Dominique01520

Hier ist leider das Problem, dann geht das Setzen der Berechtigungen nicht. Da muss man das anders machen. Hier tritt wohl der besagte Fall mit dem e-Mail Verkehr auf...

Ich hoffe, das ist keine böse Anspielung auf Freut mich trotzdem, dass das Problem soweit behoben ist :-) Gruß Dominique

Mit Netzwerkdruckern, (welche wie ausschließlich verwenden) gibt es leider auch mal ähnliche Probleme :(

Das ist richtig so. Per Script musst du die Berechtigungen so anpassen, dass auf alle Ordner nur Leserechte bestehen, außer die Domain-Admins, die haben Vollzugriff. Dann können die Benutzer keine Programme mehr dort ablegen. Nur die Admins können Programme ablegen, löschen oder ändern. Ein Script könnte so aussehen: REM JEDER bekommt nur Leserechte, die Domain-Admins bekommen Vollzugriff. echo J | cacls "%USERPROFILE%\Startmenü\Programme\Autostart" /P Jeder:R Domänen-Admins:F echo J | cacls "%ALLUSERSPROFILE%\Startmenü\Programme\Autostart" /P Jeder:R Domänen-Admins:F Und: REM Hiermit löscht du ALLE Dateien in den Autostart-Ordnern. REM am besten erstellst du dann vielleicht die benötigten Programm-Shortcuts neu. Del /S /Q "%USERPROFILE%\Startmenü\Programme\Autostart\*" Del /S /Q "%ALLUSERSPROFILE%\Startmenü\Programme\Autostart\*" In English sollte das glaube ich so aussehen: REM sets the permissions to everyone can only read, Admins have full access echo Y | cacls "%USERPROFILE%\Start menu\Programs\AutoRun" /P Everyone:R Domain-Admins:F Administrators:F echo Y | cacls "%ALLUSERSPROFILE%\Start menu\Programs\AutoRun" /P Everyone:R Domain-Admins:F Administrators:F REM genauso mit dem delete-Befehl. REM ich kenne aber die englischen Bezeichnungen und Pfade nicht genau. du musst dir das Script anpassen (Pfade und Benutzergruppen etc.) und es danach als Anmeldeskript im AD hinterlegen. Für die Registry gilt das gleiche und kann in etwa so aussehen: subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=jeder=R subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=Domänen-Admins=F subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=Administratoren=F Das ist nur ein Beispiel. Am besten schaust du dir die einzelnen Befehle und Ordnerpfade an , passt sie deinen Bedürfnissen entsprechend an und bindest Sie dann ein. Google vielleicht auch nach Cacls, subinacl, und del. Der Benutzer hat aber wahrscheinlich eh keine Admin-Rechte auf den Registry-Pfad unter HKey_local_machine, deswegen habe ich nur current_user geschrieben. Wenn doch, dann musst du das auch anpassen. Alles, was du hier von brauchst zusammen in eine Bat-Datei schreiben und abspeichern, dann in dem SCRIPTS Ordner kopieren und als Anmeldeskript angeben. ------------ Bitte sag Bescheid, wenn es Windows Vista oder Windows 7-WS gibt, da funktioniert der CACLS-Befehl nicht! Kannst du noch sagen, um wie viele Benutzer es sich ungefähr handelt? Wenn es viele Benutzer sind und/oder du auch Win7/Vista hast und du eine Menge Programme im AutoRun lassen willst, dann würde ich sagen, wir steigen ganz auf E-Mail Verkehr um, dann brauche ich etwas genauere Infos, was die Programme und die Workstations angeht und kann dir ein Script fertig machen. Wenn es dich interessiert, hätte ich noch ein paar Links zu Anmeldeskripts / Batchskripts. Das Ergebnis können wir dann hier posten, dann hat jeder etwas davon. Gruß Dominique

Warum fragst du, wenn du die Antwort kennst? ;-) Oder: Die Netze physikalisch trennen, was heisst, du würdest einen 2. Switch brauchen. VLANs halte ich aber für die bessere der Methoden. Warum hast du denn 2 Subnets, wenn diese eh nicht getrennt werden, weder per VLAN, noch physikalisch oder anderswie? Wenn ich das richtig verstanden habe, routet der Router doch zwischen den beiden Subnetzen. Warum dann nicht gleich ein Subnet? Sind es denn wirklich 2 Standorte? (Wenn ja, dann versteh ich nicht, wie die geswitcht werden... Vlt. gibt es noch eine bessere Methode, wenn es so ist, wie ich mir das denke ;) Ist denn der Relay-Agent auf dem besagten W2k8R2-Router? Gruß Dominique

Gibt es mittlerweile Neuigkeiten, was dein Problem angeht? Hat mein Vorschlag (wenn du ihn angewendet hast) geholfen?

