kaineanung

@NorbertFe Da irrst du dich ausnahmsweise. Ich habe das durchaus gelesen und auch, ausnahmsweise, gleich verstanden ;) Ich möchte jetzt die Komplexitätsregel, von der Vorgabe um einiges entschärft, eben die MINDESTKOMPLEXITÄT, definieren. Sagen wir einfach mal 'nur': mindestens 1 Groß- als auch mindestens 1 Kleinbuchstabe. Da kann man ja noch weiter drann feilen. Ich weiß aber nicht mehr wo ich die Komplexitätsregel definieren kann..... Daß es nicht geht mehrere Regeln "ODER zu verknüpfen", habe ich aber verstanden.

@daabm Genau das sehe ich auch so. Wenn ich mir unsicher bin, und bevor ich was falsch mache, frage ich in den dazugehörigen Foren einmal nach. Dann probiere ich es aus und meistens behalte ich das Wissen ja dann auch. Beim nächsten mal kann es nur noch passieren das es zwischenzeitlich 3 neue Generationen an DCs gibt (aktuelles Beispiel bei uns: W2K3 ist was wir haben und was ist aktuell? 2012?) @all Ich habe es jetzt gut umgesetzt und Mindestpasswortlänge, Passwortchronik und Maximales Kennwortalter gesetzt. Jetzt sollte ich 'nur' noch die Komplexität einschalten. Bevor ich es aber einschalten kann muss ich diese ja definieren. Ich dachte mir: ich schalte mal ein und dann kommt schon der Hinweis irgendwo wo ich diese Richtlinie erstellen kann. Ich habe Pech gehabt -> steht nirgends und ich kann es nicht wirklich selber finden (natürlich habe ich es versucht zu finden). Daher noch eine letzte Bitte zu diesem Thema: Wo definiere ich diese Komplexitätsregel? Im Group-Plicy-Management nicht da ich ja keine neue Regel erstellen will und nu für diverse OU zuweisen will sondern in der Defaul Domain Policy. Aber wo hoffe ich von euch zu erfahren. Vielen Dank für die bisherige als auch zukünftige Hilfe! (so oft nerve ich euch ja nicht und somit hoffentlich noch im 'grünen Bereich'....)

@NorbertFe Ich würde auch gerne 'professionell' mit GPOs, neuem Server, am besten auch mit einer Testumgebung wo ich mich austoben kann, arbeiten. Ich bin sicher in kurzer Zeit würde ich viel verbessern können und es auch 'richtig' machen können. Aber was soll ich tun wenn ich eben da arbeite wo ich arbeite und die hier alles mit einem Handwink 'abtun' wenn ich was vorschlage? Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!? Die würden mir neue Turnschuhe bereitstellen damit ich meine Arbeit erledigen kann..... Das ist zwar als Spaß gemeint, aber irgendwie in die Richtung geht das schon.... Auch ein "Argument" welches ich mir ab und zu anhören muss: Der professionelle Administrator (MSDE, MCSE usw.) würde erklären können warum etwas nicht geht, der 'Turnschuhadministrator' (also damit meint er uns hier) würde nicht erklären können warum etwas geht, aber es geht... So, nun genug von meinem Leid, immerhin bekomme ich ja jeden Monat etwas (Schmerzens-)Geld für all das und ich muss nicht hungern.. ) Ich habe den Gruppenrichtlinien-Editor im GPO-Management geöffnet (Domain-Controllers->Default-Domain-Policy) und sehe das was ich sehen sollte (denke ich): Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien. Da habe ich dann die Mindespasswortlänge eingestellt, höchstes Kennwortalter (90 Tage) und werde die Kennwortchronik auf eventuell 5 Stellen (das würde ja dann bedeuten daß das erste Passwort erst nach 5 x 90 Tagen wieder verwendet werden darf). So weit so richtig, richtig? Wenn ich so weitermache muss ich mir einen neuen Nick asudenken: nureinkleinweniganung statt kaineanung oder so... ;)

Ist es das Group-Polcy Management? Da muss ich ein 'neues Gruppenrichtlinienobjekt erstellen und verknüpfen', richtig? Ist es da nicht einfacher wie o.g. vorzugehen? Ich werde es mir aber mal anschauen. Nur mal angenommen ich würde mich für die erstere Variante entscheiden (wirklich nur mal angenommen, sozusagen als sicheres alternatives Vorgehen falls ich mit GPO-Management nicht klarkommen würde), dann wäre das der o.g. Pfad zu den Kennwortrichtlinien?

