olc

Hi Wilfried, ein einfacher Rechtsklick auf den Namespace-Node und die entsprechende Option, den Namespace / die Root nicht mehr anzuzeigen, funktioniert nicht? Viele Grüße olc

Hi, schau einmal in den folgenden Thread - hast Du unter Umständen etwas an der Security / Anonymous Authentication des IIS geändert? No Certificate Templates error Viele Grüße olc

Hi, wie immer an solchen Stellen der Hinweis, daß sich das Vorhaben mit den Group Policy Preferences sicher sehr einfach lösen läßt... :) Download details: Group Policy Preferences Overview Viele Grüße olc

Hi, ich bin mir nicht sicher, ob es in die gewünschte Richtung geht, aber vielleicht ist Backtrack einen Blick wert? Remote-Exploit.org - Supplying offensive security products to the world Viele Grüße olc

Hi, wie genau sieht Dein "Mapping Script" für die Laufwerke denn aus? Kannst Du es ggf. einmal posten? Die Umbenennung der Gruppe sollte im Normalfall nicht zu solchen Problemen führen - es sei denn, im Logon- / Mapping-Script selbst wird der Gruppenname referenziert. Merkwürdig wäre dann jedoch Deine Beobachtung, daß neu hinzugefügte Benutzer die Laufwerke bekommen. Viele Grüße olc

Hi, man kann in einigen Dialogen die "Hauptbenutzer" direkt angeben, ohne daß eine Auflösung der SID erfolgt, sondern der Name selbst in die entsprechende "GptTmpl.inf" geschrieben wird. Das ist nur in Ausnahmefällen empfehlenswert, funktioniert grundsätzlich aber erst einmal (noch). Ansonsten kann natürlich in der AD ein Account namens "Hauptbenutzer" angelegt werden, der dann jedoch nichts mit dem klassischen lokalen Hauptbenutzer zu tun hat. Außer auf DCs sind Hauptbenutzer in den lokalen Sicherheitsdatenbanken der Domänenmitgliedern weiterhin vorhanden - um welche "administrativ unterstützenden Tätigkeiten" handelt es sich denn, die Du da angesprochen hast? Viele Grüße olc

...genau, von daher auch kein Thema, das selbe Fenster zu nutzen. Der Vollständigkeit halber noch der Link: PuTTY Download Page Wenn Du das nächste Mal Deine Anforderungen von vornherein genauer definierst (und schreibst), können wir auch besser helfen. :) Viele Grüße olc

Hi, doch - es ist, was Muffel sucht (denke ich) :). PuTTY kann auch über die Kommandozeile aufgerufen werden, in der Form "putty.exe <hostname>". Dann öffnet sich jedoch ein neues Fenster, in dem die Session gestartet wird. Viele Grüße olc

Hi Mario, ist das Computerkonto des Fileservers "Trusted for delegation"? Allow a computer to be trusted for delegation: Logon and Authentication Wie sind die Freigabe- und NTFS Berechtigungen des verschlüsselnden Benutzers auf dem Fileserver? Viele Grüße olc

Hi Charly, hast Du die oben genannten Punkte geprüft? Viele Grüße olc

Hi, ich habe gerade kein Testsystem vor mir - das sollte aber im gleichen Dialog bzw. einem der Reiter zu finden sein. :) Viele Grüße olc

Hi, wo genau wird die Fehlermeldung "will einfach ned." geloggt? ;) Hast Du denn den oben genannten und durch Christoph angereicherten Test gemacht, ob unter Umständen Benutzer oder Computer mit gleichem Namen wie der NetBIOS Name existieren? Viele Grüße olc

...was mir noch eingefallen ist: Es gibt zusätzlich eine direkte Beschränkung für Roaming Profiles (User Policies --> Windows Components --> System --> User Profiles). Dort kann man festelegen, ab welcher Größe eine Warnung angezeigt werden soll und eine Abmeldung nicht mehr möglich ist, ohne vorher die Profile zu säubern. Ist aber natürlich ein potentieller "call generator", wenn man nicht dafür sorgt, daß einige Verzeichnisse erst gar nicht geroamt werden (diverse applikationsspezifische "Temp" Daten verursachen extreme Datenmengen in den Profilen, man denke dabei an Java, Google Maps etc.). Viele Grüße olc

Hi Jochen, Empfehlung seitens Microsoft ist es, nur ein Ziel im DFS-Namespace zu verwenden. Wenn Du trotzdem Replikation einsetzt und ggf. mehrere Ziele angibst, mußt Du halt dafür sorgen, daß die Zeit der "Reise" eines Benutzers zwischen zwei Standorten oder Anmeldungen ausreichend groß ist. Und da genau das nicht so einfach sicherzustellen ist, ist es nicht zu empfehlen. Auch wäre hier zumindest generell zwischen FRS und DFSR Replikation zu unterscheiden - ich vermute Du sprichst von FRS. Grundsätzlich war die Frage von Minti nach meinem Verständnis jedoch eine andere - aber Zusatzinformationen schaden ja nie. :) Viele Grüße olc

