klausk

Hm - "jeder" löschen ist ganz schön riskant, außer es steht noch eine weitere Gruppe/Account in der Liste drin. Über welche Freigabenamen greifst Du auf den PC/das NB zu?

Was zeigt ein Vergleich der - Freigabe-Berechtigungen - NTFS-Dateiberechtigungnen?

Sind die einfache Dateifreigabe und das Gastkonto auf dem Notebook deaktiviert?

Ich beschreibe mal die Aussage von grizzly999 etwas ausführlicher, da ich vermute dass das Wörtchen Domäne überlesen wurde, diese Abgrenzung aber wichtig ist: Kontenrichtlinien auf OU-Ebene ändern die Kontenrichtlinien der lokalen Systeme. Ein Domänenuser meldet sich aber nicht mit einem lokalen Account des Client-Systems an (also mit einem Benutzerkonto aus der lokalen SAM) sondern mit einem Account aus dem Active Directory (= Domänenkonto). Damit haben die Kontenrichtlinien-Einstellungen des Clients aber keinerlei Einfluß auf die Domänen-Einstellungen - aus Sicht der Domäne werden die Einstellungen, wie grizzly999 geschrieben hat, ignoriert. Nur bei lokaler Anmeldung am Client mit einem lokalen Account wirken sich die OU-GP-Einstellungen aus. Ein Test wird genau dieses Verhalten aufzeigen. @grizzly999 Naja, ein bßchen englisch ist schon dabei ... ;) :D

Dann würde ich mal sagen, dass das BIOS beim Hochfahren den Slave am 1. Kanal sucht - hast Du das Slave-Autodetecting auch schon deaktiviert (Einstellung NONE) ?

Hatten wir das Thema vor einiger Zeit nicht schon einmal? :D

Bei RRAS unter NT4 gabs bei mir immer einen Bluescreen, sobald die Verbindung stand - habs dann irgendwann aufgegeben ...

Wenn ein servergespeichertes Profil existiert und der User meldet sich an der Domäne an, dann wird das Default Profil nicht gezogen, sondern das existierende servergespeicherte Profil. Bei W2k-Domänen funzt es genauso, bei W2k3-Domänen sollte es auch funzen, habs aber noch nicht getestet.

Ich würde mich nicht unbedingt nur auf eine mögliche Manipulation der Log-Files versteifen, außer der Datumsstempel abgespeicherter Log-Dateien wurde nachweisbar nachträglich verändert. Hier kann aber evtl. ein altes Backup Klarheit schaffen. Denkt dabei auch an den gesicherten Systemstatus - habt Ihr noch Zugriff auf alte Versionen? Wenn ja, überprüfen ... Sind die Passwörter der User mit Admin-Rechten irgendwo hinterlegt? Wenn ja, dann soll die GF erst einmal beweisen, dass es hier keinen Mißbrauch gegeben hat, bevor sie 6 Leute entläßt. Realistischer als die Manipulation des Event-Logs ist IMHO, dass die Passwörter der entsprechenden User geknackt worden sind, entweder ausgespäht beim Eintippen oder über den Einsatz entsprechender Tools ... - Im zweiten Fall - wenn die Paßwörter nur aus Buchstaben und Zahlen bestehen - sind die mit einem alten Pentium 2-PC in locker 24-48 Stunden entschlüsselt und Eure sind bereits mehrere Monate im Einsatz. Die Account-Daten können entweder über die DC, Sniffen des Netzwerkverkehrs, Auslesen der lokalen SAM bei Workstations in Erfahrung gebracht worden sein. Mit Admin-Rechten in der Domäne ist das alles natürlich ein Klacks, als Admin auf Workstations etwas schwieriger und als Benutzer wirds noch schwieriger, ist aber nicht unmöglich ... Um die Entlassungen zu verhindern, bringe der GF Vorschläge, wie in Zukunft möglicher Mißbrauch massiv erschwert bzw. unmöglich gemacht werden kann. Kleiner Einschub - wer sagt denn, dass die neuen Admins nicht das gleiche machen ... Das kann die Verwendung schwer entschlüsselbarer Passwörter sein, die häufig gewechselt werden müssen; die Einführung des Vier-Augen-Prinzips bei Administrator-Accounts (keiner kennt das gesamte Passwort, jeder nur einen Teil), Authentifizierung per Smart-Card, ...

