IThome

Haste schon mal die Richtlinie "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" konfiguriert (von einer XP-Maschine aus konfigurieren oder XP ADM-Templates importieren, Fehlermeldung "Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten" bei dem Versuch, Gruppenrichtlinienobjekte in Windows Server 2003, Windows XP Professional oder Windows 2000 zu ändern oder anzuzeigen) ?

Mir ist zwar bekannt, dass man Suchläufe von DSQUERY an DSMOVE, DSGET und DSMOD übergeben kann, aber dass man die Ausgabe von Eigenschaften via DSGET an DSMOVE weitergeben kann, ist mir neu ... edit: befindet sich in der Gruppe nur ein Mitglied, klappt es auch, es liegt also nicht an DSGET, sondern an DSMOVE Zitat Windows Hilfe "Dsmove Verschiebt ein einzelnes Objekt innerhalb einer Domäne von seinem aktuellen Speicherort im Verzeichnis an einen neuen Speicherort oder benennt ein einzelnes Objekt um, ohne es in der Verzeichnisstruktur zu verschieben."

Und ebenso gilt, dass die am meisten restriktive Berechtigung die effektive Berechtigung ist. Deswegen sollte man auf Freigaben keine restriktiven Berechtigungen vergeben, sondern nur auf NTFS-Ebene. Mit Jeder Vollzugriff auf Freigabe-Ebene (und nur da) musst Du also nur noch im NTFS-Bereich schauen, da diese Berechtigungen nur restriktiver sein können ...

und wie greifst Du auf ein Netzlaufwerk zu, nicht über eine Freigabe ? Aber mit dem Domänen-Admin auf den Adminshare des DCs sollte spätestens nach Angabe der entsprechenden Benutzerdaten klappen ...

Hm, ich wüsste nicht, wie das funktionieren soll. Mit HTTP oder FTP Seiten kann man das machen, aber mit UNC-Pfaden ?

Hast Du Meldungen in der Ereignisanzeige des TS ? Treten die Probleme ausschliesslich beim Benutzer Administrator der Domäne auf oder auch beim lokalen Administrator ? In welchen Gruppen befindet sich dieser Benutzer noch ?

Ist denn der neue Server überhaupt zum globalen Katalogserver gemacht worden ? Sind alle Rollen ordnungsgemäss übertragen worden ?

Führe auf der Partition mal CHKDSK /F durch ... Du meinst auch den Administrator der Domäne und nicht den Administrator des Terminalservers ?

Vielleicht solltest Du einen eigenen Thread eröffnen und Deine Problematik möglichst genau beschreiben. Nur weil die Symptome gleich sind heisst ja nicht, dass es auch tatsächlich mit den gleichen Mitteln abzustellen ist ... Ich sehe gerade, dass bei Dir noch nicht mal die Symptome gleich sind, also bitte keine Overtakes ...

Du schreibst, dass die Berechtigung dem Administrator zugewiesen ist, welchem Administrator ? Was genau steht in den Berechtigungen ?

Ist die globale Gruppe der Domänen-Admins noch Mitglied der lokalen Gruppe Administratoren ?

In den Eigenschaften des RDP-TCP Objektes unter Anmeldeeinstellungen gibt es einen Haken "Kennwort immer anfordern" ...

Sowas macht man ja auch nicht, 2 Default Gateways auf einer Maschine einrichten. Wenn mehr als 1 Default Gateway eingerichtet ist, werden nicht alle genutzt. Sowas macht man aus Fehlertoleranzgründen, wenn überhaupt. Vielleicht klappt es, wenn beide Karten ein Default Gateway haben, Du aber die WLAN-Karte in der Bindungsreihenfolge nach oben setzt ...

Geht doch, schön, dass es jetzt funktioniert ... :)

Nein , das brauchst Du nicht, und wenn, dann nur auf dem System, welches den Batchjob ausführt und eigentlich wird einem Benutzer (wenn Du es mit einem Benutzer machst wie dem Administrator zum Beispiel) dieses Benutzerrecht automatisch zugewiesen. Ich habe den Fehler 0x1 bekommen, wenn ich dem Computeraccount, welchem ich die Berechtigung auf dem Zielsystem gebe, das Schreibrecht entzogen habe. Benutze also zum Test auf Freigabe- wie auch auf NTFS-Ebene mal die Gruppe Jeder mit Vollzugriff, dann kannst Du Berechtigungsprobleme ausschliessen ... Ich würde sowas auch nicht mit dem System-Account machen, sondern eher mit einem gering privilegierten Benutzer der Domäne, dem ich dann die Schreib-Berechtigung auf dem Zielsystem gebe (Anpassen der Berechtigung der lokalen CMD.EXE nicht vergessen) . Bedenke auch, dass von dem angegebenen Account nicht nur im Zielverzeichnis geschrieben, sondern auch im Quellverzeichnis gelesen werden muss ...

