micha_g

Sorry,

hat sich schon erledigt.

Die Sache mit Sicherungs-Operatoren war richtig.

Ich hatte zwei Testnutzer. Dummerweise habe ich einen Tag lang versucht das mit dem Nutzer zu testen, der nicht Mitglied dieser Gruppe war.

Nun gehts soweit

Trotzdem danke für die geistigen Anstrengungen!

Gruß

Micha

Sicherungs-Operatoren und Server-Operatoren hab ich schon probiert.

Micha

mir gehts um folgendes

wir ham n paar leute an jedem standort die sich um ihren server kümmern ... aber die sind keine domänen admins haben aber richtige dcs stehen.

naja und die sollen nur die anwendung öffnen können um zu prüfen ob die datensicherung richtig lief oder um daten wiederherzustellen....

deshalb das ganze

Micha

Hallo,

ich versuche grad Veritas Backup Exec auf einem DC unter einem Nutzer, der keine Administratoren-Rechte besitzt, anzustarten.

Allerdings lässt er mich nicht, weil ich nicht die richtigen Rechte hab.

Nur welche Rechte brauche ich?

Sicherungs-Operatoren und Server-Operatoren hab ich schon probiert.

Sorry falls meine nicht in diesen Themenbereich gehört.

Gruß

Micha

Hallo,

ich habe folgendes Problem:

Auf einem Server (W2k3) kann sich derzeit eine Gruppe von Nutzern via Remotedesktop anmelden. Die Gruppe hat aber keine Administratorenrechte, sie hat nur das Recht via Remotedesktop zuzugreifen und Vollzugriff auf alle Datenpartitionen auf dem Server.

Wenn ich nun als einer dieser Nutzer versuche auf dieser Partition einen Ordner Freizugeben, fehlt die komplette Seite.

Wie realisiere ich dass die Nutzer Ordner Freigeben können, ohne Sie zu Administratoren zu machen?

Micha

Hallo,

ich glaube langsam, ich bin zu ****.

Ich versuche über eine Gruppenrichtlinie einer bestimmten Gruppe die Anmeldung an einem bestimmten Server zu realisieren.

Erstmal zur Ausgangssituation:

1 Domäne bestehend aus 11DCs

Ich habe Folgendes gemacht:

- DC xyz in eine gesonderte OU gepackt

- die Default Domaincontroller Policy an diese Stelle verlinkt

- eine neue Gruppenrichtlinie angelegt, in welcher ich folgende werte gesetzt habe:

Anmelden über Terminaldienste zulassen: Administratoren, Gruppe abc

Lokal anmelden verweigern: Administratoren, Gruppe abc

Nun sollte es ja möchlich sein, sich mit einem Nutzer welcher Mitglied in abc ist am DC xyz anzumelden.

Sollte.... nur wenn ich's versuche kommt:

"Sie müssen über die Zugriffsberechtigung für Terminalserver auf diesem Computer verfügen, um sich remote anmelden zu können....."

Nun bin ich mal voll verwirrt.

Daraufhin hab ich mir ne Gruppenrichtlinienmodellierung erstellt um zu überprüfen ob die wie alle Gruppenrichtlinien zusammen wirken.

Dabei kam heraus, dass meine Einstellungen wirken.

Dann habe ich mir ein Gruppenrichtlinienergebnis erstellt, welches DC xyz und einen Benutzer der Gruppe abc enthält.

Ergebnis davon war das unter dem Punkt "Angewendete Gruppenrichtlinienobjekte" meine definierte Gruppenrichtlinie auch zu finden war.

Ich bin verwirrt?!

Bitte helft mir!

MFG Micha

Hallo,

gibt es irgend eine Möglichkeit, nach dem Druck auf einem Netzwerkdrucker automatisch eine Aktion aufzurufen?

Es geht um folgendes:

Hab auf nem Server n PDF-Netzwerkdrucker eingerichtet, nun wäre es noch praktisch, wenn nach dem Druck sich bei dem entsprechenden Client der Order öffnet in dem die fertige PDF liegt.

Derzeit hab ich nur im Script was auf dem Server aufgerufen wird eine Anweisung drin, dass der entsprechende Nutzer via net send darüber informiert wird, dass sein Dokument gedruckt wurde, und wo er es findet.

