Bkolbe

Wie siehts mit dem Häckchen „auch ausführen wenn abgemeldet" aus? schreib doch ein kleines Testskript, das nur eine Logdatei erstellt, um zu sehen ob das Skript ausgeführt wurde.

zum Thema DNS: wenn man den ins AD integriert, ist ein Cluster doch nicht mehr erforderlich. Die werden dann doch automatisch repliziert über das AD in einer eigenen Partition.

stimmt, hatte ich vergessen zu erwähnen

klar, es kommt ja nicht nur auf Größe der Netzteile an, sondern auch auf die Auslastung der Server, also wieviel Last die Server wirklich erzeugen. Und dann noch, wie lange du die Server mit der USV maximal puffern willst bis das Lsit ausgeht...

Wenn du Windows 2k3 64-Bit installierst, kannst du grundsätzlich auch Anwendungen mit 32-Bit laufen lassen. ABER: Du hast keine Vorteile durch die 64 Bit Technologie und nicht alle Anwendungen werden unterstützt. Um den 64 Bit Vorteil nutzen zu können, muss die Anwendung auch für 64Bit geschrieben worden sein (z.B. SQL Server, gibts in 32Bit und 64 Bit) Wieso willst du unbedingt 64 Bit nutzen, wenn nur ein die kleinen Versionen Access und SQL-Server laufen sollen? Wenn dann greif gleich richtig in die Tasche und kauf den SQL-Server für 64-Bit und mach alles mit dem. Heutzutage unterstützt doch so gut wie jeder Prozessor 64 Bit, was spricht dagegen, erst mit 32 Bit Windows und den kleinen SQL-Datenbanken anzufangen und bei Bedarf dann auf dem Server 64bittiges Windows und SQl-Server zu installieren?

@ Dr. Melzer: Du hattest das bereits mit der Internet Connector lizenz erwähnt, aber ich war mit in dem Zusammenhang aus dem von mir zitierten passus nicht sicher, wie man nun die Lizenzen richtig anwendet. Gerade in Bezug auf die Verwendung einzelner CALs.

das mit den CALs ist mir soweit klar und auch das man für jeden Serverzugriff eine CAL braucht auch. Ich habe aber eine Verständnisfrage zu den External Connector Lizenz. Kann man damit nicht das Szenario von eismannhobbit abdecken (Gästen den Zugriff auf das Internet ermöglichen)? Ich verstehe das so, habe ich nur eine handvoll von Gästen gleichzeitig im Netzwerk, kaufe ich für diese Anzahl zustätzliche CALs. Beispiel: Ich habe max. 5 Gäste gleichzeitig die meinen DHCP nutzen um damit in das Internet zu kommen. Dazu brauche ich halt 5 CALs zusätzlich. Diese Lizenzen werden aber nicht immer von ein und der derselben Person genutzt, da meine Gäste ja wechseln. Habe ich nun erheblich mehr Gäste gleichzeitig im Netz (oder ich kann die Zahl nur schwer abschätzen/schwankt sehr stark, z.B. während Tagungen o.ä.) kaufe ich diese External Connector-Lizenz für jeden Server auf dem die Gäste zugreifen, handelt es sich nur um einen einzelnen DHCP-Server, also nur eine Lizenz und gut, oder? Lieg ich mit meiner EInschätzung nun falsch oder stimmt das so?

@ grizzly999: Ich möchte mich an einem DC mit Win2k3 SP2 anmelden ohne in der Gruppe "Domadmin" zu sein. Sowohl Remote als auch lokal. Bis jetzt habe ich nicht geschafft mich Remote anzumelden (Was ja auch wichtiger wäre, wer will schon dauernd in den Serverraum laufen?). Die Fehlermeldung lautet exakt so: Sie müssen über Administratorrechte verfügen, um sich an der REmotekonsolensitzung anmelden zu können. Die Meldung poppt nach der Benutzerauthentisierung auf. Klickt man auf ok, ist man wieder beim Anmeldedialog. Das mit der Datenkbank wußte ich, daher kam mir dann auch der Gedanke, dass es evtl. gar nicht möglich ist, dem User lokale Adminrechte für einen DC zu geben. Was unterscheidet die Administratoren (Die DL-Gruppe) nun von der Gruppe der Domänenadministratoren? Was ich herausfinden konnte hat die DL-Gruppe "Administratoren" das Recht Objekte im AD zu erstellen zu ändern und zu löschen, mit einer Ausnahme, er kann keine bestehenden GPOs editieren oder löschen (aus dem AD). Neue verknüpfungen hinzufügen und bestehende verknüpfungen löschen kann aber aber bei GPOs. Unterm Strich: Eine nur leicht abgeschwächte Version des "DomAdmins", kann immer noch genug im AD rummanipulieren. Mit ihm ist es aber möglich sich am DC remote anzumelden. @ justin0102: Das besagt auch meine Fehlermeldung, dass es nur mit Adminrechten geht, obwohl der Benutzer in der Gruppe der Remotedesktopbenutzer eingetragen ist und ihm das Recht der Remoteanmeldung nicht verweigert wird. @ XP-Fan: nein, es ist kein SBS-Server, reinrassiges Win2k3 mit SP2

Ich hab mich nach dem Wochende nochmal mit meiner DC-Anmeldung beschäftigt. Ich habe es mit Gruppenrichtlinienmodellierung und den Gruppenrichtlinienergebnisse überprüft. Meine abgespeckte Admingruppe bekommt die Rechte sich anzumelden lokal wie auch über Terminaldienste per GPO zugewiesen. Ich hab einen Benutzer erstellt, der nur Mitglied in dieser Gruppe ist und ihm wird auch das Recht anzumelden nicht verweigert (überprüft über Gruppenrichtlinienmodelierung). Jedesmal wenn ich mich mit diesem Benutzer anmelde, kommt die Meldung: "Sie benötigen Administratorrechte um sich anmelden zu können" Wenn ich ihn aus der abgespeckten Admingruppe rausnehme, kommt die gleiche Meldung. Mittlerweile dämmerts mir im Hinterkopf, dass sich an einem DC wirklich nur Domänenadmins anmelden können, da es auf einem DC ja keine lokale Benutzerdatenbank (Stichwort lokaler Admin) gibt, oder? Kann mir das jemand bestätigen, ich bin mir da nicht sicher, aber möchte auch nicht unnötig Zeit verschwenden nach einer Lösung zu suchen die es womöglich nicht gibt. Das meiste läßt sich ja sowieso über MMC und Delegieren erledigen (wie ja auch schon ducke geschrieben hat).

Es ist Win2k3 mit SP2. @ grizzly999: Um über Terminaldienste anzumelden brauch ich nicht das Recht "Lokal Anmelden", aber ich möchte ja, dass sich diese Gruppe remote und lokal anmelden können. ist aktiviert, ich komm ja auch als DomänenAdmin drauf (Oder gibts da eine mir noch unbekannte Einstellung) Die abgespeckte Admingruppe ist Mitglied in dieser Gruppe Ich habs echt mehrmals nachgeprüft (Gruppenrichtlinienmodelierung), die Gruppe steht definitiv drin und es wird ihr das Recht auch nicht verweigert. ABER: Es kommt immer die Meldung, ich benötige Administratorrechte um mich am Server (DC) anmelden zu können. Nur eine lokale Admingruppe gibt es doch auf DC's nicht mehr, oder? Sobald ich ihn in "DomänenAdmins" reinschiebe gehts. Aber gerade das will mein Chef ja nicht. Grizzly, danke für deinen Hinweis mit dem fehlenden OS-Angaben, ich hoffe ich werde mich bessern (Ist mir ja leider nicht zum ersten mal passiert). Das es nervt kann ich mir gut vorstellen, bzw. geht mir ja genauso.

komisch, genau da hab ich eigentlich die "abgespeckte" Admingruppe eingetragen, dann muss da wohl noch was nicht ganz in Ordnung sein... Das vieles über MMC abzufangen ist ist mir klar, teilweise gings meinem Chef auch ums Prinzip. Ich werde jetzt erstmal die entsprechende GPO prüfen, dann mal sehen, wird wohl dann doch irgendwo ein "Häckchen" fehlen ;)

Hallo! Mir ist die Aufgabe gestellt worden herauszufinden, wie und ob es möglich ist sich an einem DC (Lokal und über RDP) anzumelden, ohne Mitglied der Gruppe "Domänen-Administratoren" zu sein. Hintergrund: Unserem Abteilungsleiter ist der "Domänen-Admin" zu mächtig und er möchte diesem nicht jedem geben. Nun ist es für manche Sachen (Serverwartung usw.) aber notwendig sich auf einen DC anzumelden. Ihm über die "Default Domaincontroller Policy" bzw. einer zusätzlichen GPO das Recht zu geben sich anzumelden (Remote und Lokal) reicht nicht, oder mache ich da was falsch? Hat jemand das schonmal gemacht?

wäre das nicht besser bei Tipps und Tricks aufgehoben?

hab mich vertippt, heut ist nciht mein Tag ;)

tja, ich hab das compact überlesen. Ich kenne nur die XDA-Serie von O2, ist aber alles von HTC. Bin mit den soweit zufrieden

@markus-xm: zu b) den Port 3389 brauchst du nicht freischalten. Da du zuerst einen VPN-Tunnel (1723) aufbauts und den Remotedektop über den Tunnel betreibst. Ich schließ mich da Squire an.

und dabei habe ich mich auch noch verschrieben, es heißt "cacls" :rolleyes:

das was du suchst nennt sich "cacl" und ist bei den Windows Support Tools dabei. Schau mal hier: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/cacls.mspx?mfr=true Da ist die Befehlsreferenz von cacl (und auch von anderen Kommandozeilen Tools von Windows)

Guten morgen, sorry konnte am Freitag nicht mehr antworten. erstmal kurz zum VPN: es müßte dann halt kein Portforwarding in der Firewall geschaltet werden, sondern die Firewall/Router empfängt die VPN Anforderung und baut den Tunnel auf. Somit wäre kein Server von außen erreichbar, würde ich schon als Zuwachs von Sicherheit so sehen. Mit der Benutzerverwaltung würde sich ja nichts ändern, da bei euch die Domäne eh nicht / kaum genutzt wird. Aber das ist bestimmt nicht dein dringenstes Problem. zu deinem Sever: Interessant ist wie hoch die Prozessorauslastung(durchschnittlich /Spitze) ist, Wie viele User gleichzeitig zugreifen (Und was für eine Last babei erzeugt wird), Wie der RAM ausgenutzt wird (von den Anwendungen, die auf dem neuen Server laufen sollen), deine Auslastung der Festptlatten. So ganze nebenbei wäre auch das angepeilte Budget nicht schlecht. Es reichen auch ungefähre Angaben, schreib aber dazu, ob es sich um den jetzigen IST-Wert oder um einen Schätzwert für den neuen SErver handelt,

für jede Zone kann doch eine Weiterleitung aktiviert werden. Hast du es damit schon probiert?

also wir verwenden bei uns Fujitsu Siemens Server und sind damit recht zufrieden. Nun zur Leistung: Gerade bei EMAil und Datenbank kommt es halt auf die MEnge der Zugriffe an. Aber in deinem Fall würde ich eher ne Nummer Größer nehmen als exakt passend, weil bis dein Chef wieder mal investiert kanns dauern... Schreib doch mal kurz was zu Last auf dem jetzigen Server. Ich würde den VPN eher nicht auf den DC laufen lassen. Hast du dir schonmal VPN-Endpunkte von Linksys und Co mal angesehen? Dann bräuchtest du dafür gar keinen Server.

Wenn dir dein Chef z.B. die Prüfungen für ne Zertifizierung zahlt. Halt was in Richtung MCSE/A oder so. Überleg dir wo du hinwillst, wann du dort sein willst und dann plane wie du dort hinkommst. Dann sprich mit deinem Chef drüber, wenn du genau weißt was du willst. Ich selbst habe mich nach meiner IT-Ausbildung zum IT-Specialist nach ISO/EN 17024 zertifizieren lassen, aber da brauchst du halt ne abgeschlossene (IT)Ausbildung und etwas Berufserfahrung als Zulassungsvorraussetzung. Wenn du lange genug im Unternehmen bleibst, reicht dir auch dein zukünftiger Berufsabschluss, du brauchst halt nur mehr Beruferserfahrung als ein "reinrassiger" IT'ler, dann könntest du dich auch zum Specialist zertifizieren lassen. Was die Microsoftzertifikate angeht, bin ich jetzt nicht wirklich bewandert. Aber da gibts hier im Board ja genug andere, die sich damit auskennen. Was du am Ende machst, bleibt deiner persönlichen Vorliebe überlassen, aber versuch deinen Chef zu einer Zusage zu bringen, dich auf bei deinem Berufsziel zu unterstützen(am besten schriftlich). Nur die jetzige Ausbildung würde ich an deiner Stelle auf keinen Fall abbrechen. Macht sich im Lebenslauf nicht besonders gut.

das habe ich nicht gemeint. Und das wäre auch ziemlich unklug. Aber es gibt doch auch ein Leben nach der Ausbildung, oder? Überleg Dir, ob du wenigstens für Dich durch deine "Nebentätigkeit" die eine oder andere Qualifizierung holen könntest. Sozusagen als Bonus oder Würdigung deines Nebenjobs von seiten des Chefs.

meinen Respekt, wenn du so nebenbei Administrierst und ne Doku auch noch hast. Das schafft so mancher Fulltime Admin nicht ;) . Das mit der IT-Abteilung war nur spaßeshalber gemeint und kommt auf die Größe an. Aber einen Vollzeitadmin mit externer Unterstützung (man will ja auch mal Urlaub, wird krank,....) wäre trotzdem der richtige Weg. Wie läuft denn dann deine Ausbildung? Nicht das du die wegen der ganzen ARbeit nebenher in den Sand setzt. Hast du dir schonmal überlegt, wie du richtig ins IT-Lager überwechseln kannst? (Sitchwort Qualifizierung)

Ich habe mich gerade mit der IPP-Funktion des IIS beschäftigt. Soweit keine Probleme und alles läuft so, wie ich es mir vorstelle. Da unsere Belegschaft international ist, würde ich die Seiten in Englisch brauchen. Bei der Installation wurde leider nicht die MUI-Version verwendet, sondern halt Win 2k3 Standard deutsch. Eigentlich muss ich doch nur die Dateien im Verzeichnis "printers" durch die Englischen ersetzen, oder? Wo bekomme ich am einfachsten diese Dateien her?