Nur um nochmals sicher zu gehen die Frage vom Eingangpost: Ich mache das ja so selten (bzw. einmal während der Ausbildungszeit vor Zig-Jahren in einer Testumgebung) und daher frage ich lieber sicherheitshalber bei den Profis nach. Es gibt ja auch den Punkt 'Sicherheitsrichtlinien für Domaincontroller' statt 'Sicherheitsrichtlinien für Domänen'. Das ist sicherlich dann nur eine lokale Sicherheitsrichtlinie aber ich will lieber sichergehen. Aber lokal würde auch die 'Lokalen Richtlinien' statt der 'Kontorichtlinien' bedeuten. @NorbertFe Ja, das sehe ich genauso. Wenn es nach mir gehen würde hätten wir schon seit mindestens 4 Jahren einen Server 2008 schon alleine weil man die Clients damit mit den GPOs viel besser steuern könnte

@blub Unser Geschäftsleiter, der halbwegs gut IT-technisch bewandert ist, kam mit diesem Ruleset und hat es so vorgegeben bzw. nachgefragt ob dies so möglich sei? Bisher hatten wir mindestlänge von 5 Zeichen und zwar dabei egal welche Zeichen (also z.B. auch nur 5 Kleinbuchstaben). Jetzt wurde der eMailaccount vom geschäftsführenden Gesellschafter gehackt und erst jetzt rennen alle wie im aufgescheuchten Hühnerstall herum und wollen alles verbessern... Nun ja, besser spät als nie. Aber wir können unseren Kollegen und Kolleginen keine 16 Zeichen zumuten welche die sich merken müssen, zumal es ja alle 90 Tage gewechselt werden muss (stelle ich in den Kennwortrichtlinien dann so ein) und eine gewisse komplexität haben muss (Aa1! und das mit einer mindeslänge von sagen wir einmal 8 Zeichen). Das gleiche Spiel dann auch mit all unseren anderen Systemen wie ERP, eMail, usw.. @NorbertFe Ok, dann ohne Testen die Richtlinien eingeben und scharf stellen. Man kann ja, beim ersten Anzeichen einer Fehlfunktion es zentral und domänenweit deaktivieren in genau dieser einen Kennwortrichtlinie... Ist die von mir o.g. Stelle, an welcher die Kennwortrichtlinie geändert werden muss, denn auch richtig? Blöde Frage wenn es eh nur eine Richtlinie auf dem Server 2003 gibt, aber dennoch (könnte ja sein das damit was anderes gemeint ist?).

Ok, und kann man das irgendwie testen bevor man es dann für die ganze Firma aktiviert? @Murdox Nein, es geht um den Ars.. meines Teamleiters der genauso 'sparsam' denkt. Wenn es um die Ohren fliegt dann kann ich ja mit dem bösen Finger zeigen und sagen: ich habe es doch gesagt... ;)

@NorbertFe Wenn das gar nicht geht dann wird dieser Teil eben ausgelassen. Sprich: wir beschränken uns auf das min. 8-Stellige Kennwort mit erzwungener Groß- und Kleinschreibung, eine Zahl muss vorkommen und ein Sonderzeichen. Dennoch würde ich es gerne vorher testen und da suche ich noch eine Vorgehensweise. Ich würde auch gerne wissen bzw. es nur noch einmal bestätigt wissen das ich auch an der richtigen Stelle die Kennwortrichtlinien setze. Die von mir oben genannte Stelle ist ja die Richtige, richtig? @testperson Ich bin nicht der Chef und nicht der Inhaber dieser Firma. Ich habe einen Server 2008 schon vor mindestens 5 Jahren auf die Investitionen gesetzt und das dann auch wieder jedes Jahr so wiederholt. Aber in einem schwäbischen Unternehmen ist das nunmal so: wenn es funktioniert dann 'rüttelt' man nicht mehr daran ;) Da investiert man Geld lieber in Produktionsmaschinen oder die Verbesserung der Produkte. Wenn uns die IT um die Ohren fliegt dann ist die EDV eben schuld... :(

