meikomeko

Das mit dem Export am Client scheint nicht zu funktionieren.

Sicherheitstechnisch mag das unsinnig sein, aber gibt es vielleicht dennoch die Möglichkeit,

das Zertifikat auf dem Server zu exportieren und dem User dann zukommen zu lassen?

Gruss,

Frank

Hallo,

ich habe ein Problem mit dem Export eines Benutzerzertifikats.

Das Zertifikat wurde von einer Windows CA erteilt. Es ist vom Typ User und es ist gültig.

Der User sagt, wenn er certmgr.msc aufruft und versucht, das Zertifikat zu exportieren, wäre die Option, den privaten Schlüssel zu exportieren, ausgegraut.

Mit anderen Zertifikaten desselben Typs habe ich keine Probleme.

Hat jemand eine Idee?

Danke,

Frank

Falls Du auf eine der wenigen Ausnahmen unter HKCU gestossen bist und du die Änderung nur einmal machen musst, hätte ich noch eine Idee.

Nicht elegant, etwas riskant, aber geht.

- du erstellst ein Startup Script, das die Gruppe DOMAIN USERS in die Gruppe der lokalen Administratoren (evtl. reicht ja auch Hauptbenutzer) schiebt

Das Script schreibt nach %windir%\temp ein File grpadded.txt.

- per Logon Script änderst du die Werte in HKCU, schreibst ein File done.txt nach %windir% und erzwingst einen Neustart (psshutdown, o.ä. Tool), damit die User nicht ewig mit erhöhten Rechten arbeiten.

Unten die Scripts. Hab das vor einiger Zeit selber machen müssen, weil sich unser Jinitiator nicht per Startup Script installieren lassen wollte. Sind leider nicht die Original Scripts (also bitte nochmal checken) und schaut alles etwas wüst aus, aber so ungefähr lief das.

Grüsse,

Frank

StartupScript:

if not exist %windir%\grpadded.txt cscript \\DeinPfad\GroupAdd.vbs

echo. >%windir%\grpadded.txt

if exist %windir%\done.txt cscript GroupRemove.vbs

del /y %windir%\done.txt (wenn´s sein muss)

GroupAdd.vbs:

Dim DomainName

Dim UserAccount

Set net = WScript.CreateObject("WScript.Network")

local = net.ComputerName

DomainName = "DEINE_DOMÄNE"

UserAccount = "Domain Users"

set group = GetObject("WinNT://"& local &"/Administratoren")

on error resume next

group.Add "WinNT://"& DomainName &"/"& UserAccount &""

GroupRemove.vbs:

Dim DomainName

Dim UserAccount

Set net = WScript.CreateObject("WScript.Network")

local = net.ComputerName

DomainName = "DEINE_DOMÄNE"

UserAccount = "Domain Users"

set group = GetObject("WinNT://"& local &"/Administratoren")

on error resume next

group.Remove "WinNT://"& DomainName &"/"& UserAccount &""

Wenn´s in CURRENT USER sein soll, reicht ein Login Script und wenn Du die ADM Files nicht schreiben willst, würde ich es mit REG ADD HKCU\Schlüssel... im Login Script mal versuchen.

Hallo,

ich versuche gerade einige Office 2000 Hot Fixes per Startup Script zu installieren.

Zuerst habe ich es mit folgendem Aufruf im Script versucht:

office2000-kb905553-fullfile-deu.exe /q:a

Die Dateien werden entpackt, jedoch nicht installiert. Logfile fand ich keines.

Damit ich den Vorgang loggen kann, habe ich die "office2000-kb905553-fullfile-deu.exe" entpackt

und wollte den darin enthaltenen Patch (WINWORDff.msp) mit folgendem Aufruf installieren:

msiexec /update WINWORDff.msp /qn /l* Logfile.txt

Installiert wird wieder nichts. Im Logfile finde ich jedoch:

MSI (s) (1C:98) [15:37:05:266]: Produkt: Microsoft Office 2000 SR-1 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 SR-1 Premium" gefunden. Die Installation kann nicht fortgesetzt werden.

Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 SR-1 Premium" gefunden. Die Installation kann nicht fortgesetzt werden.

Keine gültige Quelle gefunden stimmt nicht so ganz, denn wenn ich

office2000-kb905553-fullfile-deu.exe /q:a

oder

msiexec /update WINWORDff.msp /qn /l* Logfile.txt

lokal ausführe klappt alles wunderbar.

Jemand ne Idee?

Grüsse,

Frank

Hab mich zitternd getraut und (fast) alles hat wunderbar funktioniert. :D

Der Server ist verschwunden, nur repadmin /showreps zeigt ihn mir noch an.

CN=Configuration,DC=domain,DC=com

Standort1\Server1 via RPC

objectGuid: c0d990c6-8a64-4cae-afba-119682cdb0db

Last attempt @ 2006-02-09 14:04.33 was successful.

