IThome

Kein Denkfehler, das ist so ... Verweigerst Du die Löschen-Berechtigung, kannst Du auch keinen Ordner mehr umbenennen.

Ist die Zone auf nur sichere Updates eingestellt ? Versuchen die Linux-Clients es eventuell selbst ?

Also verbindet sich der eine Server mit dem anderen mit dem Microsoft DFÜ-Netzwerk ? Warum benutzt Du nicht 2 Wählen bei Bedarf Schnittstellen ?

Das muss nicht so sein, ist aber Standard, den man allerdings durch Richtlinienkonfiguration ändern kann. Normalerweise muss ein Benutzer Besitzer seines Profils sein, aber auch das kann man via Gruppenrichtlinie ändern ...

Kannst Du die Rechner im LAN anpingen ?

Du musst ihn vor dem DCPROMO nicht der Domäne zufügen. Er bekommt den 2000er als bevorzugten DNS-Server eingetragen und Du installierst den DNS-Dienst schon mit. Davon ausgehend, dass die Zonen des 2000ers AD-integriert sind, muss der 2003er nur noch zu einem zusätzlichen DC gemacht werden, nach der Replikation hat er Zugriff auf die DNS-Zonen und Du kannst dann seine eigene IP-Adresse als bevorzugten DNS-Server eintragen und die des 2000ers als sekundären. Denke an ADPREP und den Fix, den Du unbedingt vorher ausführen solltest ...

Du kannst für die Computer eine eigene OU erzeugen, die Benutzer müssen dort nicht hinein, nur die Computer, an denen sich die Benutzer anmelden ...

Offensichtlich nicht ... Windows XP Home Edition Comparison Guide Windows XP and Hyper-Threading

RSOP.MSC gibt es bei 2000 noch nicht. Ausserdem ist Deine Richtlinie am falschen Platz. Diese Einstellung wird in der Computerkonfiguration vorgenommen, also musst Du sie dort verknüpfen, wo sich die Computerobjekte befinden. Sind sie noch im Standardcontainer, erzeuge Dir eine OU, verschiebe die Computerobjekte dorthin und verknüpfe die Richtlinie mit dieser OU. Danach SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE auf einem Client, am besten den Client danach neu starten und nach der Abmeldung eines Benutzers, der noch kein Serverprofil hat, nachsehen, ob die Berechtigungen stimmen

Schön, dass es geklappt hat ... :)

2000 oder XP ? Wo hast Du die Gruppenrichtlinie verknüpft ?

Und Du bist Dir sicher, dass die Richtlinie überhaupt wirkt, das sieht nämlich nicht so aus. Führe auf dem Client mal RSOP.MSC aus und schaue nach, ob die Richtlinie greift ...

Du legst auf Rechner A ein Konto A mit dem Kennwort A an, ebenso ein Konto B mit dem Kennwort B. Auf Rechner B legst Du auch Konto A mit Kennwort A und Konto B mit Kennwort B an. An Rechner A meldest Du Dich mit A an, an Rechner B mit B und beide können aufeinander zugreifen (wenn auf Rechner A Berechtigungen für B und auf Rechner B Berechtigungen für A vergeben sind: einfache Dateifreigabe ist deaktiviert) Wenn das dann immer noch nicht funktioniert, müssen wir mal nach ein paar Sicherheitsoptionen schauen ...

Wie genau hast Du es gemacht ? Wo wurde die Richtlinie angewendet ? Welche Objekte befinden sich dort, wo Du die Richtlinie angewendet hast (wenn es über das AD gemacht wurde). Haben VOR dem Anwenden der Richtlinie schon Profilordner für User auf dem Server existiert ? Du kannst auch nachträglich noch Berechtigungen auf die Profilordner mittels Besitzübernahme und anschliessender Berechtigungsvergabe vergeben. Allerdings muss dann die Richtlinie "Eigentümer von servergespeicherten Profilen nicht prüfen" gesetzt sein. Ebenso kannst Du den Inhalt der Freigabe der Serverprofile (nach Besitzübernahme) löschen oder besser verschieben, beim nächsten Abmelden erzeugen die Clients den Ordner erneut (wenn die Richtlinie tatsächlich wirkt, auch mit den richtigen Berechtigungen). Voraussetzung hierfür ist, dass die zwischengespeicherten, serverbasierten Profile nicht nach dem Abmelden gelöscht werden, denn sonst hast Du Initialprofile ...

