RalphT

Hallo, ich habe hier ein kleines Problem: Ich habe in meiner Umgebung einen "Hilfsadmin". Ich möchte nur, dass dieser Kollege, die Passwörter aller Domänenbenutzer bei Bedarf zurücksetzen/ändern kann. Und viel mehr sollte er auch schon nicht können. Ich dachte daran, ihn in die Gruppe der Konten-Operatoren zu stecken, da hat er mir aber zu viele Rechte. Gibt es eine andere Möglichkeit dafür oder kann man in den Eigenschaften des Nutzers ein paar Registerkarten ausblenden? Schon mal vielen Dank für Eure Hilfe.

Ok, danke. Ich werde das ausprobieren.

Hallo Sunny61, erst mal Danke für die schnelle Antwort. Ich war gerade nochmal am Testen. Ich hatte in dem PC eine zweite Netzwerkkarte noch eingebaut. Die onboard-Karte habe ich deaktiviert und die PCI-Karte aktiviert. Und siehe da - es funktioniert. Liegt also an der onboard-Karte. Nur so ganz glauben will ich das nicht. Denn dieser PC hat noch die Festplatte mit Windows XP eingebaut. Sobald ich wieder den PC mit Windows XP fahre, funktioniert auch die onboard-Karte mit dem Internet. Also defekt sein kann sie nicht. Was mag Windows 7 nicht an dieser Karte?

Hallo, ich sitze hier vor meinem ersten Windows 7 PC und breche mir gerade die Finger mit dem Internet. Das kann doch eigentlich nicht so schwer sein. Ich habe, wie bei XP, das Gateway und DNS (IPv4) eingetragen und gut. Bei der Gesamtübersicht ist ein rotes Kreuz zwischen mehrere Netzwerke und Internet. Habe Firewall ausgeschaltet. DNS funktioniert. Der Windows 7 Rechner kann von anderen Rechnern im Netzwerk angepingt werden und auch umgehrt. Beim Ping nach "draußen" steht immer Antwort von 192.168.2.135... (seine eigene IP). Wenn diese Antwort vom Router kommen würde, dann war es immer ein externes Firewallproblem. Aber die Antwort kommt von ihm selber. In dem Fenster "Netzwerk und Freigabecenter" steht als öffentliches Netzwerk "Kein identifiziertes Netzwerk". Das Problem hatte ich schon mal bei Vista, weiß aber nicht mehr woran es lag. Achso, falls es wichtig ist, der PC ist als "Arbeitsplatznetzwerk" konfiguriert. Wer kann mir da mal auf die Sprünge helfen? Danke.

Probier bitte mal Folgendes: Kopiere alle Daten Daten mit Robocopy auf das Ziellaufwerk. Sollte Robocopy wieder Probleme haben, beende Robocopy. Anschließend prüfst Du mit chkdsk das Ziellaufwerk auf Fehler. Ich vermute, dass beim Kopieren Dein Ziellaufwerk Probleme macht.

D.h. du hast nachdem Robocopy versagt hatte, diese spezielle Datei kopiert, richtig? Du hattest nämlich geschrieben, dass Du anschließend alles gelöscht hast und dann wieder probiert hast.

Kannst Du denn, anschließend die Datei, die nicht verfügbar ist, mit dem Datei-Explorer manuell kopieren? Wenn dem nicht so, prüfe mal das Quelllaufwerrk mit chkdsk.

Hallo, ich habe hier einen NAS-Server, der ein RAID-5 System hat. Seit letzter Zeit treten am Dateisystem öfters Probleme auf. Auf einer Partition werden recht oft (2-3 die Woche) Probleme im Dateisystem gefunden. Beschädigtes Datensatzsegment gelöscht zeigt dann immer chkdsk an. Jetzt meine Frage: Woran könnte es liegen, dass solche Fehler sehr häufig auftreten? Übrigens schaufelt täglich Robocopy viele Daten auf diesen Server.

Ich habe heute auf meiner Arbeitsstation den GMPC-Editor deinstalliert. Ich habe festgestellt, das es nicht an dem Editor liegt. Es sieht so aus, dass mein Windows XP einige Einstellungen auf dem Server zerschießt. Ein Offnen der GPO reicht schon aus. Man muss noch nicht einmal etwas ändern, ein Ansehen reicht schon. Hat noch jemand eine Idee, was mit den ADM-Dateien sein könnte? Müsste ich etwas vom Win2003 Server auf meiner Arbeitsstation kopieren? Oder sollte man die Policies nicht von einer Arbeitsstation bearbeiten?