Das Problem ist halt, das Script wird ja auf dem Server ausgeführt, und nicht auf dem Client...

Kann dem Server ja nicht sagen: "öffne explorer \\server\PDFs\%USERNAME% auf client xyz"....

Micha

Ok ich muss mich selbst korrigieren.

Ich kann den PC auch mit einem normalen Nutzer in die Domäne aufnehmen.

Dann sehen ich soweit eigentlich kein Problem.

Oder?

Micha

Ein komplettes Umplanen in Richtung Terminal Server ist nunmal leider nicht möglich.

Der aktuelle Stand ist das was da ist, das wurde nunmal durch ein Ministerium so entschlossen und daran kann ich nichts ändern.

Aber ich habe nun folgendes hinbekommen:

Ich habe nun testweise für einen Standort folgende OU-Struktur

Standort XX

+-- Benutzer

+-- Computers

\-- Domain Controllers

In Benutzer befinden sich alle personenbezogenen Benutzer.

In Computers habe ich alle Computer des Standorts verschoben.

In Domain Controllers befindet sich der Domain Controller des Standorts.

Folgende Gruppenrichtlinien sind in Verwendung:

Für Benutzer:

Proxy-Settings (Einstellung der Proxy Settings, unabhängig vom Problem)

Computers:

nichts

Domain Controllers:

Default Domain Controller Policy (nur verknüpft)

Standort XX Admin (Einstellung, dass Gruppe "Standort XX Admins" sich lokal und via Remotedesktop anmelden kann)

Das klappt auch soweit.

Des Weiteren habe ich die Gruppe "Standort XX Admins" für die OU Standort XX als Objektverwalter eingestellt.

Nun stellt sich für mich die Frage:

Wie ermögliche ich den Standort-Admins Clients ins Netz aufzunehmen?

Über den normalen Nutzer der keine administrativen rechte hat, würde das wohl kaum gehen.

Micha

Naja es sind eben nicht die gleichen Daten.

Das ist ja das Problem.

Jeder Standort hat Gewisse sachen, die einfach für sich laufen.

Und die Systemer vor Ort sollen halt nur an ihren Servern rumfurwerken können....

Jap, deine Aussage ist richtig.

Es ist bereits eine Sub-Domain (xxxx.xxxx.thlv.de), welche aber nicht mehr in weitere Sub-Domains unterteilt werden kann.

D.h. die Administrative Unterteilung kann nun nur noch über Organisationseinheiten und Gruppenrichtlinien erfolgen.

Sonst noch was unklar?

Micha

Hallo Leute,

ich bin gelernter FIS und bin grad mit einer eigentlich simplen Aufgabe überfordert.

Bzw. ich weiß nicht ob mein Lösungsweg denn der richtige ist...

Also folgendes:

Ich habe hier eine Domäne von ca. 400 Benutzern.

In der Domäne arbeiten 11 DCs.

Einer je Standort und einer an zentraler Stelle.

Demnach gibt es nun 10 Standorte und halt den einen Server zentral.

Nun sollte an jedem Standort eine Gruppe von 2 bis 3 Personen die Verwaltung von ihrem Server, ihren Druckern, ihren Nutzern und ihren Freigaben übernehmen ohne jedoch die Ressourcen der anderen Standorte beeinflussen zu können.

Ich mein so tolle Sachen wie der Assisten für Zuweisung der Objektverwaltung habe ich schon genutzt.

Nun wollte ich den realen Test machen.

D.h. erstmal würde der Systemverwalter vor Ort versuchen sich per Remotedesktop am DC anzumelden.

Aber da scheiterts dann schon.

Da kommt dann, dass ich nicht die Berechtigung habe.

Dann hab ich in der "Default Domain Controlelr Policy" bei "Anmelden über Terminaldienste zulassen" die Gruppe "Remotedesktopbenutzer" hinzugefügt.

Dann habe ich die Gruppe "Admins Standort XXX" in als Mitglied der Gruppe "Remotedesktopbenutzer" hinzugefügt.

Dann sollte das doch eigentlich gehen oder?

Naja, aber dann würde es wohl auf allen Servern gehen? Da bräuchte ich wohl ne Gruppenrichtlinie je Server?

