grizzly999

Forefront Client Security funktioniert auch tadellos grizzly999

Kostet derzeit 12.000$ für 3 Pflichtwochen in Redmonds ;) (ohne Reisekosten und Spesen versteht sich :p ) grizzly999

..... es wird nur deaktiviert. grizzly999

Der ist meinen alten Augen doch glatt entgangen. :cry: Thx a lot ;) Claus

Ich gestehe, viele Artikel und Anleitung dazu gibt es nicht mehr auf der MS-Homepage. Die besten Teile dazu haben die inzwiscchen vom Netz genommen. Hier ist noch was: Specify certificate revocation list distribution points in issued certificates Und ein sehr ausführliches Paper zu PKI hier (wenn auch nicht so gut wie das Paper von vor 3 Jahren): Download details: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure grizzly999

Sicher ;) grizzly999

Aber dabei merkt er sich die Domänen auch nicht. Mir ist bis jetzt kein Weg bekannt, dies einfach zu erreichen, außer dem parametrisierten Aufruf von dsa. msc grizzly999

... Oder das FBI rufen, oder sich die Haare raufen :D :D Sorry Scherz bei Seite,;) aber wenn ich den Switchport habe, wieso sollte ich dann lange sniffen und forschen und machen und tun :suspect: Ich sehe wohin der Port gepatcht ist, und dann begebe ich dort hin. Oder ich ziehe den Stecker aus dem Switch, dann ist mit dem Gerät netzwerktechnisch stande pede Schicht im Schacht, und der "Besitzer" wird sich dann schon melden, wenn er Zugriffe braucht. grizzly999

Das ergibt schon mehr Sinn. Aber soviel auch zum Thema Medien und Manipulation derselben. Deshalb bin ich inzwischen immer sehr vorsichtig mit eigenen Meinungen aufgrund von Sendungen/Meldungen usw.

Was meinst du damit genau? Das habe ich auch nicht verstanden. Und ich habe auch nicht verstanden: wenn es nicht da sein dürfte, dann mache es weg. Braucht das jemand? Ich ahne nur, was du möchstet. Lösungen: a) Geräte entfernen (recommended) b) Für das Gerät ein eigenes VLAN einrichten c) Dem Gerät eine andere IP geben, aus einem anderen Netz (ohne VLAN) d) spezielle IPSec-Policies einrichten (aber Anforderungen sin dunklar, s.o.) grizzly999

Gibst du uns hier nochmal einen aktuellen gpresult /v /scope:computer, ausgeführt auf einem DC. Computersensitive Daten kannst du ja X-en P.S.: ein HTNL-Report des Ergbissatzes mit der GPMC wäre noch besser ;) grizzly999

Hey, das war doch der Teufel, der die KLage eingereicht hat :D

Du kannst die mmc auch mit dem Befehl dsa.msc öffenen. Dabei kannst du auch Paramter mitgeben, z.B. für welche Domäne er die Konsole öffenen soll mit: .. /domain=FullyQualifiedDomainName .. /domain=NetBIOSDomainName Das könntest du dir auch als Link ablegen grizzly999

Hups, ja doch :o Dafür fehlt jetzt der Link in einem anderen Thread :cry: Im Alter lässt die Multithreadingfähigkeit dramatisch nach :D Thx for completion Yusuf .....:cool: Claus

Ohne weitere Kenntnisse der Netzadressen und -Umgebung ist jetzt da keine Aussage zu treffen. Aber wenn die Netzwerkmaske z.B. 255.255.255.0 ist, dann stimmt das. Dann läge zweie Gateway in einem anderen Netz. Ein Gateway liegt aber üblicherweise im eigenen Netz. Ich verstehe nicht, was ihr da zusammenbasteln wollt :suspect: grizzly999

Das ist alles andere als trivial. Yep und Yep. Wie meinst du das jetzt? Die CRL der ausstellenden CA der RootCA zugänglich machen? Nein! Die CRL der RootCA zugänglich machen? Ja. Nein. Abgesehen davon, dass die Internetdienste für die Installation einer CA nicht nötig sind, nur für das Webenrollment, wird da nichts automatisch eingerichtet. Die Infos sind eher das Gegenteil von spärlich. Nur, ich glaube, du suchst ganz speziell nur zu diesem einen Punkt was, das wird schwierig, weil das - wie schon gesagt - ein ziemlich komplexes Thema ist und die meisten Sachen, so auch das Thema, AIA, CDP nur immer im Zusammenhang gesehen und beschrieben werden. Nun, den CDP passt du am besten über die MMC in den Eigenschaften der CA im Reiter "Erweiterungen" an deine speziellen Gegebenheiten und Bedürfnisse an. grizzly999

Images von Datenbanken (selbst NTFS hat ein Journal und ist von daher, naja, u.U. anfällig) sind immer etwas kritisch. alelrdings bei nur einem einzigen DC wäre Acronis nicht soo schlimm, zumindest nicht in der Hinsich t, die du meinst. Nicht zwingen, nein. Das Problem, das du meinst, ist das USN-Rollback-Problem. Ist in der KB ganz gut beschrieben, ich hatte auch mal einen ausführlichen Artikel, aber dieser Teil unserer Homepage ist gerade down. Hier der Link zu MS: Submit a user certificate request via the Web: Public Key grizzly999

Ja, eine statische Route für diese "gewisse IP-Adressen / Netze". Befehl dazu route.exe add grizzly999

Wie zaheni es schon sagte: es ist darauf zu achten, das besser nicht zu tun. grizzly999

Der Server braucht für diese deine Anforderung kein Zertifikat, er muss nur der CA vertrauen. Der User braucht ein Benutzerzertifikat mit dem Zweck Clientauthentifizierung. Submit a user certificate request via the Web: Public Key grizzly999

Wie gesehen, ganz praktisch, oder in den Berechtigungen? Aber im Standardfall haben die User da nur Lesen, auf Freigabe- wie auch NTFS-Ebene. Wenn dem nicht so ist, hat das jemand verstellt. grizzly999

Nein, es ist auch noch ein zweiter DC da, siehe Beitrag #5. Aber nur mit Acronis gesichert, und das IMage funktioniert nicht, das sieht schlecht aus. Als erstes würde ich die Supportnummer von Acronis raussuchen und dort fragen (wird nichts bringen). Den DC kannst du nicht demoten, wie berichtet technisch nicht, und weil Exchange drauf (klar beim SBS) auch nicht von Microsoft supportet. Sieht bis jetzt nach einem Neuaufsetzen aus. Kannst du Festplattenfehler ausschließen? Welche Fehlermeldungen stehen denn im Log bzw. kommen genau? grizzly999

Dieses Tool hilft: http://www.mshelper.de/commsols.html#x , dort das 4. Tool von oben "Windows Berechtigungen zurücksetzen". ;) Das 5. Tool hilft meist auch nicht, zumindest bei meinem Kunden gestern nicht, aber das erstgenannte schon. :( grizzly999

Gruppenrichtlinienobjekte haben immer eine GUID im AD. Und "gesperrte SOM" (Scope Of Management) bedeutet, dass die Richtlinie für das betreffende Objekt nicht zutreffend ist, z.B. wegen Sicherheitsfilterung oder unterbrochener Vererbung. Also keine außergewöhnliche Anzeige im RSoP grizzly999

Also, ich hab' auch mal meine 7 Rechner in den Ring geworfen, bis auf den ISA-Cluster, da lassen wir mal nichts extra drauf laufen, wie sich das gehört *gg*. Auf dass einer davon die grünchen Männchen entdeckt :p Und wer zahlt jetzt meine erhöhte Stromrechnung ? :D:D