-TylerDurden-

Ok, danke für die Info und das Angebot mit der Anleitung, aber ich muss das etwas schneller hinbekommen. Ich finde per google aber leider überhaupt keine Infos zu der Sache. Vielleicht kannst du mir ein paar Schlagworte zur Selbsthilfe liefern? Danke im Voraus.

Moin und danke für deine Antwort. Mit Spezialdiensten meine ich die Dienste der Applikation (ca. 10 Dienste). Alle Windows-Standard-Dienste (Nachrichtendienst etc.) sehe ich. Ja, die beiden User haben per GPO die Berechtigungen bekommen und per RDP funzt die Verwaltung ja auch. Nur halt nicht per Remote-Verwaltung. Auch dir danke für deine Antwort, auch wenn ich nicht ganz schlau draus werde. Was bedeutet "Rückgängigmachen"? Und bei GruRiLi finde ich auch nicht direkt was Passendes. Hast du vielleicht nen Direktlink? Wie oben geschrieben, haben die User ja schon die Berechtigung zum Verwalten der Dienste, sie sehen sie halt nur nicht per Remote-Verwaltung.

Weil ich gerne vorhandene Mittel nutzen würde. Es sind ca. 10 Dienste und dann für jeden Dienst nen eigenen Eintrag mit Starten und stoppen...wäre natürlich möglich, aber es muss doch auch irgendwie anders gehen. Trotzdem danke für die Anregung.

Nabend, ThomasKoetzing.de - ThomasKoetzing.de - zwar nur kleines Forum, aber die Seit muss man kennen Brian Madden – Citrix, Terminal Server, Virtualization, and Application Delivery Information - english Gruß, Stefan

Hallo zusammen, Gegegebenheiten: - Server: Win2k3 Server Std. SP2 in Domäne mit spezieller Applikation und passenden Diensten - Clients: WinXP SP2 in Domäne Anforderung: - Zwei User sollen keine Admin-Rechte auf dem System bekommen und sich auch nicht per RDP anmelden, sondern lediglich einige Dienste der Spezialapplikation stoppen/starten können Vorgehensweise: Auf dem Server angemeldet und per GPMC eine neue Richtlinie erstellt, in der in den Computereinstellungen die Spezialdienste für eine spezielle Gruppe(in der die beiden User Mitglied sind), berechtigt werden GPO nur mit dem jeweiligen Server verknüpft Mit einem der beiden User testweise per RDP angemeldet und getestet, ob Dienstneustart funktioniert Ergebnis: OK, nur die berechtigten Dienste lassen sich verwalten MMC mit Dienste-SNAP-In erstellt, in dem direkt der spezielle Server angegeben wird MMC mit einem der beiden User gestartet und versucht, auf die Dienste zuzugreifen Ergebnis: Fehle 5: Kein Zugriff auf RPC-Prozess oder so ähnlich Folgenden Artikel gefunden: Non-administrators cannot remotely access the Service Control Manager after you install Windows Server 2003 Service Pack 1 --> Berechtigung gesetzt Ergebnis: Zugriff auf Dienste funktioniert per MMC, Aber: Ich sehe nur die allgemeinen Dienste und eben nicht die Spezialdienste, um die es mir ja geht. Führe ich die MMC als Admin aus, sehe ich alle Dienste. Hoffe, mir kann jemand helfen. Besten Dank im Voraus. Gruß, Stefan

Ok, besten Dank. Ich werd's mal testen.

@ Wordo: Müsste die Konfig also so aussehen? War nicht kleinerer Index auch höhere Priorität? crypto map vpn-tunnel 6 ipsec-isakmp description vpn-Dienstleister set peer IP des DL set security-association lifetime seconds 8640 set transform-set ts-3des-md5 match address 115 crypto dynamic-map vpn-clients-map 10 Für unsere VPN-Clients set ip access-group 103 out set transform-set XXX @ Lian: Sorry! Hab's geändert. output-debug-crypto.txt output-sh-crypto-session-sa.txt

JA, so ists.

Hallo Wordo, danke für deine Antwort. "Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird"...dies ist das Problem. Die crypto isakmp policys sind doch nur für Phase1, die ja erfolgreich abgeschlossen wird, richtig??

Guten Morgen lieben Community, folgende Gegebenheiten: - Anforderung: VPN-Tunnel zw. CISCO 2800 Router(Wir) mit IOS 12.4(3a) und Fortinet Fortigate 60(Dienstleister) mit PSK - Konfiguration bzgl. Encr., Hash, PSK abgeglichen auf beiden Seiten - Phase 1-ISAKMP-SA wird ohne Probleme aufgebaut - Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird(Ping auf einen Host in unserem LAN). Dann steht der Tunnel aber und von beiden Seiten aus können Pakete versendet werden. - Auf den Router der Gegenstelle habe ich leider keinen Zugriff - Folgend die Konfigurationseinstellen auf dem CISCO: crypto isakmp policy 1 Hier andere Verfahren für andere VPN-Verbindungen crypto isakmp policy 2 Hier andere Verfahren für andere VPN-Verbindungen crypto isakmp policy 3 Hier die Verfahren nach Vorgabe des DL encr 3des hash md5 authentication pre-share group 2 lifetime 8640 crypto isakmp key Übereinstimmender-PSK address IP des DL no-xauth crypto isakmp keepalive 60 periodic crypto isakmp nat keepalive 20 crypto ipsec transform-set ts-3des-md5 esp-3des esp-md5-hmac crypto ipsec df-bit clear crypto dynamic-map vpn-clients-map 1 Für unsere VPN-Clients set ip access-group 103 out set transform-set XXX crypto map vpn-tunnel 6 ipsec-isakmp description vpn-Dienstleister set peer IP des DL set security-association lifetime seconds 8640 set transform-set ts-3des-md5 match address 115 interface FastEthernet0/1 bandwidth 4000 ip address unsere öffentliche IP ip access-group 100 in ip access-group 101 out ip nbar protocol-discovery load-interval 30 duplex auto speed auto crypto map vpn-tunnel service-policy output FORWARD access-list 115 permit ip unser Netz 0.0.255.255 Netz DL 0.0.0.255 Anbei die Debug-Meldungen von Cryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is on Crypto IPSEC Error debugging is on nach einem PING auf eine IP im DL-Netz. und die Ausgabe von show crypto ipsec sa Danke im Voraus für eure Hilfe und Gruß, Stefan