Koten

Ich hab mir dumpsec mal angeschaut. Zum Einen kann es keine verschachtelten Gruppen, was schlecht ist, da wir fast durchgängig Berechtigungen nach dem AGDLP-Prinzip vergeben. Zum Anderen finde ich es für normale Benutzer zu umständlich. Aber trotzdem vielen Dank für den Tip. Koten

Ich wollte eigentlich vermeiden, dass die Benutzer anfangen müssen, Gruppennamen abzutippen. Mal abgesehen von den Tipfehlern führt das bei den Kollegen nur zu unmut. Besten Dank für den Tip mit dem Tool, auf der Webseite hab ich mir das auch schon mal angeschaut. :-) Kann man den SecurityReporter einem normalen Benutzer an die Hand geben (nach kurzer Einweisung), damit er seine Auswertungen selbst fahren kann, oder ist das zu umfangreich. Gruß, Koten

Hallo zusammen, Standardmässig vergibt man ja NTFS-Berechtigungen nur an Gruppen. Nun müssen aber bei uns die so genannten Verzeichnisverantwortlichen aus der Fachabteilung überprüfen, wer jetzt Zugriff auf Ihre verzeichnisse hat. logischerweise können die mit den verhältnismäßig kryptischen Gruppennamen nichts anfangen. Wer kennt ein Tool, mit dem ich die Benutzer auslesen kann, die Zugriff auf ein Verzeichnis haben? Es müsste also die Gruppen auslesen und diese dann rekursiv (damit auch verschachtelte Gruppen aufgelöst werden) die Benutzer auslesen, die in den Gruppen mitglied sind. Besten Dank für Eure Hilfe. Gruß, Koten

Hallo, Ich habe die Beta gerade heruntergeladen und ausprobiert. Bei den Standard Reports läuft er bei mir auf einen Fehler: Domaenen-Info ... Start: 9:32:45,91 C:\temp\Jose-30-Beta-3\JoseExec.vbs(1195, 3) Microsoft VBScript runtime error: Variable is undefined: 'objRSTrust' Es betrifft nur den Domänen Report, die anderen laufen durch. Unsere Umgebung: Multi-Domain Umgebung (das Tool habe ich in der untergeordneten Domain ausgeführt), Windows 2008R2 und Windows 2003R2 DC's. Ausgeführt auf einem W2K8R2 DC. Forest und Domain functional Level auf 2003 Gruß, Koten

Ich hab grad nen Riesenproblem: Wir haben vor ca. einem Jahr von Exchange 2000 auf 2007 umgestellt, kurz vorher sind die Domänen konsolidiert und auf Windows 2003 gehoben worden. Alees läuft super. Aaaber: Jetzt muss ich eine superwichtige Mail wiederherstellen, die schon vor diesen Umstellungsmaßnahmen gelöscht wurde. :-( Ich müsste also 2 DC's wiederherstellen (root-Domain und die domäne mit den Benutzern) und dann den Exchange. Von den DC's habe ich die Systemstatusdaten als BKF-Datei. Von dem Exchange habe ich nur die Scherung aus unserer Backup Software, und die "verlangt" zum zurücksichern einen funktionierenden Exchange. Ist ne Heidenarbeit, und nach allem was ich so lese, ist eher schwer, so alte DC's anhand der Systemstatusdaten wiederherzustellen. Hat jemand ne Idee, wie ich das alles vereinfachen könnte? Besten Dank! Gruß, Koten

Tach auch, Wir sind dabei, unsere "Müllhalde" Fileserver neu zu strukturieren. Aufgrund der Datenmenge und der verteilten Server werden wir auf einen Domänenbasierten DFS-Stamm zurückgreifen. Nun aber folgendes Problem: Jede Niederlassung hat einen eigenen Server mit einer eigenen Freigabe, z.B. "\\ServerX\NiederlassungA" DFS-Root: \\Domäne\Data Nun soll das Niederlassungsverzeichnis wie folgt dargestellt werden: \\Domäne\Data\Orga\NiederlassungA Ist das möglich? kann man also mittels DFS eine Freigabe in einen Unterordner mounten? Meines Wissens können neue Freigaben immer nur direkt im Wurzelverzeichnis gemountet werden. Wir setzen zur Zeit Win2K3R2 auf allen Fileservern und Domänencontrollern ein. Da das Projekt eh länger läuft, wäre es auch Möglich auf W2K8 umzustellen, sollte es so gehen. Gruß, Koten

Hallo! Kann man die Windows Desktop Search (unter WinXP) so konfigurieren, dass sie den Index vom Search Server Express nutzt? Die Desktop Search hat gegenüber der Webseite des Search Servers ein paar Funktionen, die wir nutzen wollen. Die Desktop Search auf die verbundenen Netzlaufwerke zu verbinden halte ich auch nicht für sinnvoll, da es die Performance des File-Serves herunterziehen würde. Besten Dank für Eure Hilfe Gruß, Koten

Hallo Wir haben folgendes Problem: Wir hatten das Problem, dass bei einem User in einem per WAN angebundenen Standort die Anmeldung extrem lange (15 Min. bei vorhandenem lokalen Profil und 30 Min. ohne) dauerten. Nach der Anmeldung war er dann auch nicht korrekt in der Domäne authentifiziert und konnte dementsprechend nicht arbeiten. Dieser Effekt trat nur in in dem Standort auf. Hier im lokalen Netz konnte man sich mit dem Account normal anmelden und arbeiten Nach langem Testen haben wir dann herausgefunden, dass es an dem zu langen Anmeldenamen (17 Zeichen) des Benutzers lag. Nachdem der Anmeldename auf 9 Zeichen gekürzt worden ist, lief die Anmeldung normal durch. Die Sites und IP-Subnetze im AD sind korrekt konfiguriert. Der Fehler lässt sich mit mehreren (Test)-Accounts auf unterschiedlichen PC's nachstellen. Umgebung: W2K3 Active Directory, kein DC in dem Standort, der Standort ist über eine Cisco Pix to Pix VPN Verbindung (2-Mbit für 3 PC's, eigener File-Server) angeschlossen. Hat jemand von euch eine Idee, wieso der lange Anmeldename über das WAN nicht funktioniert.

Hallo! Ich möchte bei dem Windows Explorer (nicht Internet Explorer) die Adressleiste per GPO ausblenden. Dazu werde ich wohl ein ADM-Template aufgrund einer .reg Datei erstellen müssen, da es sich meines Wissens nicht direkt über eine GPO steuern lässt. Nun meine Frage: Weiß jemand von Euch, welche Schlüssel dafür auf welche Art und Weise modifiziert werden müssen? Google und Boardsuche hab ich schon bemüht, leider ohne Ergebnis. Ich bin beim Monitoren der Registry auf den Schlüssel: HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer\ITBarLayout gestossen. Kann damit aber nicht viel Anfangen, da der Inhalt dieses Schlüssels sehr lang, und für mich unverständlich ist. Zum Anderen irritiert mich, dass dieser Schlüssel unter "Internet Explorer" zu finden ist. Schon mal vielen Dank für Eure Hilfe! Gruß, Koten

Hallo Zusammen, auf unserem Druckserver (ca. 160 Drucker, überwiegend HP-Drucker, einige Kyocera), kommt es hin und wieder zum Absturz des Spoolers: Event Type: Error Event Source: Application Error Event Category: (100) Event ID: 1000 Date: 8/6/2007 Time: 9:07:01 AM User: N/A Computer: XXXX Description: Faulting application spoolsv.exe, version 5.2.3790.3959, faulting module ole32.dll, version 5.2.3790.3959, fault address 0x000a5196. For more information, see Help and Support Center at Events And Errors Message Center: Basic Search. Data: 0000: 41 70 70 6c 69 63 61 74 Applicat 0008: 69 6f 6e 20 46 61 69 6c ion Fail 0010: 75 72 65 20 20 73 70 6f ure spo 0018: 6f 6c 73 76 2e 65 78 65 olsv.exe 0020: 20 35 2e 32 2e 33 37 39 5.2.379 0028: 30 2e 33 39 35 39 20 69 0.3959 i 0030: 6e 20 6f 6c 65 33 32 2e n ole32. 0038: 64 6c 6c 20 35 2e 32 2e dll 5.2. 0040: 33 37 39 30 2e 33 39 35 3790.395 0048: 39 20 61 74 20 6f 66 66 9 at off 0050: 73 65 74 20 30 30 30 61 set 000a 0058: 35 31 39 36 5196 Es tritt beim Rechnungsdruck aus Axapta aus. Momentan kann ich aber nicht ausschließen, ob es nicht auch bei anderen Applikationen auftritt. Bis vor einigen Tagen lief es problemlos. An den Druckern, bei denen das Problem auftrit (HP CLJ 4700) haben wir nichts geändert. Habt Ihr eine Idee? Danke! Gruß, Koten

