Theo Dor

Warum betrachtet Ihr das ADS nicht einfach als schon gegebene Datenbank auf der per default jeder User fast alle Informationen NUR-LESEN kann. Wenn Ihr also dem First Level Support die MMC "Benutzer und Computer" und den ESM zur Verfügung stellt, dann können die schon mal alles auslesen. Der ESM muss auch nur installiert werden, damit in der MMC die Exchange-Tabs angezeigt werden.

Also, die Einschränkung mit den Computern im Benutzerobjekt betrifft nur die interaktive Anmeldung und nicht den Zugriff auf Freigaben. Insofern kann ich Deine Frage nicht ganz verstehen. Wie erfolgt denn die Einwahl? Wo schlägt die auf? Steht die Verbindung schon und dann kann man nicht auf die Freigaben zugreifen oder kommt die Verbindung erst gar nicht zustande?

Ich glaube, das Attribut (Feld) heißt einfach nur "cn".

Schau mal ins BIOS, was Du da zu USB-Massenspeichern einstellen kannst. Bei einigen Kisten kann man einstellen, welche Emulation gefahren werden soll: Floppy, Harddisk oder CD-ROM. Wennn das auf "Auto" steht dann musst Du -soweit ich das testen konnte - den USB-Stick zwingend mit FAT12 formatieren. Dann wird er beim Booten als Floppy emuliert. Wie ist das eigentlich bei Windows 2008?

Äh... Tobit läuft auf Computer "MX". Und auf einem anderen Computer wurde ein lokaler User "MX$" angelegt? Sieht so aus als wollte da jemand erreichen, dass das lokale System-Konto von Computer "MX", welches eben "MX$" ist, auch auf den anderen Computer zugreifen kann (Peer-To-Peer). Sowas habe ich auch noch nicht gesehen ....

Wenn Du eine "nicht unerhebliche Anzahl an Servern" auf 2 bis 3 reduzieren willst, dann sparst Du am Ende eine Menge Heu. Rechtfertigt das nicht möglicherweise doch die Arbeit oder das Geld für eine entsprechende Softwarelösung oder externes Consulting?

Ich hoffe nicht!!

Poste mal die "ipconfig /all" aller Server.

Sorry, aber das halte ich für eine der faulsten Ausreden der Softwarentwickler überhaupt. Es gibt ganz wenig Anwendungen, die explizit Administratorberechtigungen abfragen und für den Negativfall den Start verweigern. Dann gibt es noch ein paar Anwendungen, die allgemeine Kompatibilitätsprobleme haben, weil sie für ältere Umgebungen erstellt wurden. Meistens aber liegt an den Zugriffrechten auf irgendwelche Resourcen: Dateien, Verzeichnisse, Registrykeys. Wenn man sich die Mühe macht, herauszubekommen, worauf welches Zugriffsrecht benötigt wird, dann kann man das fast immer bewerkstelligen, ohne Adminrechte zu vergeben. Schau dir mal REGMON und FILEMON aus den Sysinternals an. Damit kannst Du aufzeichnen, worauf das Programm wie zugreift, während Du als Admin angemeldet bist. Dann die Berechtigungen des Benutzers so anpassen, dass er genau so diese Zugriffe ausführen kann. Ich behaupte, das funktioniert in 95% der Fälle.

Überprüfe mal mit GPRESULT welche Gruppenrichtlinien für diesen Benutzer angewendet werden. Und dann schau in die GPO's, wo da Einstellungen für den IE vorgegeben sind. Vielleicht findest Du da was.

Schau mal http://www.mcseboard.de/windows-forum-ms-backoffice-31/w2k-active-directory-lastlogin-20036.html#post116623

Entweder machst Du den "Gast" zum "Benutzer" oder erlaubst den "Gästen" die lokale und interaktive Anmeldung. Hinweis: Standardmäßig sind der lokale "Gast" ist nicht Mitglied der "Benutzer" und der Domänen-"Gast" ist nicht Mitglied der "Domänen-Benutzer". Aaaaaaaber: "Gast" benutzt man nicht, nicht wirklich!

Habe es hinbekommen. <SID=0102000000000005200000002A020000> ist "Prä-Windows 2000 kompatibler Zugriff" der jeweils unten in der Eventlog-Meldung genannten Domäne DC=SUB1,DC=STRUKTUR2,DC=local <GUID=D0903C57-1F9E-469C-A59D-88A543F07B35> ist "Exchange Enterprise Servers" auch in der SUB1. Wir hatten kürzlich eine neue Domäne SUB3 mit eigenen EXS installiert. Aus irgendeinem Grund hat aber der RUSse es nicht geschaft, den neuen EXS zum Mitglied der beiden o.g. Gruppen zu machen, so wie es Standard ist. Habe das manuell nachgeholt und nun sind die Meldungen weg. Wen's interessiert: Für die Identifizierung der genannten SID und GUID's habe ich mir zwei VBscripte gebastelt. Diese am besten auf einem GC starten. '--- LDAPsearchBySID.vbs START-------------------------------------------------------------- on error resume next 'Hier die SID eintragen, so wie sie im Eventlog gemeldet wird. const SID = "0102000000000005200000002A020000" set Objekt = nothing set Objekt = GetObject("LDAP://<SID=" & SID & ">") Ausgabe = "" if not Objekt is nothing then Ausgabe = Objekt.Get("distinguishedName") else Ausgabe = "Kein passendes Objekt gefunden" end if msgbox Ausgabe '--- LDAPsearchBySID.vbs ENDE-------------------------------------------------------------- '--- LDAPsearchByGUID.vbs START-------------------------------------------------------------- on error resume next 'Hier die GUID eintragen, so wie sie im Eventlog gemeldet wird. const GUID = "D0903C57-1F9E-469C-A59D-88A543F07B35" set Objekt = nothing set Objekt = GetObject("LDAP://<GUID=" & GUID & ">") Ausgabe = "" if not Objekt is nothing then Ausgabe = Objekt.Get("distinguishedName") else Ausgabe = "Kein passendes Objekt gefunden" end if msgbox Ausgabe '--- LDAPsearchByGUID.vbs ENDE--------------------------------------------------------------

Auch die Freiheit hat ihre Grenzen ...;)

Das ist klar. Die Feuerwehr muß ja auch ran wenn der Brandstifter bekannt ist.;) Eine Frage der Persönlichkeit(en), denke ich.:cool: