Surfy

Original geschrieben von die kriese

moin moin,

 

warum hilft ein ghostfile nicht, wenn ad installiert ist, das wäre mir neu.

Mit einem Rückgesicherten Ghostfile gehen trotz Image irgendwelche Informationen verloren.. Ist mir selber passiert, in älteren Beiträgen von mir wirst Du fündig..

Surfy

Hallo zusammen

Mein 2003 DC / TS läuft endlich rund, aber mir stehen noch einige Anpassungen in Sachen Berechtigungen bevor.

Wie kann ich den Server richtig sichern? Am liebsten wäre mir ein Ghostfile, aber das hilft einem ja nicht wenn AD installiert ist.

Was für Tools oder Vorgehensweisen empfehlt ihr?

Surfy

Erstmal danke für eure Hilfe beim Installieren des TS Servers!

Jetzt gehts aber gleich nahtlos weiter *grins*

Eckdaten:

W2k3 TS Server

Clients: nicht in der Domain

Wie gehe ich in Sachen TS Benutzerrechte am besten vor? Rechte sollte ich so kastrieren, das nur noch normales Arbeiten mit Office & Anwendungen möglich ist.

Wie MMC, und den Gruppenrichtlinien für den Domainenconroller, könnte ich ja loslegen...

Ist das der richtige Ansatzpunkt? Wie macht man das am besten? Kann man Berechtigungen pro Usergruppen setzten? Wenn ja wie?

Surfy

Das ist die Lösung...

"mmc" - SnapIn "defaultDomaincontrollerpolicy" - Computerkonfiguration -Windowseinstellungen - Sicherheitseinstellungen - lokale Richtlinien - Zuweisen von Benutzerrechten- Anmeldung über Terminaldienste zulassen (für die Gruppen Terminalserverbenutzer und Remotedesktopbenutzer)

Hui, da bin ich ja mal richtig glücklich :) :D

Ein riesiges Dankeschön an alle Helfer ;)

Denkt jetzt blos nicht, das ich damit zufrieden bin *grins*

Da kommen noch viele Fragen ^^

Surfy

Update:

Der Server ist neu Installiert, keine Fehlermeldungen, TS ist aktiviert :) Habe mich an "User7070" reihenfolge gehalten.

Jetzt geht es noch darum, den TS sauber einzurichten:

Gemacht habe ich

"mmc" - SnapIn "defaultDomaincontrollerpolicy" - Computerkonfiguration - Administrative Volagen - Windows Komponenten - Terminaldienste - Remoteverbindung für TS zulassen

und

"mmc" - SnapIn "defaultDomaincontrollerpolicy" - Computerkonfiguration -Windowseinstellungen - Sicherheitseinstellungen - lokale Richtlinien - Zuweisen von Benutzerrechten- Remotedesktopuser bei lokal Anmelden hinzugefügt

Fazit ist leider noch immer, dass sich User, die in der Gruppe "Remotedesktopbenutzer" nicht anmelden können...

Habt ihr mir dazu noch einen Tipp? Diesmal möchte ich nicht wieder alle Tipps die hier im Forum herumschwirren ausprobieren, nicht das ich nochmal neu Installieren muss...

Aus Fehlern lernt man, ich dokumentiere inzwischen alle am System gemachten änderungen, in der obenstehenden Form *grins*

Surfy

EDIT:

Habe noch folgendes Eingetragen, ohne Auswirkungen:

"mmc" - SnapIn "defaultDomaincontrollerpolicy" - Computerkonfiguration -Windowseinstellungen - Sicherheitseinstellungen - lokale Richtlinien - Zuweisen von Benutzerrechten- Anmeldung über Terminaldienste zulassen (für die Gruppen Terminalserverbenutzer und Remotedesktopbenutzer)

Habe ausversehen nach der Neuinstallation des Servers, bei der erneuten akivierung der OL TS CALs im Onlinesystem "per Device" und nicht "Pro User" gewählt, und damit meinen TS Lizenzserver gefütter :(

Kann ich das noch umstellen, oder nochmal Format C: ?

*hoff*

Surfy

Blub danke dir! Links sind hochwillkommen, will das ganze ja auch einigermassen beherrschen können.

Surfy ;)

Ich danke euch für die vielen Tipps!

@User7070: genau das hab ich gesucht, thx!

@Blub: wie sollte ich am besten vorgehen, bzw wie genau?

