IThome

Hallo und herzlich willkommen, poste bitte mal die Ausgabe von IPCONFIG /ALL des Servers und eine Clients Gruss Sven

Aha, das klappt also nur bei Dir nicht ? Schau mal hier ... https://www.mcseboard.de/windows-forum-allgemein-28/berechtigungen-zurueckgesetzt-93589.html?highlight=secedit edit: fast vergessen, herzlich willkommen :)

Das funktioniert nicht nachträglich. Der Client setzt normalerweise die Berechtigungen auf die hier gemeinten serverbasierten Profile. Per Default sind die Administratoren nicht dabei. Diese Richtlinie bewirkt, dass die Administratoren bei Ersterstellung des Profilordners zu den ACLs zugefügt werden ... edit: zweiter :D

Sieht mir eher wie ein Berechtigungsfehler auf dem Server aus. Welche Berechtigungen sind dort (auf Ordnerebene) vergeben, welche Berechtigungen auf Dateiebene (bei einer Datei, die sich nicht kopieren lässt, und beide Berechtigungsbeschreibungen möglichst genau). Hast Du auf dem Server schon mal CHKDSK <Laufwerk:> /F durchgeführt ?

Ja dann, wie Woiza schon geschrieben hat ... die einfache Dateifreigabe deaktivieren ...

Grmpf, effektive Berechtigungen :rolleyes: :D Wirkt nur bei Zugriff übers Netz, aber besser als nix ...

Dann habe ich Dich falsch verstanden, sorry ... :)

Sowas wird mit Office installiert (Office 2000 beinhaltet sowas, Office XP?)

Wird das nicht mit Office installiert ?

Das gilt dann aber auch nur für den Internetexplorer, also Websurfen und für nichts anderes ...

Das eleganteste wäre wahrscheinlich ein ISA-Server als Proxy konfiguriert ... ;)

Aber nur auf Dateien und Ordner, die er selbst erstellt hat. Wenn er es überall kann, dann hast Du da was falsch konfiguriert ...

Ein Besitzer hat nicht immer Vollzugriff, er hat aber die Möglichkeit, sich jeden Zugriff zu beschaffen. Was für Berechtigungen geerbt werden, hängt ja von der Konfiguration der ACLs des übergeordneten Ordners ab ...

Weil er der Besitzer der Datei ist. Besitzer haben immer die Möglichkeit , Zugriff auf die Dateien zu bekommen ...

Du musst nur noch einen Regkey auf dem Server setzen "DisableStrictNameChecking" REG_DWORD auf 1 unter HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/LANMANSERVER/PARAMETERS und danach den Server neu starten ...

Die User können sich an der Watchguard authentifizieren (und die Watchguard kann das Active Directory abfragen), bevor Ihnen der Internetzugang gewährt wird ...

Sowas hatten wir vor kurzem erst , vielleicht hilft die dort gepostete Lösung https://www.mcseboard.de/windows-forum-ms-backoffice-31/zugriff-nur-kompletten-dns-namen-102052.html

Das bedeutet also, dass die AD-Domäne XSERV heisst und alle Clients wie auch der Server externe DNS-Server eingetragen haben ? Wenn das tatsächlich so ist, solltest Du erstmal die Grundkonfiguration fixen, bevor Du an andere Sachen herangehst. Dass der VPN-Client seine eigene IP-Adresse als Gateway hat, liegt an dem Haken "Standardgateway im Remotenetzwerk verwenden", welcher per Default gesetzt ist um einen Split-Tunnel zu vermeiden. Den DNS-Server bekommt er entweder vom RRAS (und zwar die, die er selbst bei sich eingetragen hat, das ist das Defaultverhalten des RRAS) und/oder aus den DHCP-Optionen, wenn der DHCP-Relay Agent korrekt konfiguriert wurde. Egal woher er diese Adressen bekommt, Dein DNS-System ist falsch konfiguriert. Besonders, wenn der DNS-Domänenname und AD-Name tatsächlich XSERV ist ...

Nicht nur GPOs, die zentrale Verwaltung und Einrichtung und die Dinge, die hier schon genannt wurden ...

Würde ich ganz und gar nicht unterschreiben. Die Zahl 10 hat wohl eher etwas mit der maximalen Session-Anzahl einer XP-Maschine zu tun. Grösser 10 muss man einen Server nehmen, aber immer noch keine Domäne. Was Woiza geschrieben hat, trifft es gut ...

Läuft Active Directory ? Welche DNS-Server bekommt der VPN-Client zugewiesen, externe ?

Führe mal die etwas "härtere" Variante des Resets durch, wenn noch nicht geschehen ... NETSH INT IP RESET C:\LOG.TXT NETSH WINSOCK RESET CATALOG

Jetzt NETDIAG /FIX ... Hm, mach mal Deine gesamte DNS-Konfiguration neu. Mache alle Zonen primär, lösche sie danach, erstelle eine Zone FIRMENNAME.DE und eine REVERSE-Zone, dnanach NETDIAG /FIX und wieder posten ... Die Delegierung kannst Du wieder entfernen, _msdcs gibt es nicht mehr, erstelle auch Deine Reverse Zone neu ...

Da gibst Du _msdcs ein ... Aber vielleicht solltest Du auch diese Zone löschen (das de gehört da eigentlich auch nicht rein) , die Einträge werden danach dann automatisch in der neu erzeugten Forward-Zone erstellt ...

Schau erstmal nach, ob diese Zone AD-integriert ist. Wenn ja, mache sie primär, lösche sie und erstelle eine Zone mit dem Namen FIRMENNAME.DE (AD-integriert, dynamische Updates zulassen). Normalerweise ist _MSDCS noch delegiert, den Delegierungsassistenten kannst Du starten, in dem Du mit rechts auf die neu erstellte Zone klickst und Neue Delegierung wählst ...