Nun ja, die Sache mit dem Exchange (wahrscheinlich ein 2000er?) ändert doch einiges. Du musst, bevor Du den 2003er zum zweiten DC machst, das Schema auf 2003 vorbereiten. Diese Änderung breitet Probleme, wenn Du eine gewisse Reihenfolge nicht einhältst bzw. nicht VOR dem ADPREP Änderungen vornimmst ... Windows Server 2003 adprep /forestprep Command Causes Mangled Attributes in Windows 2000 Forests That Contain Exchange 2000 Servers Wenn Deine Zonen Active Directory integriert sind, brauchst auf dem neuen DC eigentlich nur den DNS-Dienst installieren, die Replikation erledigt den Rest.

Das muss passieren, BEVOR der Profilordner erzeugt wird (der Client erzeugt es und setzt die Berechtigungen). Das steht übrigens auch in der Erklärung der Richtlinie ...

Hallo und willkommen im Board wenn Du Dir mal die Eigenschaften der eingehenden Verbindung anschaust, kannst Du dort unter Netzwerk - Internetprotokoll den Haken "Anrufern den Zugriff auf das lokale Netzwerk gestatten" setzen. Weiterhin kannst Du von DHCP auf einen statischen Bereich umstellen. Benutze einen Bereich, der sich in dem internen Bereich des Netzwerkes befindet, aber dessen Adressen noch nicht belegt sind ... Gruss Sven

Rein technisch gesehen stimmt es nicht, dass es nur Administratoren dürfen. Es wäre ja denkbar, dass ein Kontenoperator oder Serveroperator Verwaltungsaufgaben durchführen muss. Die Mitglieder dieser Gruppen können sich zwar per Default nicht verbinden, würden bei entsprechender Anpassung aber auch nur verwalten, was dann ja wahrscheinlich kein Lizenzverstoss wäre ...

Und als Schnittstelle für die statische Route wählst Du die "Wählen bei Bedarf" - Schnittstelle aus (das Gateway-Feld ist dann ausgegraut), mit dem Ziel des gegenüberliegenden Netzwerkes ....

In dem Bild, welches Du geposted hast :D Du kannst Dich also via RDP und VPN mir dem TS verbinden, Internet funktioniert, aber den Router kannst Du nicht konfigurieren, aber anpingen ?! Lässt sich der Rouer überhaupt noch konfigurieren (mit einer Direktverbindung) ?

Ähm, was genau verstehst Du nicht ? Auf beiden Rechner gleiche Konten und gleiche Kennwörter bei deaktivierter einfacher Dateifreigabe, dann brauchst Du die Richtlinie nicht anpassen. Oder aktivierte, einfache Dateifreigabe und aktiviertes Gastkonto auf beiden Rechnern, dann müssen keine gleichen Konten/Kennwörter existieren ...

Ist die Adresse korrekt, die er anzusprechen versucht ? Wenn ja, dann ist es ja wahrscheinlich kein DNS-Problem. Funktioniert ein alternativer Browser auch nicht ?

Ich persönlich würde es machen , gerade in einem Firmennetzwerk geht die Sicherheit vor. Funktioniert der Zugriff über IP-Adresse (Adresse auf einem anderen PC auflösen lassen) ?

Lösche bzw. verschiebe mal alle Dateien mit der Endung PWL und probiere es nochmal ...

Der beste Rat ist: neu installieren, schon mal befallene Rechner sind nicht mehr vertrauenswürdig. Falls Du das Risiko trotzdem eingehen möchtest, lösche die alte HOSTS Datei, erzeuge anschliessend eine leere und reinstalliere TCP/IP (entfernen und neu installieren)