Surfy

Original geschrieben von Hacko

ich würde mal sagen, setz als 1. mal das AD auf, mit AD-integriertem DNS, dannn die office installation.

wenn das gemacht ist, sag bescheid, dann gehn wir weiter

Danke Dir das Du dich meiner Annimmst :)

Beim Win 2000 Server wurde einem dringend vor einer integrierten, bzw automatischen Installation von AD mit DNS & DHCP abgeraten..

Hat sich das beim W2K3 Server so verändert?

Bei meiner vorherigen Installation fingen die Probleme erst beim TS an, eine andere Fehlermeldung die ich immer im Errorlog hatte kam von einem unzertifizierten Druckertreiber...

Surfy

Hallo zusammen

Nachdem ich bei der Serverinstallation so einiges verbockt habe, habe ich mich dazu durchgerungen, das System neu zu Installieren...

Ein bisschen habe ich ja schon dazugelernt, ich hoffe ihr könnt mir helfen ein paar Fehler erneut einzubauen....

Ziel:

Server 2003, einzelner Domaincontroller, Terminalserver

3 bisw 4 User sollen sich via TS einloggen und arbeiten können, ohne Adminrechte zu haben. Sie brauchen auch nicht in der Domain zu sein...

Die restlichen feinheiten mit IIS, DNS, DHCP kriege ich allein in den Griff.

Die einzelnen Schritte:

- Installation Server 2003

- Installation Office & Tools

- via DCPromo zum DC machen

- DNS & DHCP manuell nachinstallieren & einrichten

- TS Dienste nachinstallieren

- TS und lizenzen bei M$ aktivieren

Soweit so gut..

Wie sollte ich nun am besten vorgehen, damit ich nicht wieder die Rechte durcheinander bringe? Was mus ich tun, damit auch nicht Admins sich via TS einloggen können?

Bitte antwortet detailliert, nicht das ich wieder die Berechtigungen am falschen Ort setze.

Wo muss ich rein, Gruppenrichtlinien vom Lokaler Computer, oder Default Domain Policy oder Default Domain Controllers Policy

Am besten erstelle ich dann ja eine Gruppe z.B. TSusers, damit ich deren Rechte feintunen kann. Muss die Gruppe vom Typ Sicherheit oder Verteilung sein?

Ich hoffe ihr habt mir dazu ein paar detaillierte Tipps, vielleicht ja auch Links

Ich hoffe ich bringe euch nicht zum Verzeifeln :( aber hier im Forum gibt es mehrere Tipps wie man einzelne meiner Fragen beantworten könnte, und die befolgung dieser hat zu einem ziemlich verkonfigurierten Sytem geführt..

Surfy

Danke Mick, es bleibt zum Glück diesselbe Maschine, und die Lizenzen sind auch io ausgestellt, bwz von mir ausgefüllt worden..

Auch nochmal danke für deinen Tip bez. der "Server 2003: Fehler 0x4b8 / 1202 Event alle 5 minuten", hatte ihn gestern Abend noch wegbekommen, indem ich global die Regeln bez. Treiberverwendung gesetzt hatte.

Das einzige was jetzt noch immer auf dem Magen liegt ist, das sich keine User am TS Anmelden können *grummel*

Seitdem ich das hier gemacht habe

Original geschrieben von Surfy

Remotedesktop Unterstützung ist aktiviert, und

 

"mmc" - SnapIn "defaultDomainpolicy" - Computerkonfiguration - Administrative Volagen - Windows Komponenten - Terminaldienste - Remoteverbindung für TS zulassen

Surfy

Und auch noch die lokale richtlinie diesbezüglich eingestellt habe, kann sich nicht mal mehr der Admin via TS einloggen *sniff*

Surfy

In der lokalen Richtlinie hab ichs auch noch eingetragen.. Fehlanzeige...

Wegen einer lokalen........ keine Anmeldung möglich *sniff*

Surfy

Und schon wieder quäle ich mich mit etwas:

Ein angelegter Benutzer kann sich noch immer nicht via TS Anmelden..

Remotedesktop Unterstützung ist aktiviert, und

"mmc" - SnapIn "defaultDomainpolicy" - Computerkonfiguration - Administrative Volagen - Windows Komponenten - Terminaldienste - Remoteverbindung für TS zulassen

ist aktiviert... Hab ich noch etwas übersehen?

Surfy

So, nach einem Neustart hat es endlich geklappt :)

Die Kennwortrichtlinien sind geändert & die änderungen greifen :D

Danke Dir!