Hallo Leute, wir haben hier bisher keine Kennwortrichtlinien benutzt und wollen dies nun ändern. Ich habe den Auftrag bekommen dies vorab zu 'klären' und dann baldmöglichst umzusetzen. Wir benutzen einen Server 2003 bei welchem, nachdem ich kurz gegoogel hatte, es nur eine Kennworttrichtlinie geben kann und ich somit nicht mehrere anlegen kann. Mein Problem dabei sind die Vorgaben die ich dann so ja nicht umsetzen werden kann (wenn ich das richtig verstehe): Passwörter sollen so aufgebaut sein: bei min. 20 Zeichen -> beliebige Zeichen oder bei min. 15 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe vorkommen oder bei min.10 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe eine Zahl vorkommen oder bei min. 8 Zeichen -> muss Groß-, Kleinbuchstabe, Zahl und Sonderzeichen vorkommen So, das kann ich dann auf einem Server 2003 so nicht umsetzen. Habe ich das richtig verstanden? Das nächste Problem: Wie ist die Vorgehensweise? Ich würde es gerne testen bevor ich es aktiviere. Da die Passwortrichtlinie in der 'Default-Domain-Policy' stehen kann ich das ja nicht auf einen (Test-) User beschränken. Und nochmals um sicherzugehen: Ich bearbeite die Richtlinie auf dem DC-Server unter "Systemsteuerung->Verwaltung->Sicherheitsrichtlinie für Domänen" und dort unter "Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien", richtig? Das ist ja die 'Default Domain Policy' (Standard-domänensicherheitseinstellungen)? Schoneinmal vorab ein Dankeschön für eure Mühe.

Jetzt habe ich einfach etwas länger gegoogelt und finde immer wieder Beiträge die besagen das die Dinger in diesem Server funktionieren sollten. Der Eine Klagt über Performance-Probleme, der Andere über was anderes... aber das findet man sicherlich auch bei den HP-SSDs weil irgendwas schiefgleaufen ist in der Installation, Konfiguration etc.. Eine HCL zu diesem Server habt ihr nicht zufällig? P.S. die SSDs sind noch OVP und die Rechnung ist selbstverständlich noch da.

@zahni @mba Ich habe vorher bei HP nachgeschaut und der RAID-Controller ist kompatibel zu SATA. Welche SATA-Platte (Samsung oder von wem auch immer) drin steckt müsste in diesem Falle ja egal sein.

Hallo Leute, ich brauche eure Hilfe. Wir haben hier ein HP DL380 (G7?)-Server mit Windows Server 2008 R2 Standard auf einem RAID-5 SAS-HDD-Verbund. Jetzt haben wir die Aufgabe aufgetragen bekommen die SAS-Platten durch SSD-Platten zu ersetzen. Die SSD-Platten wurden bereits gekauft (3x Samsung 850 Pro 512 GB) und jetzt stellt sich die Frage: wie machen wir das am besten? In einem Dekstop würde ich mit Acronis ein Image machen, die eine Festplatte tauschen und dann recovern. Darf ich das hier genauso machen? Ich habe dahingehend auch bereits eine Anleitung die besagt ich müsse im BIOS unbedingt auf den AHCI-Modus wechseln. Dies entfällt bei uns da wir auf einem Hardware-RAID-Controller sind, richtig? Daher die Fragen: 1. Ignorieren wir diese Anleitung mit dem AHCI-Modus weil wir auf einem Hardware-Raid-Controller sind (ist wohl für einen Desktop-PC gedacht gewesen)? 2. Ist es möglich ein Image zu erstellen, SAS-Raid aufzulösen, SSD-Raid zu erstellen und dann mit Acronis das Image wieder zu recovern? 3. Wo müssen wir was machen um die SSD-spzifischen Dinge in Windows Server 2008 einzustellen wie z.B. keine Defragmentierung, TRIM-Funktion, Garbage collection, usw..? Hat da jemand Erfahrung? Kann uns jemand hier mal helfen? Danke schon einmal im Voraus für eure Mühe!

@Dunkelmann Würde ich auch immer bevorzugen. Das Problem, welches ich bereits 'angeschnitten' gehabt habe, ist daß mir keine Möglichkeit bleibt Windows neu zu installieren ausser die Recovery-Funktion zu benutzen. Diese partitioniert und formatiert jedoch die Festplatte so wie ursprünglich vom Hersteller festgelegt. Wenn da also GPT festgelegt wurde, dann habe ich keine Möglichkeit dies zu ändern mit einer (Recovery-) Neuinstallation. Dann müsste ich also eine neue Windows 8.1 Lizenz erwerben damit ich es installieren kann (Die Lizenz ist ja auch nicht mehr an das Gerät sichtbar draufgeklebt so daß man dann eventuell den Schlüssel verwendek könnte mit einer manuellen Windows-Installation). @Norbert Ich habe gelesen daß es BitLocker nur in den Enterprise und Ultimate-Versionen gibt. Stimmt das etwa nicht? Der Hauptgrund um nicht BitLocker einzusetzen ist unser Adminsitrator und die Geschäftsleitung. Da sind mir die Hände gebunden. Ich kenne nicht einmal den Grund warum sie sich dagegen sträuben. Es wird gemunkelt weil die Entscheidungsträger MS zutrauen Backdoors implementiert zu haben. Aber es wird viel gemunkelt in den Zigarettenpausen. Somit den letzten Satz einfach ignorieren....

