holunder

Temp Dateien sind natürlich nervig. Umbenennen muss kein User. Holunder

korrekt. Und wie kann ich jetzt Berechtigungen entwerfen, die den Bedürfnissen entsprechen? Wenn dies überhaupt möglich ist. Holunder

korrekt. Habe aber das Problem, dass beim öffnen einer Exceltabelle die zwar bearbeitet werden kann aber nicht mehr gespeichert werden kann. Berechtigungen waren auf ändern gesetzt. Da war das Problem das Dateien immer noch gelöscht werden konnten. Die Option nur "löschen" ist aber abhängig von Berechtigung "ändern". Und da gibt es jetzt massiv Probleme. Benutzer sollen keine Dateien oder Verzeichnisse löschen dürfen, allerdings vorhandene ändern. hm. Holunder

Hallo. Wie können die Zugriffsberechtigungen für Benutzer auf eine Netzfreigabe so eingeschränkt werden, dass sie Dateien noch öffnen, Inhalte dieser Datei ändern oder neue Dateien erstellen können ohne Verzeichnisse oder Dateien löschen zu dürfen? holunder

Hallo,,

 

@ASR

Portauthentifizierung mit 802.1x wäre meine Wahl, damit kannst Du das LAN/WLAN auf Zertifikatsbasis absichern

Daran haben wir noch gar nicht gedacht. Das wird später ausprobiert :)

 

@carlito

IPsec mit Authentifizierung, ohne Verschlüsselung

Das könnte es werden. Es wäre also möglich, die Authentifizierung der Computer innerhalb der Domain, mittels Zertifikaten zu realisieren. Also weg von ohne Authentifizierung hin zu Zertifikaten für die Computerauthentifizierung. Aber um das besser verstehen zu können, würde mich der Authentifizierungsprozess näher interessieren. Bei Benutzern wird nach Benutzernamen und Kennwort gefragt. Bei Computerobjekten? Die gehören ja der Gruppe "Authentifizierte Benutzer" an (ich hoffe jetzt nichts durcheinander zu bringen). Welches Kennwort wird benutzt und welcher Anmeldename? Oder werden Computer nach ihrem Computerobjekt authentifiziert? Das würde dann den Zugriff auf Ressourcen nur erweitern, da Computer ohne Domainmitgliedschaft auch schon auf grosse Teile der Netzressourcen zugreifen können. Kann es mittels Zertifikatsauthentifizierung realisiert werden, dass nur Computer die sich erfolgreich mittels Zertifikat authentifiziert haben auf Ressourcen zugreifen können die den Filterregeln von IPsec Sicherheitsreichtlinien entsprechen? Ein Computer ohne Zertifikat und ohne Domainmitgliedschaft kann dann nur noch DHCP und DNS z.B. nutzen?

 

@grizzly999

Und wenn schon, dann auf einer Enterprise Edition installieren

im Moment steht mir nur der Std. zur Verfügung. Gibt es da gravierende Unterschiede? Bei der Benutzervorlage glaube ich ist der grösste Unterschied oder? Die gibt es nicht bei nicht AD integriert oder? :( Ja ist ziemlich umständlich.

 

Freu mich schon auf Antworten (Bin gerade dabei Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien alle Artikel zu verinnerlichen) Gruß Holunder

@grizzly999

erneut von mir ein ABER:

das oder die 'Aber' sind auf jeden Fall gewünscht. :)

Ihr habt das alles durchdacht und geplant?

Im Moment findet alles im Kopf statt. Und es wird gerade Informationsbeschaffung betrieben, um dann Vor- und Nachteile abwägen zu können. Ein einfaches Adanauerkreuz eben. Mögliche Wege können getestet und danach als Eventualität, mit all den Einschränkungen oder Mehrkosten, zur Verfügung gestellt werden. Wenn es überhaupt zu einer Umstellung kommt. Am Anfang steht die Idee und eine Testumgebung. Jetzt geht es daran die 1. Idee auszuprobieren. Im Moment stellt sich die Frage welchen Kryptographieanbieter wir benutzen sollen und ob die CA unbedingt AD integriert sein muss? Wir möchten die CA auch für das Erstellen von Benutzerzertifikaten nutzen, um eine VPN Einwahl (L2TP/IPsec) realisieren zu können. Ist diese Kombination möglich? Gruß Holunder

@grizzly999

Daher eben die Frage: Was will ich mit dieser Maßnahme erreichen?

Im Moment gilt es die "Forschungsarbeit" voran zu treiben. Verhindert soll werden:

1.) auch wenn ein PC oder Notebook sich den Weg bis zu einer Netzwerkdose bahnt und eine IP Adresse erhält (z.b. durch DHCP oder zufällig die richitgen LAN Parameter manuell konfiguriert werden), dieses Gerät nicht die Möglichkeit eingeräumt bekommt via Netzwerkungebung eine Auflistung aller vorhandenen PC's im LAN erhält.

