IThome

Ja genau, das versucht er und genau das ist der Grund, warum nichts auf der anderen Seite ankommt. Ohne geeignetes VPN-Gateway, welches die VPN Verbindung noch mal nattet, wird das nix. Ändere einfach die Subnetzmaske in Deinem Netz und das dritte Oktett anders als 0 ...

Die Einstellungen findest Du unter

Computerkonfiguration - Administrative Einstellungen - Netzwerk - Netzwerkverbindungen - Windows-Firewall - Domänen-/Standardprofil

Und hier steht, wie diese netzwerkabhängige Richtlinie funktioniert ...

The Cable Guy - May 2004

Naja, dann kann ich nur noch sagen ... Versuch macht klug ... :D

Per Default alle 90 Minuten (+ maximal 30 Minuten zufällig), keine 15 Stunden. Auch wenn Du Deine Firewalls im Domänenprofil (also im verwalteten Netzwerk) auf aktiv setzt, kannst Du die Ausnahmen sehr fein so regulieren, dass Du auf die Adminshares raufkommst, wenn es sein muss auch nur von bestimmten IP-Adressen aus. Ich habe bis jetzt noch keine Probleme gehabt auf Adminshares raufzukommen (SP2 und SP3), wenn die Firewall entweder inaktiv ist oder die Ausnahmen korrekt eingestellt wurden. Eventuell fummeln die Benutzer ja auch dran rum (zu hohe Privilegien) ?! Wie ist die Firewall der Clients denn aktuell eingestellt, wenn Du nicht raufkommst ?

Wenn er kein NAT macht, dann fallen Portweiterleitungen usw. natürlich weg.

Du sagst, dass es darum nicht geht (2 Adressen auf der Schnittstelle des Routers), worum geht es überhaupt ? Warum ist da überhaupt ein Router im Spiel, wenn sich beide Netze doch auf demselben Switch befinden ? Logisch trennen kann man auch anders.

Ach übrigens: ich denke schon, dass ich weiss, wie ein LAN funktioniert und was Layer 2 und 3 bedeutet ;)

Wenn man keine Windows-Firewall benutzen will, schaltet man in der Regel nicht einfach den Dienst ab (eventuelle Folgeprobleme mit dem Computersuchdienst), sondern man regelt die Konfiguration der Firewall. Besonders in einer Domäne hat man die Möglichkeit diese Konfiguration mit Hilfe von Gruppenrichtlinien zu erledigen und das dann auch noch netzwerkabhängig (Domänenprofil und Standardprofil). Soll die Firewall innerhalb des verwalteten Netzwerks inaktiv gesetzt werden, dann wird das im Domänenprofil eingestellt. Alles andere als das verwaltete Netzwerk regeln die Einstellungen im Standardprofil. Über diese Richtlinien können auch alle anderen Aspekte der Windows-Firewallkonfiguration eingestellt werden (Ausnahmen usw. ), ohne dass man remote irgendeinen Dinenst beenden muss, weil man was verwalten will. Und die Benutzer können auch nicht mehr an der Firewall rumfummeln ...

Habe ich das richtig verstanden, die interne und externe Seite des Routers landet auf demselben Switch ? Und das machst Du, weil Du das Netz logisch (nicht physikalisch) trennen willst ? Meine Güte, sowas habe ich ja noch nie gehört, wenn ich es denn tatsächlich richtig verstanden habe. Der Router macht doch sicher NAT, oder ? Wenn er das macht, wie soll dann von "aussen" nach "innen" geroutet werden ohne Weiterleitungen oder 1-to-1 NAT ? Generell sollte diese "Konfiguration" nicht funktionieren, auf jeden Fall nicht einfach so. Niemand wird Dir Erfahrungswerte nennen können, weil niemand sowas macht ...

Wenn Du tatsächlich die Netze logisch trennen willst, dann weise dem Router auf der internen Schnittstelle 2 IP-Adressen aus unterschiedlichen Bereichen zu. In diesem Fall muss nur das entsprechende Default Gateway auf den Servern/Clients eingestellt werden, der Router kennt ja beide Netze (+Internet). Sicherlich wird es zu einem erhöhten Broadcastaufkommen führen und mit einem oder mehreren DHCP-Servern (ob lokale Multinet-Konfiguration oder 2 Server mit unterschiedlichen Bereichen) kommst Du generell nicht weiter, da nicht gesteuert werden kann (von Reservierungen jetzt mal abgesehen), wer welche Adresse aus welchem Bereich bekommt.

Erzähl doch erstmal genau, welche Objekte (Computer,Benutzer) sich wo befinden, wo welches GPO verknüpft ist, was Du in der Sicherheitsfilterung angegeben hast und welche Einstellung nicht angewendet wird (nur die eine oder keine aus dem entsprechenden GPO) ... Was ergibt RSOP.MSC ?

Die (weiteren, wahrscheinlich erfolglosen) Tests mit den NTFS-Berechtigungen doch auch, oder nicht ? Das Script muss ja auch erst auf Herz und Nieren geprüft werden, wenn es denn so funktioniert, wie der Kunde es wünscht ...

