Mark4

Hallo zusammen, ich habe folgendes Problem mit einigen W2K3-Servern (teils unterschiedliche Hardware, teils mit SP1): Wird der Server im abgesicherten Modus ausgeführt startet er erstmal brav, dann erscheint die Gina und nach 1-2 Sekunden bootet der Server wieder durch. Ist auch egal ob abgesicherter Modus mit oder ohne Netzwerk. Ich kann leider nicht nachvollziehen wie die Server installiert wurden (auf jeden Fall alle nach einem einheitlichen Verfahren) und eine Neuinstallation ist auch nicht so einfach möglich. Hat also jemand eine Idee wie ich das ganze ohne Neuinstallation lösen kann? Gibt es vielleicht irgendeinen geheimen Schalter der den abgesicherten Modus "deaktiviert"? Oder ist es vielleicht "nur" ein netter Nebeneffekt einer Policy?

Ich habs befürchtet :( Na dann werd ich das wohl mit dem bereits beschriebenen Workaround lösen. Muss ich nochmal ne Nacht drüber schlafen ;) Danke für die Hilfe!

Ja klar Computerrichtlinie. Und da will ich eine Richtlinie setzen die auf allen Computern, die die Richtlinie übernehmen einige Berechtigungen für einen bestimmten lokalen Benutzer setzt. (Der Benutzer muss dazu natürlich auf den Computern existieren.) Das ist doch der Zweck der entsprechenden Option in der Computerkonfiguration in einem GPO, oder sehe ich das falsch? Es klappt ja auch problemlos mit einem Domänen-Benutzer oder einer Gruppe, nur mit lokalen eben nicht. Ich habe ja im Moment den Verdacht das diese Möglichkeit an dieser Stelle tatsächlich nicht vorgesehen ist. Bei den eingeschränkten Gruppen habe ich ja die Möglichkeit die Namen zu tippen, hier muss ich aber zwingend über die Verzeichnissuche gehen.

Hi! Bei Gruppenrichtlinien.de hab ich auch schon geschaut, hilft mir aber leider auch nicht weiter. Steht zwar einiges zu dem Thema, aber nix zu meinem speziellen Problem. BS??? Vielleicht Boardsuche...??? Die war leider auch erfolglos. Die einzige Möglichkeit, die ich im Moment sehe, wäre nicht den Benutzer zu berechtigen, sondern eine Gruppe wie interaktiv oder Authentifizierte Benutzer oder so. So richtig sauber fände ich das aber nicht. Es muss doch irgendeine Möglichkeit geben, das ganze sauber zu lösen... :suspect:

Hallo zusammen! Ich habe eine Gruppe von W2K3-Servern, auf jedem Server ist ein bestimmter lokaler Benutzer vorhanden Dieser Benutzer benötigt nun spezielle Berechtigungen auf einige Registry-Keys und auf einige Ordner. Diese Berechtigungen würde ich nun gern über ein AD-GPO setzen. Leider kann ich an den entsprechenden Stellen im GPO immer nur Benutzer bzw. Gruppen aus der Domäne berechtigen, keine lokalen. Geht das tasächlich nicht, oder gibts da nen Trick? Grundsätzlich kann ich in einem AD-GPO ja auch mit lokalen Benutzern/Gruppen arbeiten, z.B. bei den eingeschränkten Gruppen.

Hallo zusammen! Ich habe zur Zeit folgendes Problem: Ich möchte alle Benutzer aus einer bestimmten Gruppen in eine bestimmte OU verschieben. Ich hab mir gedacht das sollte doch eigentlich über eine Kombination von dsget mit dsmove funktionieren. Ich mache also folgendes: 'dsget "Gruppe-DN" -members |dsmove -newparent "NeueOU-DN"' Als Ergebnis bekomme ich aber leider nicht die Benutzer in der OU, sondern einen Fehler: dsmove ist fehlgeschlagen, ungültiger Parameter: "Benutzer-DN". Kann ich nicht verstehen... Wenn ich zum Beispiel genauso bestimmte Einstellungen für alle Benutzer in der Gruppe vornehmen will klappt das über 'dsget "Gruppe-DN" -members |dsmod xyz' ganz hervorragend. Und wenn ich dsmove direkt ausführe, also "Benutzer-DN" direkt angebe und nicht aus dsget durchpipen lasse klappts auch. Hat jemand ne Idee?

Die Server sind grundsätzlich gleich ausgestattet. Das Problem ist das an dem Lastauswertungsprogramm aus verschiedenen Gründen keine Änderungen vorgenommen werden sollen, also weder Kriterien hinzufügen noch welche entfernen. Ich will also ersteinmal nur wissen wodurch die Last verursacht wird bzw. ob überhaupt eine tatsächliche Last auf dem Server ist ("spüren" tut man die Last nämlich nicht...).