2.) Allerdings sollen einige vertrauenswürdigen Geräte, die nicht Mitglied der Domain sind (deswegen die CA.wenn es anders realisierbar ist dann auch gern anders), zügig die Möglichkeit erhalten auf Ressourcen im LAN zugreifen zu können. Da wäre doch die Weboberfläche ideal dafür geeignet. Zertifikatsbeantragung würde dann durch einen Admin erfolgen und innerhalb weniger Augenblicke könnte dieses Gerät am Netzleben teilnehmen. Da stellt sich allerdings die Frage, ob überhaupt auf dei CA zugegriffen werden kann, solange kein Vertrauen besteht?

 

MAC Adressenfilterung wird nicht gewünscht.

Das war es eigentlich schon :) Gruß Holunder

Danke für die hilfreichen Tipps :) und für alle die noch suchen sollte wohl

"Domänenisolierung" helfen Netzwerkschutz mit Hilfe von IPSec - Schutz vor Viren, Schutz von Servern, Isolierung von Domänen

Hallo. Das Thema ist schon oft behandelt wurden aber der Durchblick :shock: ist nicht wirklich leicht zu bekommen. In einer bestehenden Domain möchte ich die Kommunikation zwischen Domaincontroller und Clients mittels Zertifikaten verschlüsseln. Die Theorie und meine Vorstellung sollte vielleicht nachfolgend realisiert werden können.

Auf dem Domaincontroller wird eine CA installiert und via Computer Gruppenrichtlinie sollen dann die Zertifikate für die Clients (die Mitglied der Domain sind) automatisch ausgestellt werden. Nur dann soll mit dem Server kommuniziert werden können. Allerdings soll DHCP weiterhin funktionieren, damit "Fremde" wenigstens noch surfen können. Zugriff für Fremde auf Freigaben des DC's sollen damit unterbunden werden. Wenn meine Idee falsch ist -> auch kein Problem. Meine Testumgebung WIN2k3 Standard. / WINXP SP2 .. Mit freundlichen Grüßen Holunder

oki,, das mit vss scheint erstma ganz brauchbar zu sein.. wenn 2x in der stunde eine kopie von insgesamt 30gb (einzeldateien xls, doc, pics) auf einem externen server der die kopien hostet angelegt wird. kann ich das auch so konfigurieren, dass nur ein verzeichnis "beschattet" :D wird .. z.b. "d:\verzeichnis\freigabeverzeichnis"? und wie ändere ich den pfad für das abspeichern der schattenkopie von c:\systemvolumeinformation nach \\freigabeverzeichnis auf anderen server? danke holunder

oki,, habe es gefunden :rolleyes: peinlich! Kontingenteverwaltung war aktiviert. Computerverwaltung/Datenträgerverwaltung/rechtsklick Eigenschaften/kontingente/und da wurde mir geholfen *g*

 

die VPN Einwahl hat deshalb funktioniert (also der Zugriff auf die HDD) weil ich das mit dem Adminaccount realisiert habe. Und da stand unter Kontingenteverwaltung Administrator nicht beschränkt (obwohl ich da meine zweifel habe grins) .. wie dem auch sei,, sorry dass ich so ungeduldig gewesen bin!!! und thx gruss holunder

hallo, erhalte seit neuestem diese fehlermeldung "error 55: es steht nicht genug speicherplatz auf dem datenträger zur verfügung" und zwar dann, wenn ein user das gemappte laufwerk (ziel ist das freigabverzeichnis auf einem server) nutzen möchte. platz ist aber noch reichlich vorhanden (auf dem server)! Umgebung! SBS2k3, Clients WIN2k, wenn ich per VPN auf den server connecte und ein share mappe wird die größe korrekt angezeigt. vom client aus dem lan wiederum die beschränkung von 1gb insgesamt vielen dank im voraus holunder

wollte nur den thread beenden. habe eine lösung dafür gefunden. falls jemand ein ähnliches problem hat: mein lösungsansatz. es wird die software "pdf converter pro" eingesetzt. mit dieser software können vorhandene *doc; *.xls Dateien mit einer Vorlage (bei uns der Briefbogen) kombiniert werden und direkt als EMailanhang (oder wenn gewünscht auch als Datei) versendet werden. Und das kann sogar jeder User selber machen, unkompliziert! *freu* holunder

salü,, danke, ich denke schon! jetzt stellt sich noch eine Frage, beim mehrfachen lesen der todo. VSS sichert die Dateien anhand eines Zeitstempels und nicht bei Änderung. Meine nur allzu verständliche Frage dazu ;) Wie funktioniert das? Wann wird dann eine Datei in Kopie als "Schatten" im System Volume Drive abgelegt?? da konnte ich leider nicht viel dazu finden. gruß holunder

danke Dir :-)