Gehe ich total falsch an die Sache ran oder is das wirklich so umständlich?

Schonmal danke im voraus...

Micha

es geht mir nur um die reinen Profile der Domänenbenutzer die lokal auf dem Rechner des entsprechenden Nutzers liegen.

Zwei Standorte werden zusammen gelegt und die Nutzer der kleineren Domäne sollen nur direkt mit in die größere Domäne

Michael

Also folgendes Szenario:

Wir wollen etwa 50 Clients von einer in die nächste Domäne nehmen. Die Profile sind lokal gespeichert, die Domänenbenutzer werden in der neuen Domäne genau so heißen wie in der alten. Bei den Domänen handelt es sich um Active Directory Domänen. Die Clients hingegen sind teilweise Windows XP, teilweise Windows NT und wenige Windows 2000.

Wenn ich die Nutzer der alten Domäne in der neuen einrichte, die Clients einbinde und mich anmelde greift er ja nicht automatisch auf die alten Profile zu.

Wie exportiere und importiere ich die Profile am besten? Und was gibts da zu beachten?

Schonmal Danke im voraus!

Michael

hmmm ... wie ich grad lese, muss ich das wohl im wiederherstellungsmodus machen, aber unseren ganzen dc kann ich nicht neu booten....

mit dem was ich am anfang gesagt habe gibt es wohl keine möglichkeit ne replication anzustarten? also repadmin und netdom ?

oder kann man nicht diese zeit wie alt die AD maximal sein kann hochstellen?

ich mein so viele veränderungen wurden von damals bis heute nicht gemacht ... und selbst wenn... sollte das ein problem sein?

ich spreche hier von ner domäne mit ca. 50 nutzern ....

Micha

Also das mit dem metadata cleanup hab ich schon gelesen und hab es soweit durch probiert bis an die stelle wo ich ihn dann wirklich entferne, das wäre eine lösung, aber für mich nur die absolute notlösung wenns gar nicht anders geht.... das mit dem sysvol vom anderen wiederherstellen kuck ich mir mal an, solang im sysvol nix vom DC selber ist ... und das demnach auf jedem dc gleich ist sollte dass doch keine schwierigkeiten machen oder?

ich kuck mir das ganze schonmal an ..

ich mein ... wenn der kaputte dc entgültig futsch geht ... hmm .. kammer nix machen ... musser halt neu aufgesetzt werden ... aber solang ich den noch ganz kriegen kann will ich das auch

das einzige dabei ist halt, dass der ganze dc mehr oder weniger davon unberührt bleibt ... dass der keinen schaden davon trägt, das ist nur wichtig

Michael

Also, es is nur ne kleine Struktur von daher muss man da nichmal so viel Ahnung haben.

Außerdem bin ich doch noch Azubi :D

Also wir ham einen Domänencontroller, der völlig in Ordnung ist und halt einen Kaputten.

Bei dem Kaputten lief das folgendermaßen ab.

Da er extreme Netzwerkperformance Probleme hatte, wollten wir ihn eigentlich komplett neu machen, aber dagegen sprach, dass dann n Experte wegen der Antivirensoftware kommen müsste. Also ham wir einfach bevor wir das ganze so machen nochmal n bisschen rumgespielt und ne alte Datensicherung zurückgespielt (dummereise ohne vorher nochmal eine zu machen) in der war enthalten: C: und der System State.

Nun ham wir das ding halt zurückgespielt, beim normalen Booten sagt er mir dass er den Verzeichnisdienst nicht starten konnte und fordert mich auf im Verzeichniswiederherstellungsdienst zu starten (das ist übrigens auc der einzige Modus in dem ich starten kann).

Wenn ich dann im Verzeichniswiederherstellungsmodus starte und in die Ereignisanzeige vom Verzeichnisdienst kucke finde ich folgenden Fehler

Dafür ist das Netzwerkperformance Problem weg, und die Antivirensoftware arbeitet auch richtig.

Es muss doch möglich sein das Replizieren manuell anzustarten?

oder den DC runterzustufen (Wichtig: ich kann nur im Verzeichniswiederherstellungsmodus starten)

sonst noch ne Frage?

