IThome

Die Loopbackverarbeitung in Verbindung mit Sicherheitsfilterung ist das Mittel der Wahl für Deine Anforderung. Möglicherweise hast Du im Test fehlerhaft konfiguriert. Was genau hast Du denn konfiguriert und wo ?

Buffalo Technology - Products - TeraStation

Danke, das schau ich mir mal an ... :)

Wann vorher ?

Ohne die CSEs können die älteren Clients (XP) die neuen Einstellmöglichkeiten nicht nutzen ... http://www.gruppenrichtlinien.de/index.html?/Vista/gpp_group_policy_preferences.htm

Oder gibt es eventuell Zusatzsoftware, die man benutzen kann, um eine zentralisierte Versorgung von Signaturen (mit Bildern) gewährleisten kann ?

Aha - Effekte sind immer gut ;) Schön, dass wir Dir das Thema näher bringen konnten ...

Setze mal folgende Richtlinien für die Clients ... LDAP://Yusufs.Directory.Blog/ - Asynchrones Startverhalten beim Windows XP

Er sollte es natürlich generell nicht auf einem DC machen. Aber wenn er es schon auf einem DC machen muss und es mehrere davon gibt, dann sollte er es nicht in der DDCP machen. Und das nicht gerade weil die DDCP die lokale Richtlinie überschreibt. In der lokalen Richtlinie wird per Default das Recht zum Anmelden via Terminaldienste definiert. Wenn ich das Recht in der DDCP anpasse, dann gilt das für ALLE DCs und man soll sich ja nur an einem DC/TS anmelden. Deswegen NICHT via Domänenrichtlinie, sondern via lokaler Richtlinie ... "Lokal anmelden zulassen" gilt für die interaktive Anmeldung am DC. Diese Anmeldung hat einen anderen Logontype als die Anmeldung via Terminaldiensten. Dieses Recht muss auf einem DC (ausser es ist ein 2000 DC) nicht angepasst werden. http://www.windowsecurity.com/articles/Logon-Types.html

Nein, muss er nicht und sollte er auch nicht. Damit erlaubt man den Zugriff ja auf alle DCs. Es sollte (und es ist auch dort eingestellt) in der lokalen Richtlinie des DCs gemacht werden. Es ist auch nicht das Recht "Logon locally" ... das war mal so bei 2000 Terminalservern ...

Du kannst die im AD erzeugten Gruppen usw. natürlich auch auf einem Mitgliedsserver benutzen. Dafür muss er kein DC sein (Du hast ja noch den SBS, der das Active Directory zur Verfügung stellt). Wenn der TS kein DC mehr ist, dann reicht es, die TS-Benutzer,die in der Domäne angelegt wurden, der lokalen Gruppe Remotedesktopbenutzer auf dem TS! zuzufügen. Auf dem DC klappt die Anmeldung via Terminaldiensten nicht, weil ein Benutzerrecht anders eingestellt ist als auf einem Memberserver ...

Oder einfach GPMC.MSC eingeben, dann klappt das schon ...

Öhm, nö, eigentlich nicht. Der Gruppenrichtlinieneditor von Windows 2003 kann nur die neuen Vorlagendateien nicht lesen, daher die neuen Richtlinien auch nicht anzeigen. Wenn Du für neuere Systeme Richtlinien erzeugen möchtest, musst Du das mit dem aktuellsten Betriebssystem machen (hier Windows 7). Mit diesem Betriebssystem kannst Du selbstverständlich auch Richtlinien für ältere Systeme erzeugen (2000/XP/Vista/2003). Alle Richtlinien werden im SYSVOL-Verzeichnis der DCs abgelegt/repliziert und sind für alle Clients abrufbar (natürlich einstellungsabhängig, da einige Richtlinien erst ab XP SP2 gültig sind, andere erst ab Vista usw.) ...