Das Problem mit:

_______________

Die Konfiguration der Kerberos-Richtlinien wurde erfolgreich abgeschlossen.

Konfigurieren von machine\software\microsoft\driver signing\policy.

Der Wiederherstellungswert für die nicht definierte Gruppenrichtlinieneinstellung <machine\software\microsoft\driver signing\policy> wurde nicht erfolgreich zurückgesetzt (1627). Der Wiederherstellungswert wurde nicht entfernt.

Fehler 1627: Beim Ausführen der Funktion ist ein Fehler aufgetreten.

Fehler beim Konfigurieren von machine\software\microsoft\driver signing\policy.

______________

Ist trotz deaktivierter zwingender Treibersignierung, und trotz deaktivierten Kernelmodedruckertreiber nicht wegzubekommen :( Ich war sogar so mutig, den angegebenen Regkey zu löschen, ohne erfolg :mad:

Any ideas, oder schreit das nach Format c:\ ???

__________________

Edit: es hat geklappt, hat nur ne weile gedauert :) :) :)

Danke Dir ;)

Original geschrieben von grizzly999

Die Einstellung ist schon mal an der richtigen Stelle.

 

Hast du mehr als einen DC? Dann muss auch noch repliziert werden.

Was ist die minimale Kennwortlänge, spricht die noch dagegen?

 

grizzly999

Nein, die Kennwortlänge ist auf 0 gesetzt...

Im Netzwerk stehen mehrere Server, aber für meine 2003 gehversuche habe ich einen neuen Server genommen, und den zum DC einer neuen Domain gemacht, und zum TS...

Den Zugriff auf den TS teste ich via Webclient von PCs aus, die in keiner, oder einer anderen Domain sind..

Auch die alle 5 min wiederholende Meldung, müsste ich ja wegbekommen, wenn die Sicherheitsrichtlinie bez. des alten Druckertreibers entsprechend eingestellt ist, aber fehlanzeige :(

Surfy

Wenns keiner weiss, werde ich das wohl austesten (müssen) und euch hier dann berichten ;)

Bez der Richtlinien stehe ich nun total im Schilf :(

Wenn ich Dich vorher richtig Verstanden habe, kann ich z.B. die Kennwortrichtlinen & Komplexität für die Domain so einstellen:

mmc, Snapin "Default Domain Policy"

Dort unter Computerkonfiguration, Windowseinstellungen, Kontorichtlinien...

Dort steht nun in Sachen komplexität "deaktiviert"

Trotz Neustart kann ich jedoch keinen User ohne Passwort, bzw kurzem Passwort anlegen...

Surfy :(

Danke Dir, bist mein Retter!

Mal eine Frage am rande... Wenn ich das System dann mal so verkonfiguriert habe, bzw genug geübt habe, und ich das ganze neu Aufsetzten muss, bekomme ich Probleme dabei, den TS Server erneut zu aktivieren?

Oder kann ich die (ausgedruckten) Lizenznummern bei der erneut verwenden?

Muss ich dabei etwas beachten?

Danke Dir, Surfy

Server 2003 DC, TS

Langsam aber sicher komme ich etwas mehr in die Server 2003 Materie herein, dank der vielen Links die man hier im Forum findet.

Aber etwas verwirrt mich das ganze auch noch :(

Ich würde gerne einrichten, das auf dem Server global ausgeschaltet wird, das Kernelmodus Druckertreiber nicht verwendet werden dürfen

Mache ich das nun via MMC Snap in "Richtlinien für lokalen Computer" oder via "Default Domaincontroller Policy"? Oder noch anders?

Ich denke wenn ich Begriffen habe wo ich umstellen muss, bekomme ich meine Probleme in den Griff.

Mein anderes Problem ist, das ich nicht weiss, wo ich einstellen kann, das sich ein User via TS Anmelden kann.

Ich hoffe jemand kann mir sagen wo ich ansetzten soll :(

Surfy

Wenns n normaler PC ist, würde ich den Versuch mit einer anderen Netzwerkkarte wagen...

Vielleicht hat hier ja auch noch jemand anderes einen Tipp?!

Surfy

Original geschrieben von Dr.Melzer

Ist lokales Anmelden an einen Domaincontroller für die Benutzer erlaubt?

ähm, damit bin ich schon etwas überfodert :(

Muss ich das via gpedit.msc editieren?