Hm, kann es sein, dass schon beim Öffnen mit meinem GMPC-Editor eine ADM-Datei aus meinem INF-Verzeichnis (WinXP) genommen wird und auf dem Server dort abgespeichert wird? Vielleicht habe ich ja unter WinXP andere ADM-Dateien (abgespeckte) und werden auf dem Server abgelegt? Dienen die ADM-Dateier im INF-Verzeichnis immer als Vorlage? Wenn dem so wäre, könnte ich nicht die ADM-Dateien vom Server auf meiner Arbeitsstation kopieren? Oder würde ich auf meinerm System etwas zerschießen? Das war nur so ein Gedankengang, aber vielleicht liegt der Fehler auch ganz wo anders. Übrigens habe ich nichts verändert.

Hallo, ich habe mir den GPMC.MSI auf meiner Arbeitsstation installiert. Dieses Tool funktioniert anscheinend auch richtig. Aber nur anscheinend. Ich habe auf dem Server eine neue GPO-Richtlinie erstellt. Auf dem Server ist das Tool nicht installiert. Ich gehe auf dem Server auf GPO bearbeiten und sehe in einem Zweig z.B. 25 Richtlinien. Jetzt öffne ich diese Richtlinie auf meiner Arbeitsstation (WinXP SP3) und gehe auf bearbeiten (GPMC). Jetzt fehlen in diesem Zweig ein paar Richtlinien. Keine Ahnung wieviel fehlen, ich habe noch nicht nachgezählt. Gehe ich auf den Server und öffne diese Richtlinie wieder, dann fehlen sie auch hier. Sobald ich auf meiner Arbeitsstation diese GPO bearbeite, gehen ein paar Richtlinien verloren. Was kann die Ursache sein? Ich verwende den GPMC 1.0.2

Ich hatte gestern auf allen DCs den Globalen Katalog Server aktiviert. Gleich anschließend gestestet - aber ohne Erfolg. Na gut dachte ich, man muss Geduld mitbringen und habe es heute vormittag beobachtet. Es funktioniert jetzt einwandfrei. Die Fehlerursache lag tatsächlich darin, dass Infrastrukturmaster und Globaler Katalogserver nicht richtig verteilt waren. Danke für die Hilfe.

Ich werde das mal dementsprechend abändern und dann nochmal berichten.

Doch ja. Zuminest einer von den beiden. Das sind getrennte Forests.

So, jetzt habe ich den Zugriff nach dem A-G-DL-P Prinzip eingerichtet. Am Client war zunächst kein Zugriff möglich, nach dem Neustart funktionierte es. Im Containe ForeignSecurityPrincipals ist ein neuer Eintrag hinzugekommen. Dieser Eintrag wird als SID angezeigt. es gibt dort auch die Spalte Anzeigename. In dieser Spalte nichts angezeigt. Ich habe es vorhin auch schon beobachtet, dass dort ein Ort zu hinterlegt war. Weiterhin ist mir folgender Effekt aufgefallen: Sehe ich mir in der Domänenlokale Gruppe die Mitglieder an (hier ist es nur eine Globale Gruppe aus der fremden Domäne), dann wird mir zw. nur die SID angezeigt. Etwas später steht der Gruppenname aus der fremden Domäne da. Also auch wieder dieser komische Effekt, dass es ca. alle 90 Minuten richtig angezeigt wird und danach immer nur als SID. Es scheint so, dass das Problem entweder DNS oder anderer Natur ist. Ich weiß nicht,ob das für das Problem relevant ist, dass ich über ein VPN auch noch andere DCs habe. In einer Domäne habe ich in der Hauptgeschäftsstelle zwei DCs und in der Zweigstelle auch zwei DCs. Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht. In der anderen Domäne gibt es nur zwei DCs.

DCDIAG und NETDIAG habe ich auf beiden DCs laufen lassen. Keine Fehlermeldungen. Nachdem ich gestern noch einen kleinen Fehler in der DNS behoben hatte, lassen sich jetzt auch auf beiden DCs die Vertrauensstellungen überprüfen. Da gab es ja vorher immer Probleme. Jetzt wird immer bestätigt, dass die Vertrauensstellung aktiv ist. Das ist ja schon mal ein Fortschritt. Das habe ich gerade gemacht. Ich nehme an, dass ich im Ordner ForeignSecurityPrincipals nachsehen soll, ob dort ein Eintrag erstellt wird. Das habe ich gemacht und es gab hier auf beiden Seiten keine Änderung. Allerdings gibt es hier eine positive Änderung: Vorher war es so, dass der Zugriff anfangs für ca. 15 Min nicht möglich war. Hier ist beim Client der Zugriff sofort möglich. Allerdings ist unter den Sicherheitseinstellungen immer noch das Phänomen, dass statt des Gruppennamens dessen SID angezeigt wird. Wenn dieser Fehler jetzt nochweg wäre, dann wäre das Problem gelöst. Es sieht hier nur noch nach ein Schönheitsproblem aus, aber ich habe dabei kein gutes Gefühl. Nachtrag: Der Wechsel der Anzeige nur SIDs zu Gruppennamen scheint sich alle 90 Minuten zu ändern.

Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen. Ich habe die DNS wie Folgt konfiguriert: In Domäne A habe ich eine sekundäre Zone von Domäne B eingerichtet und umgekehrt. Das Gleiche gilt für die Reverse Zonen. Ich habe in Domäne A den Client1 und in Domäne B den Server1. Domäne A nennt sich Hamburg.meinefirma.de und Domäne B heißt meinladen.de Mit nslookup habe ich folgende Tests durchgeführt: In Domäne A: client1 - Hier kam als Ergebnis Client1.hamburg.meinefirma.de zurück. Ich denke soweit ok. server1 - Hier konnte nslookup diesen Namen nicht auflösen. Ich weiß nicht, ob das richtig ist, denn gebe ich server1.meinladen.de - Dann kann nslookup auflösen. In Domäne B ist das Verhalten genauso. Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler? Nochmal zum Zugriff auf den Ordner: Lege ich die Gruppe neu an und füge der Gruppe einen alten User hinzu, dann beim Client erst einmal kein Zugriff möglich. Nach ca. 10 oder 15 Minuten ist der Zugriff möglich. Dieser Zugriff scheint dauerhaft zu funktionieren. In den Sicherheitseinstelllungen des freigegeben Ordners hatte ich schon weiter oben geschrieben, dass statt des Gruppennamens nur dessen SID erscheint. Heute habe ich festgestellt, dass mal der Gruppenname wieder da steht und irgend wann nur dessen SID. Ich habe mich jetzt nicht für eine bedingte Weiterleitung entschieden, da Bandbreite hier kein Problem darstellt. Oder ist meine DNS Konfiguration falsch? @lefg Ich sehe gerade Antwort. Nein das hatte ich noch nicht gemacht. Kann ich morgen aber schnell machen.

Ich glaube es auch, dass DNS nicht so arbeitet, wie es arbeiten soll. Ich teste das nacher noch einmal alles mit NSLOOKUP und melde dazu später noch ein mal. Vielleicht habe ich dort etwas nicht richtig konfiguriert.

Ok, das hatte ich so vor. Ich sehe heute nachmittag mal nach. Habe jetzt keine Zeit dazu.

Ich habe mir den Artikel noch mal genauer durchgelesen. Da ich kein NT habe, kann ich ja die Replizierung von WINS stoppen. Auf jeden Fall. Habe sogar mehrmals einen Neustart gemacht. Auch ein GPUPDATE /FORCE. Das brachte aber nichts. Was mich doch jetzt sehr stutzig macht, dass die Gruppe, die ich bei den Berechtigungen hinzugefügt habe, nach einer gewissen Zeit nur noch als eine SID-Nummer erscheint. Aber der Zugriff funktioniert schon seit Stunden. Allerdings habe ich dabei ein schlechtes Gefühl, weil ich nicht weiß, wie lange das noch funktioniert.

