Evoco

Ok ich glaube ich habs verstanden.

Das heißt also die GPO(Benutzerkonfiguration) die ich erstellt habe wo unterhalb alle User und PCs sind, wo ich aber unter Sicherheitsfilterung nur eine bestimmte Gruppe(nur User) stehen habe auf die dies wirken soll, muß eigentlich gehen ohne das ich dann noch PCs oder Authentifizierte User mit zum Sicherheitfilter hinzufügen muß.

Richtig?

Mal als Zwischenfrage:

1. Heißt das nehmen wir mal an ich hätte in der GPO User und Computerrichtlinien und unterhalb der OU nur User und Gruppen und kein PC das die komplette Richtlinie nicht funkt oder das nur ein Teil geht, also in dem Beispiel jetzt nur die Userrichtline?

QUOTE]

 

Heißt das sie würde garnicht gehen oder zum teil?

Mal als Zwischenfrage:

1. Heißt das nehmen wir mal an ich hätte in der GPO User und Computerrichtlinien und unterhalb der OU nur User und Gruppen und kein PC das die komplette Richtlinie nicht funkt oder das nur ein Teil geht, also in dem Beispiel jetzt nur die Userrichtline?

2.Und bezieht sich wie du sagst Benutzer (Benutzkonfiguration) nicht auch auf Gruppen in den User stecken. Oder müssen unterhalb der OU auch die jeweiligen User sein reicht nicht die Gruppe mit den Usern drinne?

Hallo. Also unterhalb dieser OU sind alle User, Gruppen und Computer.

Und in dieser bestimmten Gruppe sind einige User drinne nicht alle. Diese bestimmte Gruppe ist auch unterhalb dieser OU wo die GPO existiert.

"Hastdu der Gruppe das Recht gegeben die Richtlinie zu übernehmen?"

Ich habe unter Delegierung/Erweitert dieser Gruppe "Lesen" und "Gruppenrichtlinie übernehmen" gegeben.Stimmt doch oder?

RSOP habe ich noch nicht probiert!

Genau das dachte ich auch!

So wie du das geschrieben hast habe ich das. Aber es geht nicht erst wenn ich zu dem Sicherheitfilter die Authentifizierten User dazu mache. Und das verstehe ich nicht oder muß auch noch die Einzelnen PC dazufügen obwohl es eine Usergpo ist?

Ganz Ruhig war kein Angriff!!

Danke.

Ich habe das bei dem TS so gelöst das ich das Computerkonto mit in den Sicherheitfilter hinzugefügt habe.Dann ging es! Danke

Was ich aber nicht verstehe ist das 2te Beispiel das ich erwähnt habe.(ohne Loopback kein TS)

Denn dort sieht es ja so aus, das diese GPO eine Benutzergpo ist und wenn ich oberhalb aller User, Gruppen und PCs eine Gpo mache die unter Sicherheitfilter eine Gruppe hat die dies nur erhalten soll muß es doch gehen ohne das ich die authentifizierten user zum sicherheitfilter hinzufügen muß. Oder??

ich möchte gerne verstehen wieso weißt du. Danke aber für deine Mühe. Gruß Evoco

Ich glaube du verstehst mich nicht ganz. Ok dann mal anders ein zweiter Test der genau das gleiche Problem aufweist.

Ich habe eine OU mit Computern und User auf diese OU habe ich eine GPO wie oben

die bestimmten Usern die systemsteuerung deativiert.

Weil ich aber möchte das diese GPO nur auf bestimmte eine bestimmte Gruppe von usern greift und nicht alle trifft habe ich unter "Sicherheitsfilterung" die Authentifizierten User entfernt und die bestimmt Gruppe dort eingefügt.

Die GPO funktioniert nicht!

Wenn ich aber zu dem Sicherheitsfilter die Authentifizierten User hinzufüge geht alles wunderbar, nur eben das es dann alle trifft was nicht sein soll.

So und jetzt bitte deine Erklärung!

Das mußt du mir erklären.Was meinst du? Denn ich kann doch nicht die Authentifizierten User einfach mit hinzufügen. Denn dann haben alle diese Richtlinie.

Hallo zusammen,

ich habe folgendes Problem eins das ich nicht verstehe.

Folgendes ich habe eine Domäne Server 2003 mit einigen GPOs.

Eine OU wo ein Terminalserver (sonst nichts)drin ist hat eine GPO die bestimmten Usern die systemsteuerung deativiert. Einstellung mit Loopback wegen Terminalusern steht.

Weil ich aber möchte das diese GPO nur auf bestimmte Terminalusern greift und nicht alle trifft auf diesem server habe ich unter "Sicherheitsfilterung" die Authentifizierten User entfernt und die bestimmt Gruppe dort eingefügt.

Jetzt das Problem:

Die GPO funktioniert nicht!!!!

