Shemeneto

hey, danke für den Tipp mit dem 2. DC. Der hatte tatsächlich ein Problem mit der Netzwerkkarte und hat nicht richtig synchronisiert. Anscheinend hat der Client immer versucht von dem 2. DC die Richtlinien zu holen. Warum ich allerdings keine Benachrichtigung bekommen habe, muss ich erstmal nachforschen. Auch das Problem mit der NIC ist mir ein Rätsel.

ja habe ich

das Problem ist, dass der PC auf dem die GPO angewendet wurde danach keine andere GPO mehr übernimmt. Es kommt mir so vor, als hätte das System selbst kein Zugriff mehr auf die Gruppenrichtlinien. Aber ich weiß nicht wieso. Als hätte die GPO "Eingeschränkte Gruppen" irgendetwas überschrieben...

so schlau war ich auch schon...

Hallo, ich habe die GPO "Eingeschränkte Gruppen" so konfiguriert, dass die lokale Gruppe "Administratoren" nur noch die Gruppe der Domänen-Admins (und den lokalen Admin) enthält. Leider werden nun keine neuen Richtlinien mehr übernommen. Führe ich am PC selbst "gpupdate /force" aus, bekomme ich folgende Fehlermeldung: C:\Users\Admin>gpupdate /force Die Richtlinie wird aktualisiert... Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen. Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr obleme sind aufgetreten: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\xxx .local\SysVol\xxx.local\Policies\{E51481FE-9F18-40B9-ABFC-8E220488E5CF }\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Grup penrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann: a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller. b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert). c) Der DFS-Client (Distributed File System) wurde deaktiviert. In der Ereignisanzeige wird diese Fehlermeldung mit der ID 1058 geloggt. Es ist auch egal, mit welchem Benutzer ich mich an dem PC anmelde. Selbst mit dem Domänen-Admin oder dem lokalen Administratorkonto bekomme ich immer den selben Fehler. Deaktiviere ich die GPO mit den "eingeschränkten Gruppen" funktioniert alles wieder. Ich habe die GPO auch schon gelöscht und neu erstellt, was aber nichts genutzt hat. Gruß, Shemeneto

es gibt ja nur 2 Regeln (wie oben beschrieben...) Für %SystemRoot% gibt es jedenfalls keine Regel und deshalb dürfte die cmd.exe ja auch nicht ausgeführt werden. Wird sie aber... Selbst wenn ich für das exe File explizit eine Verweigern-Regeln erstelle wird sie immer noch ausgeführt ?!? Der Dienst läuft natürlich. edit: OK, es funktioniert jetzt. Habe allerdings nichts geändert... edit2: Anscheinend hängen sich die Regeln, einmal aktiviert, fest. Habe jetzt z.B. eine Verweigern Regel wieder gelöscht. Diese ist aber immer noch aktiv. Die betroffene Anwendung lässt sich nicht starten. Auch nicht nachdem ich alle Applocker GPO´s deaktiviert und den Dienst beendet habe...

Hallo, ich experimentiere gerade mit der AppLocker GPO herum und verzweifele daran, dass ich bestimmte exe Dateien im %SystemRoot% sperren will (z.B. cmd.exe) es aber nicht funktioniert. DC: Windows Server 2012 R2 Client: Windows 7 Enterprise SP1 32bit Die Regelerzwingung für "Ausführbare Regeln" ist aktiviert und momentan sind nur die Standardregeln für lokale Administratoren und %ProgramFiles% aktiviert. Die Standardregel für %SystemRoot% habe ich gelöscht. Aber auch wenn ich explizit eine Pfadregel (Verweigern, Gruppe: Jeder) zu %SystemRoot%\System32\cmd.exe erstelle, kann ich die cmd.exe immer noch ausführen. Was übersehe ich? Gruß, Shemeneto

Leider läuft auf dem DC ein sehr wichtiges und umfangreiches Programm bei dem die Neuinstallation nicht so ganz einfach ist. Warum es auf einen DC installiert wurde kann ich leider nicht sagen. Ich werde den DC mal herunterstufen (ist mittlerweile nicht mehr der FSMO-Rollenträger) und mal schauen ob es dann funktioniert. Bei VMWare hat das halt immer ohne Probleme funktioniert...

