cjmatsel

OK, dann habe ich das nicht so verstanden. Diese Idee klingt tatsächlich einfach; wie löst ihr das mit den Systemaccounts? Also den Accounts welche Programme benutzen um das LDAP abzufragen oder Dienste zu starten usw...?

edit: und wie würde ich den Ansatz von Norbert umsetzen? Wenn ich eine Handvoll Benutzer markiere und mit der rechten Maustaste anklicke kann ich nur sagen dass die Benutzer "bei der nächsten Anmeldung" das Kennwort ändern müssen...

Hi,

wir reden von ca. 200 Benutzern. Aber wie ich schrieb: "Ich möchte gern die Holzhammer-Methode vermeiden!"

Daher wäre im ersten Schritt interessant welches Alter die Passwörter haben um dann herauszufiltern welche Benutzer überhaupt betroffen sind...

Hi,

ich möchte gern mein Netzwerk (W2k8-R2-DC) besser absichern und dazu am LDAP alle alten Passwörter abfragen. Das Beste wäre dann diese ablaufen zu lassen, sodass die besonders alten Passwörter relativ zügig geändert werden müssten. Wie könnte man so etwas lösen? Ich will nicht gleich mit dem Holzhammer rum laufen, daher dachte ich an eine Batch oder dsquery-Abfrage...

Ein paar Ideen hierzu wären sehr hilfreich! :-)

cu,

cjmatsel

Hallo und Guten Abend,

Ich habe einen W2k3-R2-Printserver mit hilfe des in Windows 2008 R2 enthaltenen Migrationstools auf meinen W2k8R2-Server portiert. Habe alle Fehler bereinigt und möchte jetzt gern den Printserver zum Einsatz bringen. Ich nutzte unter W2k3 allerdings folgenden Registry-Kniff, um den Server nicht mit seinem echten Namen anzusprechen:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"EnableDNS"=dword:00000001
"TryAllNameServers"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"DisableStrictNameChecking"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableLoopbackCheck"=dword:00000001

Jetzt habe ich den DNS-Eintrag für den neuen Server einfach mit dem alten Eintrag ersetzt. Es dauert nur ein paar Minuten (bis alle Server ihren DNS-Cahce aktualisiert hatten), und schlagartig geht kein Drucker mehr: Auch ein Ab- und Anmelden hilft nicht; sogar als Administrator habe ich jetzt "Zugriff verweigert" bei jedem Drucker. Teilweise wird mir sogar noch ein Anmeldefenster beim Neuverbinden angezeigt, aber die Antwort lautet ich hätte keine ausreichenden Zugriffsrechte auf den Drucker...

Kennt jemand das Problem? Wie migriert ihr sonst Printserver? Das Ziel ist es doch meine Arbeit zu vereinfachen und nicht zu verkomplizieren?! :confused:

Über Ansätze und Ideen, aber auch über Recherchemöglichkeiten und Tipps würde ich mich sehr freuen...

cu,

cjmatsel

Eine Test-PDF wie die hier: http://www.orimi.com/pdf-test.pdf

Meine SRP-Regeln:

standardmäßig alles eingeschränkt, außer Intranet-Zone, die Programme-Pfade, sysvol und mein Netzwerk-Applikations-Pfad

Achja: Ich spreche vom Browser-Plugin; das Speichern egal in welchem Pfad wird darüber verweigert mit der o.a. Meldung... Im Firefox klappt es (vermutlich weil der kein Adobe-Plugin mehr benlötigt) und wenn ich die Adobe-Werkzeugleiste im IE einblende kann ich die PDF auch problemlos als Mail weiter senden...

Hilft das?

Hi, wie machst Du das mittlerweile mit deinen Temp-Verzeichnissen?

Hi, das ist ja schon ein guter Ansatz, aber um das Speichern geht es mir leider gerade: Ich kann nicht speichern weil er mir das mit dem Temp-Laufwerk immer wieder um die Ohren wirft... Obwohl unsere SRP-Regeln überhaupt nicht darauf greifen...

SRP? Ja, haben wir im Einsatz...

Hmm, ich kann doch jetzt nicht überall den IE-10 rauf werfen... Beim Firefox scheint es daran zu liegen dass er keinen Adobe Reader mehr benötigt um PDF-Dateien zu lesen...

Hi,

ich habe ein Problem und habe absolut keine Ahnung an wen ich mich wenden kann oder ob ich hier richtig bin:

Seit einiger Zeit meldet der Adobe Reader dass der Datenträger zum speichern oder der Datenträger für temporäre Dateien voll sei. Das ist nachweislich nicht richtig; es ist genug Platz vorhanden. Das Problem tritt nur bei PDF-Dateien auf welche im Browser mit Adobe Reader geöffnet werden.

Meine Frage: kennt jemand das Problem und hat sogar eine Lösung dazu? Im Firefox ist das Problem nicht da...