An den Policies nur, wenn man einen User einsetzt, in dessen Sicherheitskontext der Task laufen soll. Und hier wird diesem User normalerweise automatisch dieses Benutzerrecht gewährt (Kontrolle schadet aber nie) ... Ein normaler Benutzer darf mit einer Batchanmeldung CMD.EXE nicht starten, daher muss die NTFS-Berechtigung in diesem Falle noch angepasst werden. Die Berechtigung habe ich dem Computerkonto gegeben, hätte aber auch, wie Du sagst, eine der Gruppen nehmen können ...

Hab das mal ausprobiert - Eine Freigabe auf dem Server, Freigabeberechtigungen - Jeder,Vollzugriff; NTFS-Berechtigung - Administratoren-Vollzugriff , XP1 - Ändern (XP1 ist der Rechnername des Rechners, auf dem der Batchjob startet). Auf dem Rechner XP1 existiert eine Batchdatei mit dem Inhalt XCOPY C:\TEST\TEST.DOC \\SERVER\BATCH Im geplanten Task habe ich NT AUTHORITY\SYSTEM angegeben, dieser Account hat das Benutzerrecht NICHT explizit zugewiesen bekommen und steht dort auch nicht drin. So klappt das ...

Wenn Du einen Account benutzt, der nur Benutzer auf dem System ist, musst Du ihm Leserechte auf die CMD.EXE gewähren ... Der Benutzer muss auf dem System, auf dem der Batch-Job ausgeführt wird, das Benutzerrecht besitzen (da der Job aber gestartet wurde, kann beides nicht Dein Problem sein). Der Benutzer, der in dem Task eingetragen ist, greift auf die Ressourcen des Servers zu ...

Wenn Du NAT einfach nur abschaltest, wird es nicht funktionieren. Die Gateprotect benötigt wenigstens noch eine Route in das interne Netz über die externe Schmittstelle des SBS und der SBS muss LAN-Routing durchführen (er benötigt ausser dem Default Gateway auf der externen Karte keine zusätzliche Route). Ob Du durch den Tunnel in das interne Netzwerk kommst, hängt von der IPSEC-Policy ab ... Wenn allerdings der SBS nur eine Karte hat und gar nicht routet (also alle Clients, der Server und die interne Schnittstelle der Gateprotect zusammen an einem Switch hängen), solltest Du das gesamte Netzwerk durch den Tunnel erreichen können (abhängig von den Filtern der Gateprotect) ...

Schreib mal, was für ein Zugang benötigt wird (auf welches Gerät, welches Protokoll) ... Eventuell ist es für Dich einfacher, nur eine Karte im SBS zu betreiben. Dann muss man sich nur verbinden und bekommt Zugriff auf das gesamte Netzwerk (abhängig von den Filtern in der Gateprotect) ...

Naja, und dann steht er da, vor der externen Schnittstelle eines NAT-Routers. Auch der RRAS lässt niemanden nach innen durch, es sei denn, Du leitest weiter. Auf welche internen Geräte muss Du wie zugreifen ?

Ich denke, wir reden aneinander vorbei. Ich möchte wissen, ob die Gateprotect der Endpunkt der IPSEC-Verbindung ist oder ob sie die Ports UDP-500 und UDP-4500 zum SBS weiterleitet und dieser der Endpunkt der IPSEC-Verbindung ist . Hast Du einen speziellen Client, der die IPSEC-Verbindung herstellt oder benutzt Du den Windows DFÜ-Client ?

Beginnt der Task überhaupt ? Was sagt denn die Log-Datei des Task-Schedulers ? Wie sind die Berechtigungen auf die CMD.EXE gesetzt (der Administrator hat aber normalerweise die Berechtigung, als im Task eingesetzter Benutzer eine Batch-Datei zu starten, ein normaler User nicht. Die Freigabeberechtigung passt, wie sieht es mit den NTFS-Berechtigungen aus ? Hat der User das Benutzerrecht "Anmelden als Stapelverarbeitungsauftrag" ?

Wenn der SBS als NAT-Router konfiguriert ist, benötigt die Gateprotect keinerlei Kenntnis vom internen Netzwerk, damit die Clients ins Internet können. Daher die Frage, ob der SBS als NAT-Router konfiguriert ist. Der SBS benötigt auch keine 2 Netzwerkkarten. Wieso sind Ports freigegeben ? Die Gateprotect terminiert doch das VPN ?! Oder habe ich das falsch verstanden und der SBS nimmt die VPN-Verbindungen entgegen und die Firewall forwarded die benötigten Ports ?

Ich weiss schon, was Du machen willst, aber was hast Du konfiguriert, auf dem SBS, auf der Gateprotect, ist das ein Mobile User VPN, was ist das Ziel ? Warum hat der SBS 2 Karten ? Kennt die Gateprotect das interne SBS-Netzwerk ?