Hallo zusammen, versuche seit Tagen vergeblich einen Server 2003 R2 Server der als Domänencontroller eingerichtet ist zu virtualisieren. Ich habe mit dem Tool Disk2vhd ein Image der Festplatte (vhd) erstellt und es in einem HyperV Host (Server 2012 R2) als VM eingebunden. Sie startet zwar, es dauert aber ewig bis die VM hochgefahren ist und dann kann ich weder über die Tastatur noch über Netzwerk zugreifen. Im abgesicherten Modus (am Anfang funktioniert die Tastatur noch) rebootet die VM... Die physikalische Maschine funktioniert weiterhin ohne Probleme. Gruß, Markus

zu eueren Fragen: - DNS Record Aging -> ist deaktiviert - Sind die DHCP-Server auch DCs -> Ja - Ist im DHCP-Server ein eigener Benutzeraccount für die Updates konfigiuriert? -> Nein - Nutzt Du die DnsUpdateProxy Gruppe - Nein Habe das Loggin mal angeschalten und bei einem betroffen Client ist mir aufgefallen das unter "Name" unser alter DNS Server drin steht!? Hier mal ein Auszug aus der Log Datei: 05.09.2014 08:44:49 1150 PACKET 000000A8C9F72270 UDP Rcv 10.182.208.105 9773 Q [0001 D NOERROR] A (6)alterServer(4)x(3)y(5)local(0) UDP question info at 000000A8C9F72270 Socket = 512 Remote addr 10.182.208.105, port 53967 Time Query=1819968, Queued=0, Expire=0 Buf length = 0x0fa0 (4000) Msg length = 0x0027 (39) Message: XID 0x9773 Flags 0x0100 QR 0 (QUESTION) OPCODE 0 (QUERY) AA 0 TC 0 RD 1 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 0 NSCOUNT 0 ARCOUNT 0 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name "(6)alterServer(4)x(3)y(5)local(0)" QTYPE A (1) QCLASS 1 ANSWER SECTION: empty AUTHORITY SECTION: empty ADDITIONAL SECTION: empty 05.09.2014 08:44:49 1150 PACKET 000000A8C9F72270 UDP Snd 10.182.208.105 9773 R Q [8085 A DR NOERROR] A (6)alterServer(4)x(3)y(5)local(0) UDP response info at 000000A8C9F72270 Socket = 512 Remote addr 10.182.208.105, port 53967 Time Query=1819968, Queued=0, Expire=0 Buf length = 0x0200 (512) Msg length = 0x005f (95) Message: XID 0x9773 Flags 0x8580 QR 1 (RESPONSE) OPCODE 0 (QUERY) AA 1 TC 0 RD 1 RA 1 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ACOUNT 3 NSCOUNT 0 ARCOUNT 0 QUESTION SECTION: Offset = 0x000c, RR count = 0 Name "(6)alterServer(4)x(3)y(5)local(0)" QTYPE A (1) QCLASS 1 ANSWER SECTION: Offset = 0x0027, RR count = 0 Name "[C00C](6)alterServer(4)x(3)y(5)local(0)" TYPE CNAME (5) CLASS 1 TTL 3600 DLEN 12 DATA (9)alterServer[C013](4)x(3)y(5)local(0) Offset = 0x003f, RR count = 1 Name "[C033](9)alterServer[C013](4)x(3)y(5)local(0)" TYPE A (1) CLASS 1 TTL 1200 DLEN 4 DATA 10.100.131.32 AUTHORITY SECTION: empty ADDITIONAL SECTION: empty

