IThome

Wofür denn UDP 1701 ? L2TP/IPSec ?

Vor jedem Ausschalten muss der Benutzer abgemeldet werden ... Wo siehst Du ein Problem ?

Mach doch ein Abmeldeskript ...

Prüfe die Windows 7 Systeme mal hinsichtlich der MAC-Adressen ... Ich habe schon mehrere Rechner mit gleichen MAC-Adressen gehabt (was nicht sein darf, ich weiß, gibt´s aber trotzdem) ...

Wenn ein Client jetzt eine DNS Anfrage stellt und ich habe nicht bei jederNetzwerkkarte das GW eingetragen, wird die Anfrage doch nicht weitergeleitet... oder liege ich da falsch?

Sicher werden die weitergeleitet, dem Server sind beide Netze bekannt und der DNS-Server hört auf beiden Adressen ab ...

Bei Einsatz eines Routers und der entsprechenden Konfiguration desselben, können sie sich auch nicht sehen UND der DC läuft in einer empfohlenen Konfiguration ...

Wenn ihr schon VLANs einsetzt, verstehe ich den ganzen Sinn dahinter erst recht nicht ... ;)

Ein DC mit 2 Netzwerkkarten ist überhaupt keine gute Idee. Weiterhin sind 2 Gatewayeinträge vorhanden und ich denke nicht, dass das so gewollt ist (und auch nicht notwendig ist bzw. funktioniert) ...

Was soll das mit den 2 Karten ? Das macht man eigentlich mit einem Router ...

Ich würde mal mit der Ereignisanzeige beginnen ...

Nehmen wir mal an, Du hast einen Ordner, in dem sich die vorgefertigte Ordnerstruktur befindet. In den Berechtigungen dieses Ordners setzt du zuerst die Gruppe der "Superuser" und gibst ihnen Vollzugriff mit der Reichweite "Dieser Ordner, Unterordner und Dateien".

Um allen anderen das Löschen von Ordnern zu verbieten, aber gleichzeitig das Erstellen und Ändern von Dateien zu ermöglichen, musst Du mit erweiterten Berechtigungen arbeiten. Du öffnest also die erweiterten Sicherheitseinstellungen des Rootordners und fügst dort die Gruppe der eingeschränkten Benutzer zu. Dann setzt Du die folgenden speziellen Berechtigungen mit der Reichweite "Dieser Ordner, Unterordner und Dateien":

Ordner durchsuchen/Dateien ausführen

Ordner auflisten/Daten lesen

Attribute lesen

Erweiterte Attribute lesen

Dateien erstellen/Daten schreiben

Attribute schreiben

Erweiterte Attribute schreiben

Dann fügst Du die eingeschränkte Gruppe ein weiteres Mal hinzu und setzt die folgenden Berechtigungen mit der Reichweite "Nur Dateien":

Ordner erstellen/Daten anhängen

Löschen

Mit dieser Berechtigung kannst Du jetzt unterhalb des so konfigurierten Ordners als Superuser Ordner und Dateien überall erstellen, löschen usw. und als eingeschränkter User überall Dateien erstellen, ändern usw., aber nirgendwo Ordner erstellen oder löschen ...

Kannst Du den Server mit \\<Servername> oder \\<IP-Adresse> erreichen ?

Nachträglich erstellte Administratoren haben nicht weniger Rechte, für sie gilt nur per Default die Benutzerkontensteuerung bzw. der Administratorbestätigungsmodus ... Das ist eine Richtlinie, die so voreingestellt ist ...

Danke für die Rückmeldung ... :)

Versuche es mal mit dem FSRM.MSC ...

Ressourcen-Manager für Dateiserver

Sehr wahrscheinlich bekommen die VPN-Clients Adressen aus einem Bereich, der sich vom internen Bereich unterscheidet und deswegen schicken sie die Antwortpakete über das falsche Gateway zurück ... Falls es so ist, muss auf dem AVM-Router eine Route in das VPN-Netz, erreichbar über die interne Schnittstelle des Bintec-Routers, erstellt werden ...

Wobei ich den Gedanken von IThome mal aufgreife und zu bedenken geben, dass man mit dem Programm dann (ohne entsprechende Gruppenrichtlinie) sämtliche DCs herunterfahren KÖNNTE

Wenn man sicherheitsfiltert, dann eben nicht, da es nicht für jeden DC gilt ... aber das habe ich ja auch weiter oben erwähnt ...

... und wenn er zu lange drückt, würgt er ihn ab

Wenn Du nicht glaubst, dass die Einstellung wirksam ist, dann überprüfe es im DNS ;)

Wenn Du auf jedem Server den Haken händisch entfernen willst, kannst Du Dir die Richtlinie auch sparen ...

Die Richtlinie entfernt keine Haken, sie aktiviert/deaktiviert nur die Funktion ...

Weil es ein DC ist und Du es via GPEDIT.MSC probierst ... Du musst eine neue Richtlinie erzeugen, dieses Recht entsprechend einstellen, sie mit der Domain Controllers OU verknüpfen, über die Default Richtlinie schieben und (ganz wichtig!) sie sicherheitsfiltern, damit dieser User nicht jeden DC herunterfahren kann ...

"MoveSecurityAttributes" registry subkey does not work in Windows 7 or in Windows Server 2008 R2

Bei mir funktioniert der Key (unter XP/2003) ...

Der Haken wird nicht entfernt, die Funktion ist aber trotzdem da ... Ohne Dokumentation kann das sehr verwirrend sein, wenn man es nicht weiß ...

Konfiguriere das Benutzerrecht "Erzwingen des Herunterfahrens von einem Remotesystem aus" für einen Benutzer, den Du extra dafür anlegst (und der natürlich kein Admin oder Operator ist) oder für einen vorhandenen Benutzer und schreibe ne Batch, die SHUTDOWN oder PSSHUTDOWN ausführt. Alternativ geht dann auch SHUTDOWN /I (mit GUI) ...

@ithome was meinste mit zeitunterschiede die größer werden?

Die Zeiten werden beim Starten des Clients auf die des Servers gesetzt (NET TIME oder wie auch immer), danach nicht mehr ... Die Clientuhren entfernen sich immer mehr von der Serveruhr und der Server sperrt sie dann aus (kann man in den Ereignisanzeigen sehen) ...

Habe ich auch schon mal machen müssen und kann daher sagen, dass das die letzte Möglichkeit sein sollte ... :)

Wenn die User der anderen Domäne auf Ordner dieser Domäne zugreifen dürfen, dann können sie auch Faxe sehen. Wer sagt denn, dass man eingegangene Faxe nur im Exchange ablegen kann ? Man kann sie in einem Ordner ablegen, drucken lassen und an eine Email-Adresse senden ...

SBS-Fax ...

Das macht aber alles der Assistent, man muss nur OMA zulassen ...