Ja, da kann ich mir das Lastauswertungsprogramm zusammenstellen. Ich kann aber nur bestimmte Kriterien hinzufügen oder entfernen und die Schwellenwerte setzen. In der Erklärung zur "Seitenauslagerung" wird von Seitenauslagerung pro Sekunde gesprochen. Setze ich den oberen Schwellenwert nun zum Beispiel auf 100 müsste bei 100 oder mehr Seitenauslagerungen pro Sekunde Vollast gemeldet werden. Jetzt versuche ich nur auf dem Server einen Indikator zu finden, der mir den dazu entsprechenden Wert liefert. Seitenauslagerung pro Sekunde gibts da natürlich nicht.

Hallo zusammen, ich habe folgendes Problem im Citrix-Umfeld (MetaFrameXP FR3) Die Terminalserver (W2K3) melden regelmäßig Vollast, laut Citrx Lastauswertung ist der limitierende Faktor hier die Seitenauslagerung. Wie berechnet Citrix denn diesen Faktor? Es muss dann doch auch Leistungsindikatoren auf dem Server geben, die ebenfalls eine entsprechend hohe Last zeigen. Die finde ich aber nicht. Schaue ich mir zum Beispiel den Indikator "Auslagerungsdatei\Belegung(%)" an, liegt die Belegung bei entspannten 25 bis 30 %. Welche Leistungsindikatoren sollten dazu betrachtet werden?

Ich nehme alles zurück und schäme mich :) Ich hab bei MS folgende Aussage zu SUS gefunden: "Software Update Services Microsoft will continue to support Software Update Services (SUS) 1.0 until December 6, 2006. Microsoft will no longer support SUS 1.0 after this date. SUS 1.0 will no longer synchronize or provide new updates after December 6, 2006. Additionally, as of August 24, 2005, you can no longer download SUS from the Microsoft Web site. We recommend that you upgrade to Windows Server Update Services (WSUS) before December 6, 2006." Ich hab das dann mal so geglaubt und nicht nocheinmal den großen Such-Gott befragt... ;)

Hallo zusammen! Das Thema 290 und SUS/WSUS wurde hier ja schon mehrfach angesprochen. Nach meinem Stand wird in der Prüfung also noch der SUS behandelt. Jetzt hab ich nur das Problem, dass ich den SUS bei MS nicht mehr bekomm. Da gibts nur noch den WSUS. Und woanders werd ich den SUS wohl auch nicht bekommen, oder? Brauch ich denn zwingend den SUS für die Prüfungsvorbereitung? Oder kann ich, wenn ich mit dem WSUS fit bin, auch die Fragen zum SUS beantworten?

Ja, so isses: Besitz übernehmen und dann Berechtigungen wie benötigt anpassen.

Ja wenn es bis jetzt nicht geschehen ist wirds höchste Zeit...

Hallo, also das Problem mit dem "lokal oder an Domäne" könntest du umgehen, indem sich die Benutzer immer mit "Benutzer@domäne" anmelden. Und über eine Gruppenrichtlinie ("Letzten Benutzernamen nicht anzeigen") würde ich den Benutzernamen grundsätzlich entfernen. Sollte meiner Meinung nach auch aus Sicherheitsgründen gemacht werden... Muss man die Benutzer vielleicht ein wenig erziehen, aber dann läufts sauber.

Hallo, wie sieht es denn mit der sonstigen Infrastruktur aus? Ist ein AD vorhanden? Wenn ja kann das ganz einfach über die Ordnerumleitung in den Gruppenrichtlinien gemacht werden. Da du aber da nichts zu geschrieben hast geh ich mal davon aus das kein AD vorhanden ist. Dann kannst du den Pfad zu den Eigenen Dateien über die Eigenschaften angeben: Rechtsklick "Eigene Dateien"->Eigenschaften->Ziel. Ist aber natürlich ziemlich aufwendig wenn du einige User hast. Aber dann lohnt sich ja vielleicht auch schon die AD-Einrichtung :D

Wo "da"?Beim Einsatz von VLANs?VLANs schließen Routing-Tabellen nicht aus. Schau dir mal diesen Link an: www.bsi.de/gshb/deutsch/m/m05062.html Das geht schon so in die Richtung von dem was du willst,denke ich.

Ich sowas noch nicht fertig konfiguriert gesehen. Weiss auch nicht was es bedeutet wenn bei einem Gerät "mit VLAN" steht, ob das nur für die kabel-Ports gilt oder auch für WLAN? Ich kann auch nicht sagen was bei solchen "einfachen" Geräten möglich ist. Musst du vielleicht mal ein paar Beschreibungen bzw. Handbücher studieren und schauen was da geht und was nicht.