Dieses Problem kenne ich leider zu gut... Wir sagen unseren Usern immer wieder, sie sollen sich unbedingt abmelden. Die Erfahrung zeigt leider, dass vor allen Dingen mit vom lokalen Rechner bereitgestellten Ressourcen, in dem Fall meist Drucker, die kuriosesten Dinge passieren, wenn die User lange angemeldet sind und ihre Sitzungen nicht ordnungsgemäß abmelden, sondern nur trennen. Mittlerweile haben wir angefangen, Leerlauftimeouts in den GPOs zu definieren, die die User nach x Stunden inaktivität/getrennter Sitzung abmelden, um solche Probleme zu vermeiden. Das sollte meiner Meinung auch der Fall sein... Gruß Dominique

Hallo nizo, so wie du es dir vorstellst, geht es leider nicht. Du kannst nicht definieren, welche Programme NICHT gestartet werden dürfen. Wenn es aber doch so wichtig ist, kannst du es genau umgekehrt machen und definieren, welche Programme mitgestartet werden sollen und andere aus dem AutoRun löschen- So kannst du z.B. (wie oben beschrieben) per NTFS-Berechtigung den Benutzern den Schreibzugriff auf die Autostart-Ordner verweigern, bzw, dessen Inhalt löschen. Das Selbe gilt für die Registry-Schlüssel. Hier alle Anwendungen, bis auf Gewünschte löschen und Schreibzugriff entfernen (wie oben). Nun kann der User zwar die gewünschten Programme ausführen, kann aber keine weiteren hinzufügen. Wenn der User Adminrechte hat, kann er aber die Berechtigungen ändern, sofern er weiß, wie das geht... Bei Diensten musst du unerwünschte Dienste deaktivieren/deinstallieren, andersherum geht es hier nicht. Grundsätzlich reicht die Vorgehensweise aber für Programme, wie z.B. Outlook, Skype und diverse Batch-Files. Also, meine Idee als Kurzfassung: Der Benutzer hat immer Leserechte im Autorun-Ordner, sowie in den betreffenden Registry-Keys. Du als Admin löschst dann unerwünschte Programme und lässt gewünschte drin, bzw. startes die auf eine andere Art. Wenn der User dann aber keine Schreibrechte hat, kann er keine neuen Programme hinzufügen, durch die Leserechte kann er aber vorhandene ausführen. Ich hoffe, das hilft dir mit deinem Problem weiter. Ansonsten, wenn du noch Fragen hast oder Hilfe bei der Ausführung brauchst, frag einfach. Gruß Dominique PS.: Wenn es sich um sehr viele Benutzer handelt und du nicht an allen PCs die gleichen Schritte durchführen möchtest, führe das Löschen der Anwendungen an den beschriebenen Stellen und das Setzen der Berechtigungen am Besten mithilfe eines Anmeldeskripts durch. Auch hier: Wenn du Hilfe bei der Ausführung brauchst, einfach fragen :-) BTW: haben die besagten User Admin-Rechte?

Hallo fazez, Zu deiner Verständnisfrage: Der Client sendet ein Broadcast..."Hallo DHCP, wo du auch sein magst, gib mir ne IP" Der Relay Agent sendet es weiter und sagt dem SHCP zusätzlich, von welcher Schnittstelle das Paket kommt. Von daher stimmt dein Gedanke. Ja, es ist ein Broadcast. Aber, wenn der PC am 21er-Netz hängt, gelangt dieser Broadcast nicht ans 20er-Netz. AUSSER: Du hast beide Netze mit einem Switch o.Ä. verbunden. Das könnte u.U. Problematisch werden... Prinzipiell möglich, ich weiß aber nicht, was dein Windows-Client damit anstellt.Es kann auch sein, dass das Netz, welches schneller ist, das "Gewinnernetz" ist(?) Am besagtn W2k8R2-Router? Dazu dieser Link Ist das unabhängig von den DHCP-Einstellungen fest definiert?

Hallo, wenn das Aktivieren und Deaktivieren Abhilfe schafft, würde ich auf ein Treiberproblem tippen. Kannst du genauere Infos zu der Karte/ den Treibern posten? Gruß Dominique [EDIT] Gerade habe ich gelesen, dass dein Eventlog-Eintrag bekannt ist - Auch bei aktivem Link. Versuche doch mal, die Windows Firewall zu deaktivieren. Vlt. Hilft das. Wenn die Firewall wie beschrieben SvcHost komplett blockt, ikönnte das dein Problem sein... Die Firewall führt auch wunderschöne LogFiles, vielleicht sagen die etwas aus. [EDIT, die 2.] Ich habe das Ganze gerade getestet. Das Internet funktioniert nicht, ping scheint mit kurzer Unterbrechung sonst aber gut zu funktionieren. Ein weiterer Gruß Dominique

Hallo, wenn ich richtig liege, bist du das :) Vorausgesetzt, du verbindest dich per "Remotedesktopverbindung"/mstsc mit dem Server. Es ist quasi ein variables Objekt zur Bereitstellung der lokalen Drucker auf dem Server bzw. der lokalen Laufwerke. Eine Rolle spielt es schon, wie schon gesagt, Weiterleiten der lokalen Ressourcen und Entfernen macht denke ich keinen Sinn. Gruß Dominique

Hallo, wie schon beschrieben und auch logisch nachvollziehbar ist "Zugriff verweigert" auf ein Berechtigungsproblem zurückzuführen. Der User, welchen du verwenden möchtest, in welchen Gruppen ist dieser denn genau? Gruß Dominique

Halli Hallo, hatten ein ähnliches Problem auf einem Terminalserver. Da waren auf einmal Ordner weg und auf einigen Netzlaufwerken gab es teilweise zich Verknüpfungen auf andere Datenträger. Das war ziemlich leicht auf die Zittrigkeit der (meist etwas älteren) User zurückzuführen. Nach einem Deaktivieren von Drag&Drop war das schnell gelöst, da keiner dieser User bewusst diese Funktion genutzt hat. Gruß Dominique

Ich glaube, es wäre am interessantesten, zu wissen, wer genau hier DC ist/wie viele es gibt und wie es mit DNS aussieht, wobei ich es ziemlich interessant finde was diese 11 Tage angeht...

Hallo Romeo, normalerweise sollte so etwas kein Problem darstellen. Wie genau hast du denn was genau für Berechtigungen vergeben? Ich würde grundsätzlich in den Freigaben JEDER:F und dann dementsprechend die NTFS Berechtigungen anpassen. z.B.: Benutzer:R Domänen-Admins:F System:F und so weiter... Wie siehts mit Vererbung aus? Gruß Dominique

Ich halte den Firmennamen /Firmenkürzel am Besten. Wenn ich als unwissender User bei der Mustermann GmbH arbeite und mich der Anmeldedialog "fragt", wo ich mich anmelden möchte, dann wär die Entscheidung einfacher, wenn in der Auswahl "Mustermanngmbh" o.Ä. steht anstelle von Dom1Kd143.local o.Ä. Das ist das einzige Argument, welches mir auf die Schnelle in den Sinn kommt, auch davon abgesehen wähle ich generell ein Firmenkürzel. Gruß Dominique

Hallo lemeid, Ich würde diesen Eintrag einfach mal herausnehmen, da ich generell gegen Verweigerungseinträge bin und der Admin u.U. auch ein Mitglied dieser Gruppe ist? Lokal zulassen: Remotedesktopbenutzer, Heuptbenutzer halte ich auch nicht für eine allzu gute Idee... Wie genau sieht es denn mit Gruppenmitgliedschaften des "alten" Admins aus? Kennwortrichtlinien o.Ä.? Nochmal zum Verständnis: Möchtest du dich mit dem "alten" Admin lokal anmelden? dann verste ich nicht ganz...

Hier gibt es die Resource Kit Tools, welche u.A auch moveuser und permcopy enthalten. So nimmst du die User mit MoveUser (am besten per Script, ich nehme an, händisch wäre das eine Menge Arbeit) von der alten in die neue Domain. Permcopy nimmt neben den NTFS-Berechtigungen auch Freigabeberechtigungen mit. Hier noch ein Artikel zu Permcopy. Gruß Dominique

Entschuldige. Wie gesagt, dumm gefragt... War dann wohl doch zu spät um Helferlein zu spielen ;) Meine "kleine" Idee hätte sich wohl auch erledigt. Hm, vielleicht hilft ja Folgendes: Hermes(neu) herunterstufen, umbenennen (irgendein Name, der nicht verwendet werden soll) Hermes(alt) auch umbenennen. Beide Hermes aus der Domäne raus, die gewünschten Namen vergeben und neu in die Domain aufnehmen. Hermes(neu) wieder zum DC promoten.

hm... Also ich halte trotz der Fallstricke, die Günther genannt hat, die Idee mit dem DNS-Eintrag für die Beste. Wenn es sich hier "nur" um UNC-Verweise handelt, kann ein kurzer Versuch sicherlich nicht schaden, da das Ergebnis, was laut Microsoft auftreten =>kann<=, dem Status gleicht, den du jetzt hast. Ansonsten wäre eine etwas "sauberere" Idee, die Verweise mithilfe eines Anmeldeskripts zu ändern oder, wenn es einen Unterschied zu den Aliasnamen macht, per Script einen Eintrag in die lokalen hosts-Dateien zu machen. (einfach ein paar in den Raum geworfene Ideen...) Das Ändern der Verweise ist natürlich davon abhängig, wie genau verwiesen wird... Sprich: Netzlaufwerke, Verknüpfungen oder was auch immer... Gruß Dominique

Verstehe ich das richtig? Du hast ein Benutzerobjekt mit dem Namen "Administrator" in Domain1 und möchtest es in die Gruppe "Domänen-Admins" der Domain2 hinzufügen. Wenn das der Fall ist, sage ich einfach mal, das geht nicht. Da es sich um verschiedene Gesamtstrukturen handelt, fällt mir auch keine andere Lösung ein. Gruß Dominique

Hallo, erst einmal ein paar Fragen: Der SBS08 ist Eschangeserver? Wer/Was ist DC/DNS? (OS, Replikation etc) Kannst du dich nach diesen 11 Tagen mit einem Domänenbenutzer anmelden/Funktioniert sonst alles in der Domäne? Wenn der DC nicht = der besagte SBS08 ist, findest du auf diesem Fehler im Eventlog? Gruß Dominique

Hast du auch probiert, einen Datei öffnen Dialog mit Netzlaufwerk wie oben beschrieben auf einem Client zu erzeugen? Wer genau beherbergt die Nezlaufwerke? 2003 oder 2008? oder gar der TS selbst?

Hallo, den Hostnamen eines aktiven DCs ändern? ->Nein! Um was für Verweise handelt es sich? Meiner Meinung nach sollte der Lösungsansatz mit dem DNS an sich kein Problem darstellen. Allerdings habe ich Bedenken bei den Reverselookups... (Habe das hier kurz getestet. Bei mir habe ich damit kein Problem, wenn ich einfach einen weiteren DNS-Eintrag hinzufüge.) Sprich: Du gibst eine IP an, der DNS macht dann einen Hostnamen draus und gibt in dem Fall den alten Hostnamen an... Der Client möchte dann (warum auch immer) z.B. den alten Hostnamen bzw dessen Computerobjekt im AD ansprechen und findet natürlich keins.

Ich frage zuerst mal ganz dumm nach: Unter Active Directory Computer und Benutzer ist aber hoffentlich dein alter Server nicht mehr als Objekt vorhanden, ODER? und der neue nach Aufnahme? Ist der dann vorhanden? Ausserdem: Der neue Server soll DC werden? Wenn ja, klappt(e) das Heraufstufen ohne Probleme? Das Umbenennen des 2008ers, hast du wie genau gemacht? Also Schritt-für-Schritt (Mit welchem User, Herausnehmen, Aufnehmen in die Domain, Restarts u.s.w.) Denke, jenachdem hätte ich eine kleine Idee Gruß Dominique