Hallo Leute, ich habe da mal wieder ein Problem. Wir verschlüsseln unsere Aussendienst-Notebooks standardmäßig mit Truecrypt. Es werden ganze Partitionen verschlüsselt (also nicht Container sondern die gesamte Festplatte) und es wird die Pre-Boot-Authentification verwendet. So weit so gut. Jetzt haben wir neue Notebooks erhalten die statt des MBR eine GPT verwenden und Truecrypt unterstützt dies leider so nicht. Da die Notebooks vorinstalliert sind lediglich eine versteckte Partition zum recovern benutzen, kann ich beim installieren von Windows 8 nicht selber entscheiden was für Partitionen und welche Art ich verwenden möchte. (Eine Recovery-DVD erstellen kam mir auch in den Sinn, aber nutzt ja nichts weil diese die Festplatte ja wieder so 'bearbeitet' daß die versteckte Partition neu angelegt wird mit der Installationsquelle und die Partitionierung wieder selber vornimmt -> wieder am Anfang). Und bitte keine Vorschläge daß wir BitLocker verwenden sollen. Die Geschäftsleitung will den BitLocker nicht und wir haben ihn in unseren Windows-Versionen nicht da alles durchgehend Windows Professional ist und Bitlocker ja nur in Enterprise und Ultimate vorhanden ist. Am liebsten würden wir bei TC bleiben. Aber da müsste eine Lösung für das GPT/MBR-Problem her. Kann mir jemand sagen ob man und wenn ja, was man was man machen muss um die Platte wieder mit einem MBR auszustatten ohne Datenverlust zu erleiden? Der Eine oder Andere hat doch sicherlich auch schon die gleiche Problematik gehabt. Ich danke schon einmal im Voraus vielmals für eure Hilfe!

@Sunny61 Wenn die Clients scih einmal dann anmelden dann ist das ja ok. Aber wir haben hier in dem DHCP auch Notebooks unserer externen Kollegen die vielleicht erst wieder in 3 Monaten vorbeikommen und sich im Netzwerk anmelden. Ausserdem vergeben wir per DHCP IP Adressen auch an Drucker, Tablets, Smartphones und anderer 'nicht Microsoft'-Clients. Wie aber schon gesagt: ich brauche die Daten die im DHCP hinterlegt sind. Und zwar so um schnell auch eine MAC-Adresse überprüfen zu können. Und das was c0xx gepostet hat ist genau das Ding was ich brauche. Leider eben mit der Einschränkung das ich mich jedesmal auf den Server per Remote aufschalten muss oder Putty o.ä. benutzen muss. Ich dachte daß es vielleicht auch aus der Client-Commandbox geht weil man ja den Server als Parameter mitübergeben muss und es ja keinen Sinn hat wenn man es eh nur von der DHCP-Maschine lokal ausführen kann. Egal, die einschränkung ist minimal und ich bin froh endlich die MAC-Adressen suchen zu können. Wir führen eine Inventarliste mit u.a. auch IP-Adresse/MAC-Zuordnung.... aber auf die ist nicht immer 100% verlass.... Vertrauen ist gut, Kontrolle besser... ;) Danke!

@c0xx Danke! Ja, das sollte so ausreichend sein. Schade das es nicht in der Konsole geht, aber hauptsache daß ich zu dem Ergebnis komme! Ich kann das aber nicht per Remote machen, richtig? Ich musstem ich gerade per Remote-Desktop anmelden um die entsprechenden Daten zu bekommen. Wenn ich es von meinem Client aus in der Kommandozeile ausführe bekomme ich die Werte nicht. Jedenfalls nicht die ganze Auflistung der Clients...

Hallo Leute, ich habe mal wieder eine Frage. Wir haben hier einen 2003er DC stehen der auch als DHCP fungiert. Ab und an möchte ich aus diversen Gründen eine bestimmte MAC-Adresse suchen um zu sehen ob diese im DHCP eingetragen wurde oder was auch immer. Es gibt sicherlich viele Gründe. Jedenfalls finde ich die Konsole von MS b***d weil ich in dieser absolut gar nichts suchen kann. Ich kann lediglich nach der IP-Nummer sortieren und dann manuell jeden Eintrag öffnen um die MAC-Adresse zu kontrollieren. Das kann es ja nicht sein und da muss die Konsole mir doch mehr bieten können, oder? Ich kann natürlich unsere Broadcast-Adresse mit dem Parameter -n 1 anpingen und die ARP-Tabelle im Texteditor durchsuchen, aber dann erhalte ich ja lediglich die momentan 'aktiven' (also eingeschalteten) Clients. Ich möchte aber nicht diese durchforsten sondern die welche im DHCP eingetragen wurden. Unabhängig davon ob die momentan im Netz sind, eingeschaltet oder nicht eingeschaltet sind. Gibt es hier eine Möglichkeit dafür? Ich danke schon einmal im Voraus für eure Mühe!

Wir haben es mit einem anderen Client-PC getestet (Laptop hat ja nicht geantwortet gehabt in beiden Fällen) und ich habe definitiv und sowas von verloren! Die pingen sich tatsächlich gegenseitig an! Ich habe ein zweites Netz in dem ich unser externen PC einrichte. Da habe ich auch eine IP-Cam. Die Antwortet aber nur wenn sie selber im 255.255.255.0-Netz ist aber nicht wenn sie in 255.255.0.0-Netz ist? (Der PC dann gerade immer umgekehrte Sunetzmasken). Die IP-Adressen sind 'nebeneinander'. Verstehe wer will.... mein Weltild vom Subnetting ist heute zusammengebrochen :(

@zahni Also bedeutet dies im Umkehrschluss: PC2 hat 192.1.1.2/24 und entscheidet das die IP-Adresse 192.1.0.1 NICHT in seinem Netz liegt und kann den PC1 nicht anpingen? 192.1.1.2/24 ist nur auf das letzte Oktet beschränkt und 'sieht' den 192.1.0.1/16 NICHT?

@Cyberquest Ist nur ein Testaufbau mit einem PC und einem Laptop um es nachzuvollziehen.... @all Die Clients haben kein Gateway angegeben bekommen im Testnetzwerk.

Folgendermaßen: PC1: 192.1.1.70 255.255.0.0 PC2: 192.1.1.71 255.255.255.0 Hier kann PC1 -> PC2 anpingen der PC2->PC1 jedoch nicht! So, jetzt die gleiche Konstellation mit getauschten Netmasken: PC1: 192.1.1.70 255.255.255.0 PC2: 192.1.1.71 255.255.0.0 Komischerweise ist das rgebnis jetzt folgendermaßen: PC1 -> PC2 geht PC2 -> PC1 geht nicht Also der PC1 antwortet in beiden Fällen nicht! Kann das am PC liegen oder ist es aufgrund der verschiedenen Netzmasken nicht möglich? Warum aber nur der PC1?

@lefg Nach unserem ersten Test haben wir noch einen gemacht gehabt. Wir haben die IP-Adressen beibehalten und lediglich die Subnetmasken getauscht. Und die Kommunikation ging in die selbe Richtung nicht! Also der gleiche Zielrechner hat nicht geantwortet (wie wenn die FW von Windows aktiviert wäre. Jedoch ist sie es nicht und im gleichen Subnet antwortet er ja!). Seine Vermutung ist aber das irgendwas an seinem Laptop (der Zielrechner) nicht stimmt (bestätigt dadurch das ja nur dieser nicht antwortet trotz Netmask-Tausch).

@zahni Also muss in beiden Richtungen kommuniziert werden können? Aber dann IST jede IP-Adresse im GLEICHEN Netz. Wodurch unterscheiden sich dann die Netze? Welcher Fall wäre dann 'befindet sich nicht im gleichen Netz und wird an den Router gesendet'?

@Cybquest Jetzt verstehe ich. Also hat mein Admin recht mit der 'Untermengen'-Behauptung und lediglich nicht Recht das sich dann beide gegenseitig anpingen können?

Heisst dies dann auch das beide eigentlich auf den Ping antworten müssten? Wozu dann die Netz-IDs? Aber welchen Sinn haben dann Subnetze überhaupt wenn die sich untereinander dann sowieso 'sehen' können? Das mit der Subnetz in Binärform mit &-Verknüpft zur IP-Adresse und daraus die Netz-ID zu ermitteln ist mir schon klar. Auch das der '1-Bereich' in der Subnet die Anzahl der möglichen Subnetze vorgibt und der '0-Bereicht' die Anzahl der möglichen Clients ist mir auch klar. 2^x -2 (-2 = Broadcast und Netz-ID. x -> Anzahl der 1er in der Subnetzmaske) für die maximale Client im Subnetz ist mir alles klar. Aber mir ist nicht klar warum sich 2 verschiedene Adressen in verschiedenen Subnetzen anpingen können! In der Schule wurde dann imemr gesagt das man einen Router zum anderen Subnetz einrichten muss! Wenn das geht, dann ist die Frage: Wozu überhaupt Subnetze aufstellen? Dann ist es ja kein Subnetz sondern ein großes Netz und jeder mit jedem....