Standort1\Server2 (der gelöschte)

DEL:000d4d2b-24f9-469b-abc2-d0b65d761450 (deleted DSA) via RPC

objectGuid: bd6d2f3f-8e76-42ed-9af5-ead4ba5d08f2

Warte noch einige Replikationszyklen, bis ich mir sorgen mache.

Vielen Dank für Euer Mitgefühl!

Frank

Hi,

ich bin hier in einer Domäne mit vier Standorten, acht DC´s.

In einem anderen Standort wurde ein DC verschrottet ohne ihn vorher herabzustufen.

Dummerweise ist der verschrottete DC aber als Replikationspartner für unseren DC eingetragen.

In "Active Directory Sites and Services" ... "NTDS Settings" finde ich ihn eingetragen und zwar als "automatically generated".

Als zweiter Replikationspartner ist noch ein anderer DC eingetragen (auch "automatically generated"), der erreichbar ist und wir somit keine Schwierigkeiten mit der Replikation haben.

Würde jetzt gerne den verschrotteten DC manuell entfernen.

Wie´s geht hab ich hier gefunden, nur trau ich mich nicht so recht:

http://support.microsoft.com/kb/216498/de

Hat da jemand schon Erfahrungen sammeln können und hat vielleicht noch einen Tip auf was ich sonst noch achten müsste?

Gruss und Danke,

Frank

jou, hab´ alle Varianten nochmal durchprobiert.

"Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"

bringt den Erfolg. Da wäre ich nie draufgekommen.

Nochmal Danke an alle.

Frank

"Maximale Wartezeit für Gruppenrichtlinienscripts" habe ich auf "0" gesetzt.

Die Scripts laufen tadellos durch, aber der Benutzer kann sich trotzdem anmelden, bevor die Scripts abgearbeitet sind.

"Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"

und

"Anmeldescripts gleichzeitig ausführen"

habe ich eben auch noch mal getestet. So hat´s dann auch wunderbar geklappt!

Kann jetzt nur nicht sagen, welche Einstellung es letztendlich war. Melde mich nochmal.

Vielen Dank und schönen Feierabend!

Frank

Habe jetzt nochmal das Skript abgeändert und

msiexec /i....

durch

start /wait msiexec /i....

ersetzt. Bringt leider auch nichts.

Ja, habe ich versucht.

Ändert aber leider nichts.

Danke!

Hallo,

ich habe ein Startskript gebastelt, das mittels msiexec Software deinstalliert und installiert. Verteilt wird es über eine Richtlinie auf die Computer Configuration.

Funktioniert soweit auch ganz gut. Ein Problem habe ich nur mit der unterschiedlichen Ausführung auf W2k- und XP-Clients.

Unter W2k sehe ich beim Starten die Meldung "Startskripts werden ausgeführt".

Der Anmeldebildschirm erscheint erst, wenn die Software installiert, was ich auch sinnvoll finde.

Unter XP bekomme ich aber die Meldung "Startskripts werden ausgeführt" nicht zu sehen. Der Benuter kann sich dann anmelden und im Hintergrund wird die Installation noch ausgeführt. Irgendwie unschick.

Kennt jemand eine Möglichkeit, XP das abzugewöhnen?

Grüsse,

Frank

Hi,

danke für die vielen Antworten!

@fusselbirne

Antispy oder ähnliches war nicht installiert.

@PAT

Ist ein Fujitus-Siemens Notebook mit ner OEM-Version, die bereits aktiviert war und auch über ein Jahr problemlos lief.

Das Problem war, dass schon mal gar kein Aktivierungsfenster erschien. Ich dem guten Menschen von MS also auch keine ID hätte geben können. So wie´s aussieht hat das BIOS des Rechners ne Macke. Meldung im BIOS Log:

POST Error: NVRAM Recoverd (Header Information)

POST Memory Resized

Scheinbar hat XP das als neue Hardware gedeutet und wollte neu aktiviert werden.

Warum der Aktivierungs-Screen dann nicht erschien wird wohl ein Rätsel bleiben.

Habe ne Reparaturinstallation durchgeführt. Danach erschien der Dialog zur Aktivierung auch prompt und liess sich nach zwei Versuchen im Activation Center auch wieder freischalten.

Grüsse,

Frank

Danke für den Tipp!

Ist das ein bekanntes Problem, von dem ich mal wieder nix weiss?

Frank

Hallo,

habe hier ein Notebook (XP SP1), das plötzlich eine neue Produktaktivierung fordert.

Der Rechner läuft tadellos bis zum Anmeldebildschirm.

Nach dem Anmelden erscheint ein Hinweis, dass eine Produktaktivierung nötig sei. Bestätige ich mit "Ja" folgt eine Meldung, die besagt, dass Windows schon aktiviert wäre und der Anmeldebildschirm erscheint wieder.

Bestätige ich mit "Nein" kommt auch nur wieder der Anmeldebildschirm. Also keine Chance, sich anzumelden.

Im abgesicherten Modus kann ich mich anmelden. Allerdings ist hier keine Prokuktaktivierung möglich.

Grüsse,

Frank

Ja, stimmt.