Wollte nur sicher gehen ... :p Wenn der Registry-Eintrag auf dem W98-PC fehlt, wird das Routing auch nicht aktiviert sein. Setz mal den Eintrag und probiers nochmal.

PS: Auf dem GW 192.168.1.1 sind die Routen ins .2er- und .3er-Netz eingetragen?

Kennst Du den Artikel auch schon? http://www.christoph-koenig.de/routing.htm Hast Du den routenden PCs nur je ein S-GW vergeben? Also dem W2k die 1.1 auf Interface 1.14 und dem W98-PC die 2.2 auf Interface 2.101 und die jeweils andere NIC kein GW? Und die Clients im Netz 1 haben die 1.14 und die in Netz 3 die 3.1?

Hier die Doku von Microsoft zum Thema Profile: http://www.microsoft.com/ntserver/techresources/management/prof_policies.asp

Routing unter W98 scheint zu gehen: http://www.michaonline.de/compucorner/routing/routing.html Existiert der dort angesprochene Registry-Eintrag? Die Internet-Route des W98-PCs stimmt nicht. Als GW muß hier die 192.168.2.2 rein. Und die Metric-Einträge kannst Du überall auf "1" setzen. Ansonsten müsste alles passen.

Danke grizzly999, hast mir die Suche nach der genauen Bezeichnung erpart - bevorzuge immer noch w2k und habe deshalb nicht immer alle XP-Eigenheiten gleich zur Hand ...

Hallo zuschauer, mir ist genau das passiert - und ich hatte mir überlegt, ob ich mir die Mühe mache, den anderen Post zu suchen und meine Antwort dort reinzustellen. Den Vorwurf mache ich dabei nicht Euch Moderatoren sondern den Doppelpostern - daher Widerspruch abgelehnt :p *beipflicht*

Grobdaten sind Bilder in geringer Auflösung und taugen nur zum Betrachten auf dem Bildschirm, beim Drucken wird's dann pixelig. Feindaten sind in der für den Druck benötigten Auflösung. Dem Marketing sollte dieser Unterschied aber bekannt sein ...

Und sie führen dazu, dass User beim Antworten rausfliegen, weil der Beitrag zwischenzeitlich gesperrt wurde. :(

Die Variable %OS% liefert leider bei W2k nicht Windows_2000 sondern auch Windows_NT zurück. Hier überprüfst Du besser auf die Existenz des Verzeichnisses %Windir%\CSC (=W2k). Die Lösung Deines Problems hat grizzly999 geschrieben - subst.

Sind die XP-Clients so konfiguriert, dass es mit der Möglichkeit zur Anmeldung wartet, bis das Netzwerk da ist?

Habe ich das richtig verstanden, dass Du ein perfektes Default User-Profil hast und das an alle neuen User verteilen willst? Wenn dem so ist, dann kopiere dieses Muster-Profil in die Netlogon-Freigabe der DC als Default User. Bei der ersten Anmeldung bekommen die Anwender dann eine Kopie dieses Profils zugewiesen, wenn sie denn bei der Anmeldung im Netz sind.

Füge den Domänen-Account des Users der Administrator-Gruppe des lokalen PCs, also der lokalen SAM des Clients, hinzu. Dazu (aus dem Kopf) auf dem entsprechenden Client die Benutzer-Verwaltung öffnen, die Gruppe Administratoren und dann Registerkarte "Mitglieder" auswählen, Hinzufügen, zur Domäne wechseln und den Useraccount hinzufügen. Damit hat der User nur auf diesem einen PC mit seinem Domänen-Account Admin-Rechte. In der Domäne und auf anderen PCs erhält der User dadurch keine Admin-Rechte!

... und abgelegt werden die Skripts normalerweise im Netlogon-Verzeichnis.

Stell einen hellen Desktop-Hintergrund ein - die Farbe der Schrift wechselt dann automatisch.

Wußte doch, da ist ein Haken :rolleyes: Wenn die Änderung wichtig genug ist, heißt es AD neu installieren ...