Hi, ich mußte das jetzt zweimal lesen :D, aber wann tritt der Fehler denn auf? Den Trust konntest Du erstellen schreibst Du, wann kommt es also zu dem Fehler? Gibt es unter Umständen (losgelöst von den DCs) vielleicht Benutzer- oder Computerkonten in einer der Domänen, die den selben Namen haben, wie der NetBIOS Name der jeweils anderen Domäne ist (ich gehe mal davon aus, daß Du einen externen Trust erstellen möchtest?)? Viele Grüße olc

Hi, sorry, den zweiten Teil Deiner Frage muß ich wohl überlesen haben, sonst wäre das schon früher gelöst gewesen --> das Thema hatten wir hier nun schon öfters, vielleicht sollte ich es einmal in die Signatur nehmen (oder Du die Suchfunktion besser benutzen). :D Egal, Hauptsache es hat sich aufgeklärt. :) Viele Grüße olc

Hi, Du liegst mit der Registerkarte richtig, da mußt Du hin. :) Wenn Du für ein Target "Das erste von allen Zielen" auswählst, dann ist dieses Target dasjenige welche, auf das sich die Clients zuerst verbinden werden. Die Option ist also die, die Du suchst. Ggf. macht es zusätzlich Sinn, den Fallback zu aktivieren, so daß die Clients "direkt" bei Wiederherstellung des "ersten" Servers auf das alte Ziel umschwenken. Viele Grüße olc

Hi, ich für meinen Teil habe keine Idee, woran das liegen könnte. Welches OS haben Clients und Server? Sind die Systeme aktuell, d.h. mit aktuellen Hotfixes und Patches ausgestattet? Sind unter Umständen die "offline files" auf dem DFSN bzw. den Freigaben aktiviert? Ggf. könntest Du einen Netzwerktrace ziehen und schauen, was im Moment der hohen Auslastung passiert. Ein NETSTAT -ANO gibt vielleicht weitere Hinweise. Viele Grüße olc

Hi, von welchen Betriebssystemen auf den Servern sprechen wir? Ab Windows Server 200 R2 steht FSRM zur Verfügung, mit dem Du auch Quotas vergeben kannst. Alternativ bieten die Funktion auch einige Hersteller (wie etwa Veritas / Symantec). DFSN selbst bietet solche Funktionen nicht. Viele Grüße olc

Hi, nach Deinen Angaben oben wird keine Policy angezeigt, außer der Domain Policy. Wenn dem Account das Recht zur Übernahme fehlen würde, würde dort mindestens eine Policy als verweigert (Sicherheits-Filterung) angezeigt werden. - Ist der Terminalserver unter Umständen in einer anderen Site als die DCs (Replikationslatenz)? Sieht zwar nicht so aus (der Site Name ist Standard, also vermute ich, daß DCs und Server in derselben Seite sind), aber prüfen könntest Du es trotzdem. - Übernehmen andere Systeme die Policy? - Fehler im Eventlog des TS? - Die Policy ist definitiv auf der neuen OU _verlinkt_, in die Du den TS verschoben hast? Viele Grüße olc

Hi MrGenovese und willkommen "on Board", :) da Du wevtutil verwendest vermute ich, daß Du von Vista / 2008 Maschinen sprichst? Was genau möchtest Du mit dem Export erreichen, d.h. soll es remote und für viele Rechner erfolgen, soll nur ein bestimmtes Event exportiert werden etc.? Beschreib doch einmal, was Dein Plan ist. :) Hintergrund für die Frage ist, daß es unglaublich viele Möglichkeiten und auch Programme gibt, Eventlogs abzufragen (eine davon ist der o.g. LogParser) - und je nach genauem Vorhaben ist entweder die eine oder die andere Lösung besser geeignet. Viele Grüße olc

Hi, in den Hotfix Beschreibungen stehen die Dateiversionen, die verwendet werden. Wenn es Dich zu stark wurmt, dann kannst Du das abgleichen. Unter Umständen hat sich etwas post SP2 Version geändert, also mach Dir keine Gedanken. ;) Viele Grüße olc

Hi, ergänzend zu den anderen guten Hinweisen der Kollegen ein Link zu den Account Lockout Tools . Mit der ALockout.dll kannst Du unter XP / 2003 vielleicht die Quelle der falschen Anmeldungen herausfinden. Unter Vista / 2008 funktioniert die DLL scheinbar nicht mehr korrekt. Neben den Diensten solltest Du auch einmal die .NET Kennwortverwaltung "Credential Manager" prüfen: Start --> Ausführen --> control keymgr.dll . Viele Grüße olc

Hi, denk halt immer daran, daß Du mit solchen "Frickellösungen" die Umgebung immer komplexer und schwerer zu warten bzw. zu dokumentieren machst. Von daher wäre es zumindest mittelfristig eine gute Idee, eher die Provisioninglösung abzulösen anstatt die Zeit mit Workarounds totzuschlagen. ;) Viele Grüße olc

Hi, Du kannst per GPO die NTFS Berechtigungen auf die Datei TWEXT.DLL normalen Benutzern verweigern. Du nutzt dafür keine Software Restriction Policy, sondern eine Policy, in der Du NTFS ACLs auf die Datei vergibst und den entsprechenden Benutzern die Berechtigungen entziehst (bzw. besser gesagt Vollzugriff verweigerst). Die entsprechenden Einstellungen findest Du im "Windows Settings" --> "Security" Zweig einer Policy. Viele Grüße olc