Hallo, nachdem wir einen neuen IP-Adressen Bereich verwenden, werden sporadisch die DNS Host Einträge der Clients gelöscht. Es wurden auch alle Switche im Netzwerk getauscht. Ansonsten wurde nichts geändert. Server: - 2x Windows Server 2012 R2 - Domäincontroller - DHCP-Server mit Failover (die Einstellung "DNS-Einträge immer dynamisch aktualisieren" ist aktiviert) - DNS-Server Clients: Windows 7 (32bit & 64bit) Prof SP1 (Updates auf dem neusten Stand) - identische Hardware, gleiche Treiberversion der NIC´s Beispiel: 20 Notebooks fahren das erste Mal im Netzwerk hoch. Alle bekommen eine IP aus dem neuen IP-Bereich und tragen sich im DNS ein. Nach einem Neustart sind plötzlich 4 Rechner nicht mehr über den DNS-Namen erreichbar, da der Host Eintrag im DNS-Server gelöscht wurde. Die IP-Adresse der 4 Clients hat sich nicht geändert. Erst nach einem manuellen "ipconfig /registerdns" trägt sich der Client wieder ein. Gruß, Shemeneto

Hallo, ich möchte über eine vorhandenen Ordne- und Dateistruktur auf einem Windows 2008 R2 Fileserver die Berechtigungen neu setzen. $Acl = Get-Acl $FolderPath $Rule = New-Object system.security.accesscontrol.filesystemaccessrule($UserName,"Modify","ContainerInherit, ObjectInherit","None","Allow") $Acl.SetAccessRule($Rule) Set-Acl $FolderPath $Acl Leider setzt er komischerweise bei manchen Unterverzeichnissen die ACL nicht und ich weiß nicht warum. Es gibt da keine Unterschiede zwischen den Verzeichnissen und den Dateien. Es sind keine Sonderzeichen drin und auch der Pfad ist nicht zu lang. Es scheint irgendwie so, als ob das Script manche Verzeichnisse einfach vergisst... Gruß, Shemeneto

Hallo zusammen, ich befasse mich nun das 1. Mal mit dem WDS-Server. Bisher habe ich Wim-Images immer per USB-Stick verteilt, was sehr gut geklappt hat. Einfach per USB-Stick booten und wurde das image per dism/imagex installiert. Einziges Problem, ich habe es nicht geschafft die Rechner automatisch in die Domäne aufzunehmen. Aus diesem Grunde wollte ich mich mal näher mit WDS (Server 2012 R2) beschäftigen. Momentan funktioniert es soweit, dass mein erstelltes Wim-Image mit einer mit WSIM erstellen unattend.XML installiert wird. Nur komplett automatisiert, wie mit dem USB-Stick, bekomme ich es nicht. Es sind im 4 Sachen wo es hängt. 1. Gebietsschemaeinstellungen (boot.wim) 2. Authentifizierung an der Domäne 3. Auswahl des von mir erstellten Wim-Images 4. Partitionierung Zu Punkt 4 muss ich noch was sagen. Die Partitionierung ist in der unattend.XML so eingestellt wie von MS vorgeschrieben: http://technet.microsoft.com/de-de/library/hh825702.aspx Aber es will einfach nicht funktionieren. Ich weis nicht mehr was ich noch machen soll. Mit diskpart ging das problemlos... Gibt es eine Möglichkeit diese 4 Punkte zu automatisieren? Gruß, Shemeneto

meinst du mich damit? Wo soll ich das behauptet haben? Ein Backup war noch nie ein Schutz vor Maleware...

Aha, und wie sehen diese Benutzerberechtigungen aus, die das verhindern sollen. Würde mich brennend interessieren...

eben nicht! Der Trojaner nutzt ja die Benutzerberechtigungen (Schreiben, Ändern usw.) auf das Netzlaufwerk um die Daten zu verschlüsseln. Es müsste höchsten eine ACL geben die das Verschlüsseln verbietet. Aber die habe ich noch nicht gesehen. Und die Verhaltenserkennung wird oft genug von schlauen Programmierern der Trojaner ausgehebelt...

genau das ist das Problem... Es würde nur gehen wenn man die Verschlüsselung vorhandener Dateien verhindern könnte. Was aber nicht geht. Und außerdem ist die Frage ob man überhaupt Verschlüsselung verbieten will, da es ja auch eine Methode ist um seine Daten zu schützen...