Eine Notes-Frage in einem MS-Forum, das grenzt ja schon an Blasphemie! ;-) Ich kann Dir zwar auch nicht helfen, aber Das Notes Forum - Index ist meines Erachtens ein gutes Notes Forum. Gruß, Koten

Hallo Zusammen! Warum nutzt Du für die Installation denn nicht die SmartStart-CD (oder wie das Ding jetzt heute heißt), die bei dem Server dabei ist. Die bereitet die Installation soweit vor, dass Du das System einwandfrei installieren kannst. Funktioniert auch sauber, wenn Du "nur" ein USB-CD-ROM hast. Oder ist der Controller nicht von HP geliefert? Wenn dem so ist, gibt es doch einen Weg, wie man Treiber in eine vorhandene CD einbindet, neu brennen und dann gehts. Habe ich aber bisher nur gelesen, noch nicht selbst ausprobiert. @Tobi72 Im Bios von den HP-Notebooks, gibt es einen Schalter, in dem Du den SATA-Controller in eine Art "Kompatibilitätsmodus" zu IDE setzen kannst. Dann klappts auch mit dem XP (mit integriertem SP2) bei der Installation. Wenn Du dann den Treiber installiert hast, kannst Du den Modus wieder auf "native" stellen. Gruß, Koten

Danke für den Tip. Für .NET 1.1 habe ich das gefunden, aber wie kann ich das mit .Net 2.0 erreichen? Gruß, Koten

Hallo! Kann es sein, dass der Adobe Acrobat Destiller auf dem Citrix defekt ist? Kannst Du den dort mal neu installieren? Koten

Tach Zusammen! Kann man per GPO die .NET 1.1 und .NET2.0 Rechte setzen? So, dass halt alle Programme von jener Quelle als Vertrauenswürdig einzustufen sind? Oder kann man das sonstwie zentral steuern? Schon mal besten Dank im voraus! Koten

Hallo! Wir haben hier auf einigen PC's Testweise den IE 7 installiert. Die Konfiguration der Geräte ist WinXP Sp2 und Office2003 Enterprise die über WSUS auf aktuellem Stand gehalten werden. Jetzt haben wir das Problem, dass im Outlook 2003 bei HTML-Mails die Seitenansicht nicht mehr verfügbar ist (ist ausgegraut). Zusätzlich können einige Plätze HTML-Mails nicht mehr drucken (Druckdialog wird nicht mehr angezeigt) Und als krönung funktioniert auf den Plätzen mit dem Internet Explorer 7 das Active Sync nicht mehr.... Hat da jemand eine Idee, wie man das lösen kann? Ich könnte ja den IE 7 deinstallieren, aber langfristig wird man um den ja nicht herumkommen, wenn die Firmenphilosphie Microsoft Produkte vorgibt. Danke! Koten

Hi! Ich weiß, dass noch verbundene, aber nicht erreichbare Netzwerklaufwerke und Drucker den Start des Explorers manchmal verzögern, da er immer versucht diese Abzufragen. Vielleicht hilfts. Koten

Hallo! Ich soll das hier eingesetzte Login-Script durch ein in Powershell geschriebenes Script ersetzen. Nun hab ich ein Powershell Script, welches auch funktioniert. Nun aber mein Problem: Wie verteile ich am geschicktesten die Powershell? Sollte über eine GPO gesteuert sein, so dass nicht bei jedem Anmelden ein Script gesteuertes Setup losrattert, sonder nur einmal. Powershell wird ja nicht als MSI-paket zu Verfügung gestellt. Ich hab mit dem Rapid Installer von Altiris ein MSI Paket erstellt, welches für das Loginscript auch ausreichend ist. Startet jetzt aber ein Benutzer ohne lokale Adminrechte die Powershell manuell, so wird der Installer nochmals gestartet und endet mit einer Fehlermeldung. Gibt es bessere MSI-Tools (möglichst kostenlos / kostengünstig)? Kennt Ihr einen anderen Weg, die Powershell zu verteilen? Danke! Koten

Danke für Deine Antwort. So ist das zumindest in einigen Abteilungen hier leider nicht durchführbar, da eine Abteilung z.B. 30 Drucker hat, da die Abteilung sehr groß ist und auch nicht weiter unterteilt ist. Du schreibst, dass die Skripte evtl. mit zu vielen Rechten ausgeführt werden. Aber die Skripte werden doch mit den Rechten des Benutzers ausgeführt, der gerade angemeldet wird. Das Login-Skript ist ja im "User"-Teil der GPO untergebracht. Wäre unter Umständen ein Verbinden der Drucker mit printui.dll ober über VB-Script mit .AddWindowsPrinterConnection nach dem gleichen Verfahren stabiler? Gruß, Koten

Hi! Ich habe ein script (printer.bat) welches weitere Skripte, nach Abteilungen sortiert (z.B. printer_abteilungA.bat), aufruft. Diese Unterteilung dient nur der Übersichtlichkeit. z.B. printer.bat: start -B printer_abteilungA.bat start -B printer_abteilungBbat printer_abteilungA.bat: \\domäne.de\netlogon\con2prt.exe /c \\Servername\Druckerfreigabe1 \\domäne.de\netlogon\con2prt.exe /c \\Servername\Druckerfreigabe2 usw. Das Script printer.bat ist in dem login.bat hinterelegt, welches über eine GPO zugewiesen wird. alle Skripte und das zugehörige Tool Con2Prt liegen im Sysvol und deren Unterverzeichnissen. Gruß, Koten

Hallo zusammen! Wir verbinden unsere Drucker über das Tool Con2Prt.exe. Jeder User versucht sich zu jedem Drucker zu verbinden, über die Rechte wird gesteuert, oder er sich verbinden darf, oder nicht. Jedem Drucker ist eine Sicherheitsgruppe zugeordnet. Ich brauch also nur die Benutzer in die Gruppe stecken, und schon bekommen sie beim nächsten anmelden den Drucker. Funktioniert auch prima..... bis vor 2 Wochen der erste Benutzer auf einmal fast alle Drucker bekommen hat. Seit dem tritt das Problem hin- und wieder bei wenigen Benutzern auf. Lösche ich die Drucker, und melde den Benutzer neu an, ist wieder alles OK. In den GPO's ist hinterlegt, dass Windows warten soll, bis die Netzwerkverbindungen stehen. Hat jemand eine Idee, wieso hin und wieder alle Drucker verbunden werden?

Hallo zusammen! Ich habe folgendes Problem: Unsere Testumgebung besteht aus Virtuellen Maschinen. Diese wurden mal mittels eine Physikal to Virtual Tools aus den Original Servern heruas erzeugt, somit haben wir eine fast 100%ige Übereinstimmung. Mein Problem ist nun, dass ich gerne das Testlab mal auf den Stand des Produktivsystems bringen möchte. Habe probiert, die Systemstatusdaten eines Produktivservers auf das Pendant in der Testumgebung zu spielen. Ist leider daneben gegangen, da das System mit einem Bluescreen wieder hochkam. Vermute, dass mit den Systemstatusdaten auch irgendwelche Treiber oder ähnliches eingespielt wurden. Gibt es ein Programm, mit dem ich nur das Active Directory (inkl. GPO's und Schema) sichern kann? Oder kann man bestimmte Dateien (welche?) einfach kopieren, in der Testumgebung in der Widerherstellungskonsole einspielen und dann eine autoritative Wiederherstellung anwerfen? Schon mal besten Dank im Voraus! Gruß, Koten

Besten Dank Ihr beiden! das mit dem netdiag /fix hatte ich zwar schon gemacht, aber da war als 1.DNS der 2.DC eingetragen. also er selber. :-) Einträge getauscht, netdiag /fix und die Einträge waren wieder da. Tschö! Koten

Tach zusammen! ich habe ein Problem mit einem DC in unserer Testumgebung: Die beiden DC's können nicht mehr replizieren. Nun hab ich schon einiges probiert, und will jetzt den 2. DC per DCpromo rausnehmen, 2 Tage warten, und dann wieder per DCpromo heraufstufen. Nun sind aber leider (durch meine ****heit) die DNS-Domänencontroller-Locatoreinträge des 2. DC's nicht mehr im DNS. Gibt es einen Befehl, der diese wiederherstellt? Ohne diese Einträge läuft DCpromo ja nicht durch. Und wenn ich dcpromo /forceremoval mache, muss ich das AD hinterher mit ntdsutil bereinigen. Dabei weiß ich nicht, wie das AD reagiert, wenn ich einen neuen DC mit gleichem Namen erstelle. Die Namen müssen erhalten bleiben, um eine möglichst realitätsnahe Testumgebung zum Produktivsystem zu haben. Schon mal Danke im Voraus! Koten

Hallo! Der Change Auditor von NetPro ist da eine ganz feine Sache, bin mir gerade aber nicht sicher, ob der auch Exchange mit überwachen kann. Gruß, Koten