Surfy

Hui, W2K3 bietet ja einiges neues an, was die Logs angeht.

In dieser Datei finde ich folgendes

c:\windows\security\logs\winlogon.log

Alle 5 Minuten finde ich das in meinen Logs

______________________

----Sicherheitsrichtlinien werden konfiguriert...

Konfigurieren der Kennwortinformationen.

Konfigurieren der Informationen der erzwungenen Abmeldung.

Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.

Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.

Die Konfiguration der Kerberos-Richtlinien wurde erfolgreich abgeschlossen.

Konfigurieren von machine\software\microsoft\driver signing\policy.

Der Wiederherstellungswert für die nicht definierte Gruppenrichtlinieneinstellung <machine\software\microsoft\driver signing\policy> wurde nicht erfolgreich zurückgesetzt (1627). Der Wiederherstellungswert wurde nicht entfernt.

Fehler 1627: Beim Ausführen der Funktion ist ein Fehler aufgetreten.

Fehler beim Konfigurieren von machine\software\microsoft\driver signing\policy.

Konfigurieren von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.

Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.

Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.

Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.

Konfigurieren von machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity.

Konfiguration der Registrierungswerte wurde mit einem oder mehreren Fehlern abgeschlossen.

____________________

Ich hoffe das hilft jemandem von euch auf die Sprünge :) Ich bin selber mit dem neuen Server leider noch etwas überfordert :(

Surfy

Original geschrieben von kaepteniglo

nur mal so ne vermutung:

 

manchmal ist das zeichen für netzwerk am server für ne millisekunde weg -> steht da kein netz -> dann sofort wieder "verbunden mit 100 MBit/s"

 

kann das daran liegen? wenn ja, wie kann man das verhindern?

Uii, das könnte an mehreren Sachen liegen.. Erstmal Verkabelung gegenchecken, und Switches (weil das noch easy ist).. Falls das Problem noch besteht, dann würde ich mal die neuesten Treiber für die Netzwerkkarte einspielen, und als nächstes dann über eine andere Netzwerkkarte nachdenken (testhalber)..

Aber das genaue vorgehen entscheidet sich schon danach was es für ein Server ist..

Surfy

Was für Berechtigungen sind denn auf den Netzlaufwerk bzw auf den betreffenden Excelfiles gesetzt?

Passiert es bei allen Files, Wordfiles auch?

Hallo zusammen

Bevor ich aus dem Server einen DC gemacht habe, konnten sich auch ein normaler Testuser ohne Adminrechte via TS einloggen.

Seitdem ich daraus einen DC gemacht habe, schlägt dieses jedoch fehl...

"Verstoss gegen die Kontenrichtlinie"

Auch ein neu angelegter Domainuser kann nicht connecten, obwohl im Profil TS `Zugriffe eingeschaltet sind.

Der TS Server ist aktiviert & registriert und mit Lizenzen bestückt.

Vielleicht hängt das ganze ja hiermit zusammen, aber ich vermute nicht :(

http://www.mcseboard.de/showthread.php?s=&threadid=30168

Ich hoffe ihr wisst Rat :(

Hoffentlich muss ich nicht die ganze Sache nochmal von vorne Beginnen...

Surfy

Jetzt habe ich mir anscheinend doch ein ernsthaftes Problem eingefangen...

Alle 5 min erhalte ich einen Eintrag im Anwendungseventlog.

Das ganze passiert seitdem ich den Terminalserver lizenziert & aktiviert habe, soweit ich das ganze überblicke.

Installations History:

Ich habe zuerst den Server & einige Tools installiert, dann einen DC daraus erstellt, dann manuell DNS und DHCP installiert.

Danach habe ich die Richtlinie bez. alter NT Kerneltreiber aufgehoben, und das wars auch schon. Gut ich habe 2 Benutzer angelegt, aber mehr habe ich nicht angestellt.

Es gibt zu der Fehlermeldung schon Threads, aber noch keinen für den 03 Server, ich hoffe ihr verzeiht mir, und wisst Rat :(

_____________________

Die Sicherheitsrichtlinien wurden mit Warnungen propagiert. 0x4b8 : Ein erweiterter Fehler ist aufgetreten.

Weitere Hilfe zu diesem Problem finden Sie unter http://support.microsoft.com. Suchen Sie dort in der englischen Knowledge Base nach "troubleshooting 1202 events".

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

_____________________

Surfy