Wenn ich aber zu dem Sicherheitsfilter die Authentifizierten User hinzufüge geht alles wunderbar, nur eben die Admins die sich dort anmelden bekommen die Systemsteuerung auch deaktiviert, was nicht sein soll.

Meine Frage was ist das Problem??? Warum funktioniert es wenn ich die Authentfizierten User hinzufüge und sonst nicht??

Habt ihr einen Tipp für mich??? Ich raff es nit!!

Danke Evoco

Das werde ich machen!!

Danke und wünscht mir viel Glück das ich schnell was neues finde.

Viele Grüße aus Kassel

Evoco

Danke für die vielen netten Antworten. ich dachte ja nur das ihr vielleicht was speziell wüßtet wo ich direkt eine gute vorlage für den Beruf des Systemadministrator bekomme.

Ich werde mal bei Google schauen ob ich da was finde.

Naja so schnell geht es. Habe die Kündigung im Briefkasten bekommen als ich gerade aus dem urlaub kam.

So ein Pech..

Gruß Evoco

Hallo zusammen,

ich bin leider aus spar gründen gekündigt wurden. Daher suche ich jetzt eine neue Stelle.

Mein alter Chef hat gesagt ich soll mir mein Zeugniss selber schreiben, leider habe ich keine Ahnung davon.

Kann mir vielleicht jemand eine Vorlage zusenden wie so ein Zeugniss für

ein IT-Systemadministrator aussehen kann.

Ich wäre für Hilfe echt dankbar!!! Und es drängt.

Viele Grüße Evoco

Wenn ein Nvidia-Treiber installiert ist, wären mögliche Schlußfolgerungen aus meiner vorigen Antwort:

 

- Einfach mal die Tools nicht mitstarten.

(u.U. muß der Dienst "NVIDIA Display Driver Service" deaktiviert werden, weil der immer wieder die Tools im Run-Zweig der Registry einträgt.ü

- Treiber updaten

 

Ansonten an den Support von Nvidia wenden ;)

 

-Zahni

Muß ich denn danach das Profil wieder neu aufgsetzen oder nicht??

Was heißt das??

Kann ich da dann nichts machen???

Hallo ich weiß das Thema Servergespeicherte Profile wurde hier schon oft angesprochen, aber dieses Phänomen wie ich euch gleich beschreibe habe ich noch nicht hier gefunden.

Also wir haben Domäne 2003 Sever mit XP clients.

Alle User haben Server gespeicherte Profile doch bei einem User habe ich ein dickes Problem.

Bei ihm wurde in der Vergangenheit sein Profil immer sauber gespeichert bis es irgend wann nicht mehr ging.( Lag daran das sehr viel Müll im Profil war)

Ich dachte mir gut dann bekommt der user ein neues Profil, so das sich sein Profil auf dem Server und Lokal gelöscht habe.

Dann hat er sich wieder neu angemeldet und ich habe im Ereignisprotokoll keine Fehlermeldungen drinne.

Wenn sich ABMELDET hat er auch keine Fehlermeldungen.

Ich schau auf den Server wo die Profile abgelegt werden und siehe da, es gibt einen neuen Ordner mit dem User namen, aber wenn ich rein schaue ist Nichts drinne :confused:

Ich also nochmal Profile gelöscht lokal und Server, neu Angemeldet wieder keine Fehlermeldung aber das Profil ist nicht auf dem Server vorhanden nur der Ordner mit User Name nix is drinne....

Ich dachte naja vielleicht ist der Pc nicht richtig in der Dömäne und hat Fehler und habe ihn auch nochmal neu integriert und den eben erwähnten Forgang wiederholt...

Aber keine Änderung...

DANN ist mir aber auf gefallen melde ich mich im Abgesichrten Modus an und wieder ab mit diesem profil wird es auf dem Server gespeichert und auch geladen.

Melde ich mich im normal gestartendem Zustand an dann funktioniert es nicht das Profil wird nicht aktualisiert

:cry: Kann mir bitte jemand sagen woran das liegen kann????

Ich bin am Ende meine Vorstellung und weiß nit weiter...

Über jeden Tipp wäre ich dankbar.

Gruß Evoco

http://office.microsoft.com/en-us/ork2003/HA011401931033.aspx

 

-Zahni

Danke, aber da bin ich doch noch zu sehr ein leihe darin um das so hin zu bekommen

MSP-Dateien können nicht per Gruppenrichtlinie verteilt werden. Du kannst das MSP aber ein einen Administrativen Installationspunkt integrieren und dann die Anwendung "erneut bereitstellen". Einfacher dürfte es mit einem WSUS-Server gehen.

 

Noch ein Weg ist die Kommandozeile mit MSIEXEC und den passenden Optionen.

 

-Zahni

Außer mit WSUS gibt es da keine leicht Möglichkeit!!!

Kannst du mir ein Beispiel geben wie das mit den " Administrativen Installationspunkt integrieren" geht

Gibt es Service Packs nur als msp oder gibt es die auch als msi. Denn wenn ja vielleicht kommt die msi noch heraus!!