Virensoftware ist meiner Meinung nach zwar ein gewisser Schutz, aber es gibt ja wohl doch immer wieder Maleware die auch durch die Verhaltenserkennung solcher Software durchschlüpft... Unserer Virensoftware (leider habe ich auf die Auswahl keinen Einfluss) ist das jedenfalls schon das eine oder andere Mal passiert.

Ok, habt mich überzeugt. :) Danke übrigens für den Tipp mit den "Software Restriction Policy". Wollte ich schon lange mal umsetzen... Gruß, Shemeneto

das Problem sind die ja auch die Clientrechner nicht die Server. Wenn so ein Trojaner auf dem Server wäre, das wäre ja schon ein Supergau! Aber was soll man machen, wenn sich ein Client-PC (z.B. ein Notebook) trotz aktuellem Virenscanner und Updates usw. mit so einem Trojaner infiziert. Und ich denke, das ist durchaus möglich. Der User der sich mit diesem Client-PC anmeldet wird bald das Problem haben, dass alle seinen Dateien, die auf dem Filesserver abgelegt sind, verschlüsselt sind. Und Backups sind ja auch nur eine Teillösung. Erstens sind vielleicht die aktuellsten Daten noch nicht gesichert worden und zweitens ist es auch ein administrativer Aufwand, den man vermeiden möchte...

Hallo, anscheinend haben es nun "endlich" einige Ganoven gemerkt, wie man effektiv Nutzer erpressen kann... Die neusten Nachrichten über die Erpressungstrojaner, welche die Nutzerdaten verschlüsseln um damit Geld zu erpressen, verursacht mir momentan "schlaflose Nächte". Wie soll bzw. kann man die Daten auf den Fileservern effektiv schützen um eine Verschlüsselung zu verhindern? Hat sich da schon jemand Gedanken gemacht und gibt es eventuell schon einige Lösungsansätze dazu? Gruß, Shemeneto

Hallo, gibt es eine Möglichkeit die User & Geräte anzuzeigen die über Radius authentifizierten wurden? Gruß, Shemeneto

naja, diese Taskleiste am rechten Rand habe ich schon gesehen. Ist aber nicht ganz das was ich gerne hätte. Ich bei mir (in Win7) immer die ganze Taskleiste voller Programminstanzen auf die ich während des Tages zugreife und genau das fehlt mir bei Win 8 mit Kacheln. Ich muss immer erst auf den Desktop wechseln um zu sehen was ich schon geöffnet habe um darauf zuzugreifen und mit Alt + Tab ist mir das zu umständlich. Deswegen fände ich es gut wenn man die Taskleiste komplett in die "Kacheln" einblenden könnte...

Hallo zusammen, habe mich auch nun endlich dazu durchgerungen Windows 8 statt 7 zu nutzen und mir hat der Start-Bildschirm mit den Kacheln eigentlich bisher sehr gut gefallen. Meiner Meinung nach eine wesentliche Verbesserung zu dem eigentlich nutzlosen Bildschirmhintergrund. Aber warum kann man die Taskleiste dort nicht nutzten / einblenden. Alle schreien nach dem alten Desktop, aber was ich bräuchte wäre meine geliebte Taskleiste... Gibt es da irgendeine Möglichkeit, die Taskleiste einzublenden und den Start-Bildschirm als "aktiven Bildschirmhintergrund" zu nutzen? Ich konnte da leider nichts zu finden... :-( Gruß, Markus

das habe ich bereits und was soll ich damit machen? Da ist keine boot.wim dabei. :confused: edit: kann es sein, das du das hier meinst? http://www.microsoft.com/de-de/download/details.aspx?id=5188