Naja, mir kam dieser Artikel beim Googeln unter. U.A. steht dort dieses, welches mich zutrifft. Fehler: "Es stehen momentan keine Anmeldeserver zur Verfügung" Dieses Problem tritt am häufigsten in Umgebungen auf, in denen der Systemadministrator eine bidirektionale Vertrauensstellung zwischen zwei zuvor unabhängigen Domänen erstellt hat. Meistens sind WINS-Server in beiden Domänen enthalten, replizieren ihre Datenbanken jedoch nicht gegenseitig. Diese Gruppe wurde gerade erstellt. Beim Testen ist mir folgendes aufgefallen: Eine Globale Sicherheitsgruppe auf DC von Domäne A angelegt. Dort einen User hinzugefügt. Auf Domäne B einen Ordner freigegeben und unter den Sicherheitseinstellungen dieses Gruppe von Domäne A hinzugefügt. Der Zugriff funktioniert erst mal nicht. Nach ca. 10- 15 Min und WINS Replizierung funktioniert der Zugriff. Bei der Kontrolle unter den Sicherheitseinstellungen auf dem Ordner ist nach einer gewissen Zeit der Name der Globalen Sicherheitsgruppe weg. Statt dessen wird nur die SID-Nummer dort angezeigt. Irgenwie muss es bei der Replizierung Probleme geben oder warum ist der Gruppenname weg und nur dessen SID sichtbar? Ich könnte ja mal komplett auf WINS verzichten. Mal sehen was denn passiert.

@necron: hatte ich schon probiert. Aber wenn ich auf Domäne A das als universelle Gruppe angelegt habe, dann konnte ich beim Suchen der Sicherheitsberechtigen nicht diese gerade erstellte Gruppe sehen. Die Gruppe war nur sichtbar, wenn sie vom Typ Sicherheitsgruppe Global ist. @Stephan Betken: Die Namensauflösung funktioniert auf beiden Domänen tadellos. Auf Domäne A kann ich über nslookup jedes Gerät auflösen und umgekehrt. Kurz vor Feierabend hatte der Zugriff seltsamerweise funktioniert. Ich habe nichts verändert. Allerdings werde ich das Gefühl nicht los, dass das doch etwas mit der Vertrauensstellung zu tun hat. Denn man kann diese ja überprüfen. Nachdem ich zum überprüfen, das Administratorpasswort eingegeben habe, kam die Meldung, dass die Vertrauensstellung verifiziert sei. Ich habe gleich danach wieder eine Überprüfung angeschoben. Danach war die Überprüfung nicht ok. Fehlermeldung wie schon oben genannt. Nach dieser Fehlermeldung habe ich mal gesucht und Microsoft schreibt, dass es sich um ein Problem bei der WINS-Replizierung handelt. Diese Replizierung hatte ich schon vorher eingerichtet. Ein Blick in das Ereignisprotokoll bestätigt, dass die Replizierung unterbrochen worden ist. Ich werde morgen mal nach der Microsoft Anleitung die Replizierung erneut einrichten. Oder liege ich hier falsch und beseitige nur einen anderen Fehler, der hiermit nichts zu tun hat?

Hallo, ich habe 2 unterschiedliche Domänen. Eine Vertrauensstellung zwischen beiden Domänen ist vorhanden. Von Domäne A möchte ich auf eine Freigabe auf Domäne B zugreifen. Auf dem freigegeben Ordner habe ich eine Gruppe von Domäne A das Recht Ändern erteilt. Das funktioniert nicht. Daraufhin habe ich nur einen Nutzer von Domäne A das Recht zum Ändern des Ordners unter Sicherheitseinstellungen erteilt. Jetzt hat der Nutzer von Domäne A Zugriff auf das Laufwerk. Die Gruppe ist vom Typ Sicherheitsgruppe - Global. Oder arbeitet meine Vertrauenstellung nicht korrekt? Denn, wenn ich diese Überprüfen möchte, kommt eine Fehlermeldung, dass sie nicht überprüft werden konnte. Die Fehlermeldung in diesem Fenster lautet: "Es sind momentan keine Anmeldeserver zum Verarbeiten Anmeldanforderungen verfügbar" Liegt es an der evtl nicht korrekten Vertrauensstellung oder an dem Typ der Gruppe?

Äh, ich mag garnicht fragen, aber ich möchte diesen Fall gerne weiterspinnen. Auf einem Notebook ist nicht Office 2003 Prof. installiert, sondern Office 2007. Wie verhält sich das jetzt? Jetzt stimmt die Version vom Notebook absolut nicht mehr mit der Version auf dem TS überein. Braucht der eine Notebookbesitzer eine Lizenz für den TS? Mein Gefühl sagt mir nein, denn der Notebookbesitzer hat ja eine höherwertiger Version. Aber ich kann mich natürlich täuschen. Wäre nett, wenn Du mir auch diese Frage noch beantworten könntest.

Danke für die Ausdauer. Damit ist meine Frage beantwortet.