Evtl. helfen folgende Hinweise weiter:

- IE 11

- Adobe Reader 11.0.13

Es wäre schön wenn mir jemand einen Tipp geben könnte.

cu,

cjmatsel

Hi,

ganz lieben Dank! Das half auf Anhieb!

Hi,

ich habe ein Problem und benötige leider eure Hilfe: Ich administriere ein Netzwerk mit Windows-7-Clients. Mir fällt auf dass einige Mitarbeiter Symbole unten in die Taskleiste legen um diese Programme schneler zu starten. Leider umgehen Sie damit das Startmenü, welches andere Startbereiche nutzt. Ein kurzes Beispiel: Für Outlook ist im Startmenü eine Batch verknüpft, welche erst die Signatur zusammen baut und dann Outlook startet. Hefte ich jedoch das laufende Outlook an die Taskleiste an, so wird nur Outlook gestartet und nicht die Batch...

Meine Fragen:

Wie heißt diese neue "QuickLaunchBar" im Microsoft-Terminus? Bzw. wo nach müsste ich suchen?

Wo liegen die Verknüpfungen im Benutzerprofil?

Könnte man diese einfach entfernen oder entfernen lassen durch eine Batch oder so?

lieben Dank für eure Antworten!

cu,

cjmatsel

Hi,

ich habe Edimax-WLAN-APs und habe darauf den Radius-Server aktiviert. Leider  werden mir dort keine weiteren Details genannt und meine Win7-Laptops weigern sich beharrlich dort anzumelden. Kennt jemand das Problem und hat evtl. einen Lösungsansatz für mich? Mit welchen (günstigeren) Wlan-APs klappt RADIUS unter Win7 besser?

MfG

cjmatsel

Hi,

ich habe ciphermail als zentrale Verschlüsselungs-Appliance und es wäre schön wenn ich dort nicht jeden Benutzer einzeln eintragen muss...

Ich würde gern von magheinz die angesprochenen Punkte so umsetzen. Die Frage ist nun: Wie komme ich an so ein Zertifikat bzw. was muss ich beim Bestellen eines solchen Zertifikates beachten?

Hi,

kennt jemand eine Möglichkeit eino offizielle Zertifizierung für eine ganze Maildomain zu nutzen? Ich möchte gern alle unsere Mails von Mitarbeitern signieren und ggf. verschlüsseln, aber gern domain-weit. Oder muss ich wirklich die ganze Liste von Namen an den Zertifizierer durchgeben?

cu,

cjmatsel

Dass die Profile nicht kompatibel sind ist mir klar (sorry, dass ich das nicht mit erwähnt habe); mir ging es darum aufzuzeigen dass das bei WinXP einfach funktionierte...

Mir gehts genau genommen um Folgendes: Mein Win10 musste neu installiert werden weil es irreparabel beschädigt war (Dauerboot bei 1511-Updt mit händisch versuchtem Recover). Ich habe vorher allerdings mit einem WinPE alle Daten aus den Benutzerprofilen gesichert. Das Betriebssystem unterscheidet sich nur in der Buildnummer (jetzt isses 1511)...

ntuser.dat-Ausschluß hatte ich schon probiert; ntuser.ini allerdings noch nicht... Danke! :-)

Ich bleibe an dem Thema dran!

mfg

cjmatsel

Hi,

ich habe auf meinem PC immer die Benutzerprofile gesichert. Früher (XP) konnte man diese bei einer Neuinstallation einfach in das neue Profil injizieren und der Benutzer hatte sofort alle seine Daten wieder. Wenn ich das jetzt versuche meckert Windows 10 dass ich mit einem temporären Profil angemeldet werde.

Wie kann man aus einer vorhandenen Sicherung das Profil zurück spielen?

cu,

cjmatsel

Hi,

habe soeben meinen Exchange auf das aktuellste UR gezogen: 14.3.0266.001; und man findet diese Version in der Verwaltungskonsole eher unter Hilfe, über Exchange als den von mir angesprochenen obigen Punkt; der blieb bei mir in der Version identisch...

Allerdings war jetzt die Fehlermeldung eine andere und mein Problem ist dadurch behoben: Es muss der interne Servername angegeben werden! :-)

Hi,

das Zertifikat ist gekauft und laut dem Connectivity-Tool ist die Kette i.O.. Die Version steht in der Serverkonfiguration unter Postfach und muss definitiv laut http://www.msxfaq.de/admin/build.htmeinem Update unterzogen werden. Autodiscover funktioniert nicht und war bisher auch nicht gewollt...

Hi,

ganz lieben Dank! Meine Zertifikate sind aktuell und das Microsoft Connectivity-Tool meldet: Sys.WebForms.PageRequestManagerServerErrorException: An unknown error occurred while processing the request on the server. The status code returned from the server was: 503

edit: Version 14.3 (Build 123.4)

Das IIS-Log meldet nur eine Zeile:

2015-10-11 16:54:22 192.168.90.20 POST /Microsoft-Server-ActiveSync/default.eas Cmd=GetItemEstimate&User=benutzer&DeviceId=1745442876&DeviceType=TestActiveSyncConnectivity&Log=V120_Fc1_Fid:19_Sk:1_Pfs1_LdapC1_RpcC16_RpcL31_S1_As:DeviceDiscoveryG_Mbx:mailserver.firmdomain.local_Throttle0_Budget:(A)Conn%3a0%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f1%25%2cCAS%3a%24null%2f%24null%2f3%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f1%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Fbcdfaa19-6d56-4179-9cbc-6bfe60ab4879%2cNorm_ 443 firmdomain\benutzer 134.170.52.124 Microsoft-Server-ActiveSync/12.0+(TestExchangeConnectivity.com) 200 0 0 452
​

 

Hi,

Ich habe seit einiger Zeit Exchange 2010 und Outlook 2010 im Einsatz und nutze ActiveSync problemlos; allerdings scheitere ich an Outlook Anywhere.

Ich habe folgenden Artikel durchgearbeitet:

Installieren: https://technet.microsoft.com/de-de/library/dd776122%28v=exchg.141%29.aspx

Aktivieren: https://technet.microsoft.com/de-de/library/bb123542%28v=exchg.141%29.aspx (mit Standardauthentifizierung)

Danach habe ich folgenden Artikel abgearbeitet: https://support.office.com/de-de/article/Verwenden-von-Outlook-Anywhere-zum-Herstellen-einer-Verbindung-mit-Ihrem-Exchange-Server-ohne-VPN-ae01c0d6-8587-4055-9bc9-bbd5ca15e817

Trotzdem weigert sich mein Outlook mit dem Exchange-Server vollständig zu kommunizieren: Er fragt immer wieder nach dem Passwort; angegeben wird dazu "internerBenutzer@domäne.local"...

Wer kennt das Problem und / oder kann mir evtl. sagen welche Logs ich durchforsten könnte?

cu,

cjmatsel

 

mir stellt sich hier die Frage: Wie kommen die möglichen Angreifer in das Netzwerk ?

Es gibt da so einen großen Konzern von dem wir abhängig sind. Der ist gerade ein bisschen in den Schlagzeilen (ich möchte ungern weitere Details bekannt geben und darum Bitten den Namen nicht zu nennen)...

Es gibt normalerweise dadurch genügend Möglichkeiten in das LAN einzubrechen ohne dass man es mit bekommt. IPSec oder Portauthentifizierung habe ich auch auf dem Schirm, wollte ich aber noch vermeiden, da ich eine Menge Komponenten habe welche damit gar nicht klar kommen, wie Drucker und andere Mini-Server...

Die Personal-Firewalls auf dem PC wären auch noch ein Ansatz; aber die Spezialgeräte lassen sich damit nicht unter Kontrolle bekommen; auf zentraler Switch-Ebene stelle ich mir das schon sehr elegant vor, weil man eben unabhängig vom angeschlossenen Gerät ist...

Die pVLANs schaue ich mir auch mal genauer an...

Lieben Dank!

Hi,

lieben Dank für die kurze Antwort. Das hatte ich allerdings oben schon geschrieben: Ich möchte Angreifern im Netz das Scanning und "Abtasten" anderer Geräte erschweren. Da alle meine Geräte nur mit dem Gateway und dem DHCP/DNS-Server kommunizieren ist die Eingrenzung der notwendigen IPs nicht besonders schwer. Zudem findet aufgrund unserer hierarchischen Struktur kein notwendiger Verkehr zwischen den PCs statt... Welche Hardware kann so etwas?

Hi,

ich suche eine Möglichkeit das Scannen im Netzwerk zu verhindern und bin bei einigen älteren HP-Switchen darauf gestoßen dass man mit IP-Wildcards arbeiten kann. Sprich: Ich kann einem angeschlossenen Gerät sagen welche IPs es sehen und nutzen darf. Kennt jemand solch ein Vorgehen? Welche Switche (bei Cisco welche IOS-Komponente) könnte man einsetzen? Bei den alten HP-Switchen kann man sich ziemlich die Finger brechen um das überhaupt einzurichten...

Hi,

der Benutzer kann als Einziges den Java-Webstarter nicht ausführen wird ihm in einer Fachanwendungswebseite erklärt. Ehrlich gesagt ist das Problem zwar klein, aber die Auswirkungen sind sehr stark (derjenige ist dadurch fast nicht arbeitsfähig). Da alle anderen Benutzer problemlos arbeiten können und ich schon einmal vor längerer Zeit mittels diesen Weges das Problem so lösen konnte wollte ich das natürlich wiederholen. Alternativen sind Willkommen!

Die Profile werden auf den Terminalservern zwischengespeichert und verbleiben auch nach Abmeldung (sorry, das hatte ich nicht erwähnt; das machen die W2k8-Server automatisch so); einfach das Profil zu löschen sorgt dafür dass der Benutzer ein temporäres Profil bekommt so lange bis der dazugehörige Reg-Zweig gelöscht ist...