Also ein VPN verhindert meiner Meinung nach nicht den Zugriff der anderen Parteien. Hier wird ja lediglich ein Tunnel zw. Router und PC erstellt, in diesen Tunnel kommt keiner "von der Seite".Die anderen Parteien hängen ja aber genauso am Router und wenn die Zugriff auf den PC haben wollen machen die den Weg über den Router und der leitet dann die Anfrage brav über den VPN-Tunnel Eingang am Router bis zum Ausgang am PC, VPN bringt also nix in diesem Fall. Das Problem ist hier ja das sich ersteinmal alle in ein und dem selben IP-Netz bewegen, was ja auch die Voraussetzung ist damit alle mit dem Router sprechen können, der ja auch nur eine IP-Adresse hat. Und wenn alle im gleichen IP-Netz unterwegs sind können sie nun mal direkt miteinander kommunizieren. Hier wäre es dann an einer ordentlichen Absicherung der jeweiligen PCs selbst (mit Firewall etc.) um ein entsprechendes Sicherheitsniveau zu erreichen.

Hallo, eine VPN-Verbindung zw. Gerät und Router bringt doch auch keine zusätzliche Sicherheit, oder? VPN = sicherer Tunnel zw. 2 Geräte über ein (nicht sicheres) Netz. Wenn du WLAN mit Verschlüsselung (WPA) einsetzt hast du auch eine sichere Verbindung zw. dem Gerät und der Gegenstelle (Router). Also wenn man der Sicherheit von WPA vertraut sehe ich hier keinen Sicherheitsgewinn bei VPN-Einsatz. Oder sehe ich das falsch? Worum geht es dir denn nun, Absicherung innerhalb des Netzes, Absicherung nach außen, oder nur Absicherung des WLANs gegen abhören oder alles zusammen :suspect:

Sorry, ich hatte das "WLAN" überlesen... :D Dann wirds wohl etwas schwieriger mit den VLANs...Hab so was zumindest nach nicht gesehen bei WLAN über einen Router. Möglichkeit wäre hier vielleicht für jede Partei ein seperater AP der dann in einem eigenen V-LAN am Router (oder seperaten Switch) hängt. Wäre natürlich verbunden mit extra Hardware = extra Kosten...

Hallo! Nur damit ich das richtig verstehe: Die Aufgabe ist, alle Maschinen sollen den DSL-Router zwecks Internet-Anbindung nutzen, die sollen aber nicht untereinander verbunden sein (Ausnahme die zwei Notebooks)? Also die Sicherung innerhalb des eigenen Netzes, nicht die Sicherung nach außen. Wenn das so ist, wäre es natürlich schön wenn der Router V-LANs unterstützen würde. Das könnten alle Parteien in ein eigenes V-LAN und fertig. Du sagst zwar der Router sei "nichts besonderers" aber V-LAN Unterstützung haben schon viele Geräte. Sonst könntest du vielleicht noch ein extra Switch mit V-LAN unterstützung einsetzen. Sind auch gar nicht mehr so teuer ;)

Hallo, unterbinden der Offline-Anmeldung geht über eine Gruppenrichtlinie: "Anzahl zwischengespeicherter Anmeldungen". Die auf Null setzen, dann klappt nur noch die Anmeldung gegen die Domäne (abgesehen von einer bewussten lokalen Anmeldung natürlich).

Hallo, das beschriebene Problem hat meiner Meinung nach nichts mit der Domänen-Anmeldung zu tun. Um auf die Ressourcen zugreifen zu können muss das Notebook ja ersteinmal im Netz sein, ob jemand über das Notebook an der Domäne angemeldet ist, spielt keine Rolle. Ich würde mal prüfen ob das Notebook überhaupt eine Verbindung zum Netzwerk hat oder ob da vielleicht eine Firewall (vielleicht die Windows eigene) den Zugriff auf die Ressourcen auf dem Notebook verhindert.

Hallo zusammen, ich kann hiermit verkünden heute die 70-270 erfolgreich bestanden zu haben. Schwierigkeitsgrad war insgesamt ok. Und um einige Fragen schon mal vorweg zu nehmen: Es kamen keine speziellen Fragen zu SP2 ;) So jetzt mal schauen womit es weiter geht, denke mal die 70-290 wirds sein...

Hallo, für sysprep brauchst du die ganze $OEM$-Geschichte nicht, da hat zahni vollkommen Recht. Mein Vorschlag: lege die "dr\X"-Ordner direkt unter "C:\sysprep". Dann passt du in der sysprep.inf den Eintrag an: OemPnPDriversPath="sysprep\dr\0;..." Dann werden die Treiber auch installiert und nach der Installation gelöscht (da sie unterhalb von \sysprep\ liegen).