Micha

Also, n Experte hat mir nun den Tipp gegeben ich soll mir mal die Windows Server 2003 Support Tools holen, mit dem netdom bzw. repadmin wäre es möglich eine Replikation zu erzwingen.

Hat wer ne Ahnung wie das geht?

Ich hab mich schon n bissl mit der Hilfe auseinander gesetzt und gegoogled.... aber bisher noch nichts gefunden womit das klappt

wenn

C:\Dokumente und Einstellungen\Administrator.LVWADOM>repadmin /replicate kaputterdc.domain.local ganzerdc.domain.local

mache kommt:

Repadmin can't locate a "home server" or determine our domain because of the fol

lowing error. Try specifying specific

"home server" with /homeserver:[dns name]

Error: An error occured:

Win32 Error 8419(0x20e3): Das DSA-Objekt wurde nicht gefunden.

Micha

hmmm .. ich kann mich damit nicht zufrieden geben, es muss doch irgendwo möglich sein die schattenkopie auszuwählen

Michael

hmmmmm....

selbst wenn wir den pc nun neu machen lassen....

wie krieg ich dann den als dc aus der domäne raus?

der steht ja nun noch als dc drin aber wie kann ich den anderen dc's klar machen dass es ihn nicht mehr gibt?

Micha

das wusste ich soweit auch schon

nur wie gesagt

sobald ich die meldung bestätige startet er neu

gibt es keine möglichkeit den dc im verzeichniswiederherstellungsmodus wieder zum normalen w2k3 server zu machen?

Dann hätt ich ne andere Idee, wie stufe ich den DC wieder runter und mach ihn zu nem normalen W2k3 Server?

Im Verzeichniswiederherstellungsmodus erlaubt er mir das nich :(

Micha

Ja, stimmt.

Naja der Server wurde nur einmal nach der Installation gesichert, darauf ja eigentlich keine Aktiven Daten sind, bis auf die Updates vom Antivirenserver.

Nur wie mach ich das nun:

Benutzeraktion

Wählen Sie eine neuere Schattenkopie aus, und führen Sie die Wiederherstellung erneut aus.

Michael

Naja, das Problem ist, auf dem Server is ne Antivirensoftware (Server) drauf die jemand von Bechtle installiert und eingerichtet hat, wir haben hier niemanden der sich damit auskennt/Zeit dafür hat. Deshalb soll der erstmal nicht Platt gemacht werden, weil uns das nur unnötig Geld kostet, wenn das wieder von denen eingerichtet wird.

Ich mein ich würde den DC ja auch gerne wieder zu nem normalen W2k3 Server machen, aber das erlaubt er mir im Verzeichniswiederherstellungsmodus nicht.

Was meinst du mit "FSMO Rollen"?

Der DC läuft eigentlich nur für Antivirensoftware, für Datensicherungen von Nutzerdaten (wenn wir mal wen Platt machen) und eigentlich noch als Druckserver.

Micha

Hallo,

wir ham nen Windows Server 2003 mit ner Sicherung zurückgespielt, weil er starke Netzwerkperformance-Probleme hatte, und uns als Lösung selbst von Experten nur neuinstallieren Empfohlen wurde.

Nach dem zurückspielen der Sicherung Kam beim Normalen starten ein Fehler, bei dem stand dass der Verzeichnisdienst nicht richtig gestartet werden konnte und dass der PC im Verzeichniswiederherstellungsmodus gestartet werden soll. Bei bestätigung der Meldung startete der PC automatisch neu, der Fehler kam auch in jedem anderen Modus in dem man startete außer im Verzeichniswiederherstellungsmodus.

Im Ereignisprotokoll für den Verzeichnisdienst stand dann folgender Fehler:

Der Schattenkopiedienst kann Active Directory nicht wiederherstellen, weil die verwendete Schattenkopie zu alt ist.

 

Ablaufdatum der Schattenkopie:

2005-01-16 12:45:49

 

Benutzeraktion

Wählen Sie eine neuere Schattenkopie aus, und führen Sie die Wiederherstellung erneut aus.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Der Server is bei uns nur einer von mehreren Domänencontrollern. Wie kann ich nun ne Schattenkopie von nem anderen Server nehmen, und bei ihm quasi "importieren"?

Michael