ID 6008 ist zu sehen, aber weder Vorher noch Nachher eine Warnung, oder ein Fehler. Nichts, was auf eine Störung hinweist.

Ich weiß nicht, wo ich ansetzen soll?

grüsse,

frank

Hallo,

auf einem W2k3 Server (DC) mit Exch2k3 liefen die Sicherung des Systemstatus, sowie die Exchange Online Sicherung nicht. Beschrieben ist das Problem hier:

http://support.microsoft.com/default.aspx?scid=kb;en-us;555136

Nach der Installation des SP1 für W2k3 war das Problem behoben, leider blieb der Server alle ein bis zwei Tage stehen. Keinerlei Fehlermeldungen im Ereignisprotokoll, einfach nur Stillstand.

SP1 wieder deinstalliert und der Server läuft seit einer Woche wieder tadellos.

Das leidige Problem mit NTBackup ist allerdings auch wieder da.

Konnte bisher nicht viel Info über Probleme mit dem SP1 (ausser bei SBS) finden.

Hat jemand ne Idee?

Grüsse,

Frank

Hallo,

wir haben in einer Windows 2000 Domäne die Zertifikatsdienste auf einem Windows 2003 Server installiert.

Die Zertifikate sollen nur zur digitalen Signatur von Office Dokumenten und PDF Dateien verwendet werden.

Mein Problem ist jetzt, dass gesperrte Zertifikate in Office 2003 Dokumenten nicht als gesperrt gekennzeichnet werden.

Getestet habe ich das folgendermaßen:

- ein Word Dokument unter Office 2003, Service Pack1 digital signiert.

- ein PDF Dokument mit Acrobat Writer signiert.

- anschließend habe ich das Zertifikat gesperrt.

- im PDF Dokument wird die Signatur jetzt als ungültig angezeigt.

- im Word Dokument wird die Signatur allerdings immer noch als gültig angezeigt.

- wenn ich das Zertifikat exportiere und mit "certutil -verify zertifikat.cer" prüfe wird es als "revoked" erkannt:

Das Zertifikat wurde gesperrt. 0x80092010 (-2146885616)

------------------------------------

Certificate is REVOKED

Leaf certificate is REVOKED (Reason=6)

CertUtil: -verify command completed successfully.

Ist das ein Bug in Office, oder mache ich da etwas verkehrt?

grüsse,

frank

Hi,

wenn Du es mit einem Script lösen willst, dann würde ich es mit "cacls.exe" versuchen.

Folgende Zeile sollte SYSTEM und lokaler Admin-Gruppe Vollzugriff gewähren. Der Benutzer darf nur lesen und ausführen.

echo J|cacls c:\programme\proggi /p administratoren:f system:f Domänenname\Username:r

grüsse,

meikomeko

Hallo,

um digitale Signaturen erstellen zu können habe ich testweise auf einem W2k3 Server die Zertifikatsdienste erstellt.

Unsere DC laufen unter W2k.

Da das unter W2k3 nicht so lief, wie ich mir das vorstellte, habe ich den Zertifikatsdienst wieder deinstalliert, um es unter W2k zu versuchen.

Jetzt hängt allerdings die CA im AD und ich weiß nicht, wie ich die löschen kann. Die unter http://support.microsoft.com/default.aspx?scid=kb;en-us;555151 beschriebene Variante anzuwenden habe ich mich getraut.

Kennt jemand eine weniger grausame Möglichkeit, bzw. ist es möglich, die schon existierende CA weiter zu verwenden?

Grüße,

meikomeko

Hallo Zusammen,

mir fällt die "dankbare" Aufgabe zu, einigen Benutzern hinterherschnüffeln zu dürfen.

Ergebnis sollen die besuchten Websites und die ungefähre Dauer des Besuches sein.

Kennt jemand ein Tool, das die Netzwerkverbindungen oder gar den Browser dahingehend überwacht?

Grüße,

Frank

Vielen Dank!

Da bringt der Nikolaus bestimmt was schönes :-)

Grüße,

Frank

Hi,

der Relay Agent scheint mir die vernünftigere Lösung zu sein.

Nachdem hier nur vom Allerfeinsten verbaut wurde, wird die Trennung der Netze sich wohl auch irgendwie bewerkstelligen lassen.

Vielen dank für Deine Geduld und Deine Hilfe!

Grüße,

Frank

Wieder was dazu gelernt.

Vielen Dank dafür grizzly999!

Könnte es mit einem DHCP-Relay-Agenten funktionieren?

--> http://support.microsoft.com/defaul...Product=win2000

Grüße,

Frank

Ich muss zu meiner Schande gestehen, dass ich von Rogue-Server-Detection heute zum erstenmal höre.

Schön, dass es so etwas gibt.

Vielen Dank für den Hinweis!

Was meinst Du mit 'mit Reservierungen arbeiten'?

Alle MAC-Adressen der Clients (fast 200) eintragen und für den jeweiligen Bereich reservieren lassen? Hilfe!

Grüße,

Frank