 

WinTotal - Artikel - Schattenkopie ohne Schatten -> zugriff verweigert :(

aha :-) und wo finde ich diese Dateien? gibt es dafür ne todo die ich nachlesen kann? soweit ich weiss werden die dateien der schattenkopie durch andere namen ersetzt.. danke schon einmal gruß holunder

hallo, gibt es eine Möglichkeit vor dem endgültigen löschen von Word- oder Exceldateien, diese zu sichern?. Also Beutzer löscht eine Datei (möchte eine Datei löschen) aber diesen Vorgang bekommt eine Software mit und sichert diese Datei vorher noch in ein ausgewähltes Verzeichnis? Oder gibt es dafür andere, bewährtere Konfigurationen die den endgültigen Verlust verhindern. Papierkorb ist keine Lösung. Umgebung win2k3; AD; DFS; servergespeicherte Profile. vielen Dank im voraus holunder

Hallo, ich hoffe das Thema im richtigen Board zu eröffnen. Ist es möglich in nachfolgender Umgebung: WIN2k3 Domain, AD, DNS / WIN XP Pro und Office 2k3 für Word und Excel Vorlagen zu benutzen (im Detail Briefbögen) die aber der User bei Druck auf einem Printer deaktivieren kann? Da es ja Briefbögen von der Druckerei gibt. Und nur wenn der PDF Drucker genutzt werden soll, die Briefbögen mit genutzt werden? Und wie stell ich das an und in welchem Format müssen dann die Briefbögen als Vorlage erstellt werden? Und wie werden diese serverseitig (severgespeicherte Profile) für die User zur Verfügung gestellt. Ich danke schon im voraus. Gruß Holunder

ja wenigstens was :) danke dir für die hilfe .. gruß holunder

hallo. hinzugefügte seite abgeschalten und es funktionierte. bei restart erhielt ich eine fehlermeldung, dass der prot schon von einer anderen seite benutzt wird. wie konfiguriert man denn einen iss mit mehr als nur einer seite? mfg holunder

guten morgen,

 

-Windows 2k3 Std.

-die Konfiguration wurde nicht verändert, ausser das eine zusätzliche website dem iss hinzugefügt wurde. diese kann ich aber aus dem lan aufrufen. also http://cname/website

-kein Stromausfall und keine unkontrollierten Abstürze :wink2:

-Gibts Meldungen auf der Startseite des WSUS oder im Ereignisprotokoll? ja: Folgende Dienste werden nicht ausgefhrt: SelfUpdate..

 

für weitere fragen und anregungen! einfach posten. gruß holunder

hallo. wie im titel schon beschrieben. WSUSAdmin kann nur noch vom localhost aufgerufen werden .. also http://localhost/wsusadmin .. selbst auf dem server unter seinem eigenen fqdn no way und von irgendwo anders leider auch nicht. kennt dafür jemand einen heissen tip .. ? möchte wieder von jedem anderen rechner aus die config des wsus editieren können. gruß holunder

hallo und danke. hat sich erledigt. funktioniert jetzt. problem war, dass der aufruf der applicationsoftware noch von einer cmd erfolgte (wegen beta) jetzt gibt es dafür ne exe und jetzt funktioniert es auch. gruß holunder

hm. oki. gesagt getan. allerdings bleibt alles anders. aktuelle jre version installiert, vorher die ältere deinstalliert. ein user meldet sich am terminalserver an startet die application die jre benötigt -> funktioniert, ein zweiter user meldet sich am terminalserver an startet (möchte starten) die application und es tut sich nichts. bin etwas ohne räder (ratlos) ... gibt es bei der installation irgendetwas noch zu beachten. vielleicht die reihenfolge, welche software zuerst installiert werden soll? hier wurde erst ts dann der rest eingerichtet und konfiguriert. mit freundlichen grüßen holunder

Hallo,

 

meine Umgebung: WIN2k3 Std. Domain, der Server der den Terminalserver hostet ist Mitglied der Domain (kein DC). Darauf ist die JRE installiert und eine Terminalanwendung die Java benötigt und dann Daten in einen SQL Server der auch auf dem TServer installiert ist schreibt. Wenn sich der 1. User anmeldet funktioniert die Anwendung. Wenn sich ein weiterer User anmeldet startet Java irgendwie nicht. Meldet sich der User ab, der Java nuzen konnte, kann der nächste User damit arbeiten und so weiter. Kann es eine Fehlkonfiguration sein? Wovon ich ausgehe, nur nicht weiss an welcher Stelle diese behoben werden kann. Mit freundlichen Grüßen Holunder :wink2: