Freigabe-Berechtigungen noch keine Rolle, weil LOKAL angemeldet und nicht über das Netzwerk) Nun meldest du Dich auf einer workstation an und greifst remote über das Netzwerk auf Ordner1 zu und hier greifen nun die Freigabe-Berechtigungen als erstes. Laut diesen darfst Du nur "Lesen". Diese Berechtigung nimmst Du nun mit zum 2. "check-in", den NTFS-Berechtigungen. Laut den NTFS-Berechtigungen dürftest Du sowohl "Ändern" als auch "Lesen". Da Du jedoch bei "Eintritt" in diese ressource (über die Freigabe-Berechtigung) nur die Berechtigung "Lesen" mitnimmst, zieht auch nur diese und Dir wird nur das "Lesen" gestattet. Um deine vorhandene NTFS-Berechtigung "Ändern" für Ordner1 greifen zu lassen, müsstest Du Dir eben diese Berechtigung auch in der Freigabe-Berechtigung einrichten. ... continue next threat ....

Ok, daß ist erkannt und verstanden. Ich war nur, wie bereits erwähnt, (scheinbar irrig) der Annahme, daß GPO´s nicht auf Gruppen angewand werden können. Ich werde das morgen mal testen. Ich danke Dir für deinen Beitrag :) Gruß, ShadowByte.

Hoi @ all :) Du mußt es Dir in etwa so vorstellen : Der Raum "Ordner" (dein Ordner) hat eine Tür. Diese mündet in einen kleinen Vorraum in dem sich widerum 2 Türen befinden. Eine Tür führt direkt in dein "Büro" (dies stellt den Rechner dar, auf dem der Ordner physisch liegt). Die andere Tür mündet in einen langen Flur (Netzwerk), an dessen Ende sich mehrere Büros befinden (Clients im Netzwerk). Nun hast Du an der Tür "Ordner" den "Wachmann" namens NTFS-Berechtigungen stehen und an der Tür zum Flur den "Wachmann" namens Freigabe-Berechtigungen. Wenn Du aus deinem "Büro" kommst und in den Raum "Ordner" möchtest, wirst Du ausschließlich von dem NTFS-Wachmann auf Berechtigungen kontrolliert (dies findet alles lokal auf dem Rechner mit der Ordner-Ressource statt). Kommst Du, oder einer der Clients, nun über den langen Flur (Netzwerk) und willst in den Raum "Ordner", wird man zusätzlich (und ZUERST) von dem Freigabe-Wachmann auf Berechtigungen kontrolliert. Erst dann darft Du weiter (oder auch nicht) zum NTFS-Wachmann und dieser läßt Dich dann (mit einer möglichen Kombination aus Freigabe/NTFS-Berechtigungen) weiter in den Raum "Ordner" (oder auch nicht). Somit hat für jeden, der über das Netzwerk (Flur ;) ) remote auf die ressource zugreifen möchte, unumgänglich die Freigabe-Berechtigung Priorität und erst dann die NTFS-Berechtigung. Beispielsweise ist der Ordner für Dich wie folgt konfiguriert : Freigabe-Berechtigung : Vollzugriff : nein Ändern : nein Lesen : ja NTFS-Berechtigung : Vollzugriff : nein Ändern : ja Lesen : ja (ergibt sich automatisch aus "Ändern") Ergo : Remote über das Netzwerk dürftest Du hier lediglich "Lesen". Meldest Du Dich lokal an dem Rechner der die ressource hostet an, würdest Du die Einschränkungen der Freigabeberechtigung "umgehen" und dürftest "Ändern" und somit auch "Lesen". Ich hoffe ich konnte es Dir mit diesem detailierten "kleinen Buch" verständlicher machen. :) Gruß, ShadowByte.