Oder lade Dir den Kyocera Deleter von deren Webseite herunter. Damit kannst Du alte Drucker komplett entfernen ...

Hm, wirklich erstaunlich, aber egal, Hauptsache, es funktioniert wieder ...

Damit meine ich, dass Du das Computerobjekt im AD zurücksetzt (mit Active Directory Benutzer und Computer) ...

Auf Servern ist per Default die Sicherheitsoption (Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden) eingestellt, dass die Gruppe der Administatoren Besitzer eines von einem Administrator erzeugten Objektes wird und nicht der Objekterzeuger (wie bei XP).

Wenn auf einem Server ein Script via Task gestartet werden soll, dann muss der Taskbenutzer auch auf die CMD.EXE NTFS-berechtigt werden, sofern es ein Normalbenutzer ist, bei XP nicht.

Startup und Shutdown Scripts werden im Sicherheitskontext des lokalen Systems ausgeführt, per Default unsichtbar. Um sie sichtbar zu machen, muss eine Richtlinie aktiviert werden ("Startskripts sichtbar ausführen", "Skripts zum Herunterfahren sichtbar ausführen").

Wird der Task unter einem anderen Benutzerkonto als dem angemeldeten ausgeführt, sieht man nicht, was der Task macht, er wird aber ausgeführt. Wird der Task mit dem derzeit angemeldeten Benutzerkonto durchgeführt, dann sieht man auch was ...

Probier´s mal aus, ich habe das auch irgendwann mal zufällig herausgefunden (beim Probieren von irgendwas) und war auch ziemlich erstaunt ...

(@IThome: Wenn ein Admin über die beschränkte Freigabe zugreift, kann er das auch nicht. Er müsste dann über einen Adminshare kommen. Aber im Prinzip hast du natürlich Recht.)

Ich spreche natürlich nicht von Adminshares (wo wäre da der Witz), ich spreche von beschränkten Shares, wo er eigentlich die effektiven Berechtigungen nicht hat ... Hab´s natürlich auch noch mal probiert. Freigabe auf nem DC, Freigabe - Jeder - Ändern, NTFS - Jeder - Vollzugriff. Effektiv also Ändern bei Zugriff über die Freigabe. Erzeugt der User eine Datei oder einen Ordner, kann er die Berechtigungen nicht verändern (ausgegraut). Erzeugt ein Admin einen Ordner oder eine Datei, kann er die Berechtigungen ändern (auch die des vom Benutzer erzeugten Ordners) ...

Evtl. kannst du das mit der Beschränkung der Freigabeberechtigung auf "Ändern" statt "Vollzugriff" einschränken, aber ich denke, das wird nix.

Nicht nur eventuell, das wird was ... ;)

Der eigentliche Witz ist der, dass Administratoren trotz fehlender effektiven Berechtigung trotzdem die Berechtigungen ändern dürfen, Benutzer dagegen nicht ...

Dateien reinkopieren und dann nicht mehr verändern, kein Problem. Aber Dateien erstellen dürfen und danach nicht mehr ändern, das wird nichts (man könnte leere Dateien erzeugen, dessen Namen man aber schon nicht verändern kann, geschweige denn, etwas reinzuschreiben). Wie Nils auch schon geschrieben hat, ist das mit den Officedateien wegen der immer erzeugten Temp-Dateien in dem Ordner, wo sich auch die Datei befindet, meistens nicht möglich, gewisse Anforderungen an die Sicherheit (mittels NTFS-Berechtigungen, z.B. nicht löschen dürfen) zu erfüllen . Dein IST-Zustand ist ein wenig verwirrend: Jeder kann Dateien erstellen und auch verändern, aber dort hinkopieren kann er nicht ? :suspect:

@Nils

Das mit dem Verringern der Freigabeberechtigung von Vollzugriff auf Ändern bewirkt bei Nicht-Administratoren, dass sie trotz Besitz die Berechtigungen nicht verändern können.

Zeitunterschiede ? Gibt es Meldungen in der Ereignisanzeige des Clients ? Ist der Client schon mal zurück in eine Arbeitsgruppe und danach wieder der Domäne zugefügt worden (vorher Computerkontokennwort zurücksetzen) ?

Ja, das ist besser ... :)

Ich habe noch gefragt, für welchen Bereich die Ausnahme Datei- und Druckerfreigabe in der Windows Firewall definiert wurde, nur eigenes Subnetz ?

Mit \\IP-Adresse auch nicht zu sehen ? Welche Adresse bekommt/hat der VPN-Client ? Was für eine VPN-Verbindung ist das ? Für welchen Bereich ist die Ausnahme der Datei- und Druckerfreigabe eingestellt, lokales Subnetz ?

Warum nur mit den Admindaten ? Man kann doch einen normalen Domänenbenutzer "Software" oder so erzeugen, mit dem man sich dann anmelden kann (solange Du Dich nicht mit einem Adminshare verbinden willst). Vielleicht verstehe ich aber auch nicht ganz, was Du meinst :rolleyes:

Wo find ich diese Einstellung lokal?

Andere Netzwerkdrucker können eingebunden werden.

Wenn sie sich mit anderen Netzwerkdruckern verbinden können, dann ist die Sicherheitsoption richig eingestellt ...