Er kennt die Vorlagendateien nicht, daher sieht man es nicht. Du benötigst also eine Windows 7/2008 (R2) Maschine. Die Gruppenrichtlinien werden natürlich nach wie vor mit SYSVOL auf die anderen DCs repliziert ...

Der Port des Clients wird vom Betriebssystem dynamisch erzeugt, demzufolge nützt Dir der Port nichts. Ist aber auch unerheblich, da der Router NAT macht. Er pflegt eine Tabelle, in der steht, an welche Adresse/Port er die Antworten zu schicken hat. Es reicht also, dass der Port 80 nach innen weitergeleitet wird. Was djmaker anspricht, lässt sich wohl als "Security through Obscurity" bezeichnen :D

Bin mir jetzt nicht sicher, ob es eine vordefinierte Richtlinie gibt. Man kann aber den Regkey via GPO setzen. Wichtig dabei ist, dass die Group Policy Preferences auf den Clients installiert sind. Windows Script Host Settings at Registry Guide for Windows Computerkonfiguration - Einstellungen - Windows-Einstellungen - Registrierung

Du konfigurierst eine eingehende Regel, wählst "Vordefiniert - Remotedesktop" aus. Danach konfigurierst Du dann nur noch, mit welcher Sicherheitsstufe Remote Desktop zu erreichen ist. Ist der Assistent fertig, klickst Du mit rechts auf die neue Regel - Eigenschaften und konfigurierst Bereiche, Profile usw. Schaue Dir vor und nach der Änderung via MMC - Windows Firewall mit erweiterter Sicherheit mal die erzeugten Regeln an. Wie Du sehen wirst, gibt es mehrere Regeln, die sich auf verschiedene Firewallprofile beziehen, abhängig davon, in welchem Netzwerk Du Dich befindest (Domäne,privat,öffentlich zu sehen im Freigabecenter). Die alte Einstellung bezieht sich auf ein Domänenprofil und ein Standardprofil. Diese Bezeichnung "Profil" hat aber eine andere Bedeutung als bei der neuen Firewall. Das Domänenprofil (verwaltetes Netzwerk) ist das, was zu dem Zeitpunkt der Anwendung der Richtlinie aktuell war. Entweder ist der Verbindungssuffix oder das Subnetz ausschlaggebend. Das Standardprofil dagegen ist alles, was nicht Verbindungssuffix/Subnetz zum Zeitpunkt der Erstanwendung der Firewallrichtlinie ist ...

Mach das ...

Habe jetzt nicht ganz verstanden, was Du möchtest ... :wink2: Du solltest mit der Gruppenrichtlinienverwaltungskonsole arbeiten, nicht mit dem lokalen Gruppenrichtlinieneditor (Du willst ja eine Domänenrichtlinie erstellen) ...

Du musst zuerst RSAT downloaden und installieren ... http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d Danach kannst Du das Feature zufügen (Programme und Funktionen) ...

Die relevante Richtlinie befindet sich unter Computerkonfiguration - Richtlinien - Administrative Vorlagen - Windows-Komponenten - Sicherheitscenter Wenn diese Richtlinie deaktiviert wird, bekommst Du keine Meldungen mehr ...

Du konfigurierst Deine Richtlinie direkt vom Server aus oder benutzt Du den neuesten Client (Windows 7) ? Du solltest Deine Gruppenrichtlinien immer vom neuesten Client aus konfigurieren ...

Danke erstmal für die Antwort. :) Ja, das habe ich schon gelesen. Scheint aber nicht supported zu sein und birgt auch Gefahren, was die Store-Integrität betrifft. Gibt es eventuell eine offizielle Aussage, dass es (oder auch nicht) unterstützt wird auf welche Art auch immer ?

Von wo aus konfigurierst Du die Gruppenrichtlinien ?

Hallo Kollegen, gibt es eine Möglichkeit in die Signatur von OWA 2003 ein Bild als Firmenlogo einzufügen ? LG Sven