Gruß Tobias

Hallo zusammen

ich möchte gerne das Service Pack 3 von Office 2003 per Gruppenrichtlinie installieren.

Ich habe mir dafür die "Office2003SP3-KB923618-FullFile-DEU.exe" herunter geladen und diese mal entpackt.

Leider fand ich dort nur *.msp datein und nicht msi datein.

Was muß ich machen um solch ein Service Pack per Gruppenrichtlinie verteilen zu können.

Oder bin ich da total auf dem Holzweg???

Vielleicht kann mir da einer einen Tipp geben ich bin den Sachen noch nicht so fitt drinne.

Gruß Evoco

Wenn ich die Freigabe für das Gerät bekomme und wir es hier einsetzen dann schreibe ich auch gerne ein Bericht.

Gruß Tobias

Danke für die vielen Antworten und Möglichkeiten ich werde mir mal alle zur gemüte nehmen.

Nur noch mal zur SSl VPN 200 von Sonicwall dort habe ich mich erkundigt.

Einmal Passwörter sind dort kein Problem man wird über SMS mit einem neuem Paswort informiert und das ganze Gerät kostet ca. um die 400 Euro.

Also Einmalpasswörter müssen nicht teuer sein!!

Ich habe nächste Woche noch ein paar Gespräche mit dem Hersteller!!

Gruß Tobias

Ah, du meinst Zugriff auf OWA (Outlook Web Access= Exchange Zugriff über Browser) nicht im LAN sondern von außerhalb? Also eine Exchange veröffentlichung ins Internet?

 

Bitte beschreibe erst mal noch genauer deine Anforderungen...

grizzly999

Na logisch keine Abfrage innerhalb des LANs, sondern eine Abfrage vom Internet aus(www).

Diese sollen über ihren Browser den sie gerade zu verfügung haben, über https oder so eine Verbindung aufbauen, dann ihre benutzername Passwort eingeben (am liebsten ein einmal Passwort) dann weitergeleitet werden zum OWA und dort wieder eine Abfrage via AD erhalten.

Ich möchte damit mehr sicherheit bei solch einem Zugang gewährleisten. Denn bei einer einfachen AD abfrage habe ich ein sehr komisches Gefühl im Bauch das jemand auf mein Netzwerk über seinen Browser darauf zu greifen kann.

Verstehst du was ich meine ;)

Mit eine Cisco ASA und proxy-auth koennte man sowas realisieren ... kosten so um die 400 Euro. Vorrausgesetzt ich habs so verstanden wie dus meinst ;)

Ich habe da zwar noch kein Gerät gefunden aber werde dort noch weiter suchen.

Was hälst du vom Sonicwall SSL-VPN 200. Dort soll so eine Abfrage kommen.

Weißt du wie das Cisco gerät genauer heißt??

ich versteh den Zweck nicht ganz. Für was soll das gut sein? Wenn mein Account im AD authentifizerit ist, dann habe ich Zugriff auf mein OWA-Postfach. Warum explizit nochmals authentifieren?

und wenn schon, warum soll das ein zusätzliches Device? Du kannst den OWA im IIS so einrichten, dass er eine Basisauthentifizierung verlangt (integrierte Authentifizierung raus). Dann MUSS man seine Anmeldeinformationen explizit eintragen. Das sollte dann doch reichen?!

grizzly999

Also ich möchte damit mehr sicherheit bezwecken. Denn ich finde die allgemeine Benutzer Kennwort abfrage von AD ist mir zu wenig ich möchte gerne eben direkt vor bzw. nach der Firewall eine eigene Abfrage haben.

Aber was du da geschrieben hast von "OWA im IIS so einrichten, dass er eine Basisauthentifizierung verlangt (integrierte Authentifizierung raus)."

würde mich auch mal interessieren, kannst du mir mal eine genauere Erklärung dazu geben, wie dies funkt. Was ist OWA?? und mit integrierte Authentifizierung meinst du doch die Standard Abfrage von AD oder ???

Gruß Evoco

Hallo zusammen,

ich habe eine Frage an euch.

Vielleicht hat jemand eine Lösung.

Einige Kollegen möchten via https über www auf unseren Exchange Webaccess server zu greifen.

Exchange hat ja von sich aus eine Benutzername Passwort abfrage, aber ich möchte gerne davor schon eine Passwortabfrage haben.

Am liebsten das dies so ein Managebarer Switch macht der diese Abfragen macht.

Ich wollte eigentlich nicht noch Groß Geld für Software und Hardware ausgeben, so ein Switch wäre da echt Klasse.

Kennt einer von euch so was. Für jegliche Lösungsforschläge wäre ich sehr dankbar.

Vielleicht habe ihr ja eine einfachere Lösung.

Gruß Evoco

ich halte perfmon zu unübersichtlich gibt es da nicht noch andere schönere Tools.

Aber erstmal danke für die Antwort.