grizzly999

Ich denke auch, dass die Firma überhaupt Probleme hat. Der Chef soll den Mitarbeiter entlassen. Wem ich nicht vertraue, den beschäftige ich nicht. Oder der Chef sollte gehen. Aber Misstrauen und Argwohn lässt sich nicht mit technischen Mitteln erschlagen, das ging noch nie und das geht nicht. grizzly999

netsh.exe ist aber dem schon vorangestellt, so wie es schotte beschrieben hat? Nochmals, das Kommando lautet von vorne bis hinten netsh int ip reset tcpreset.txt wobei die Log-Datei am Ende heißen kann kann wie du möchtest grizzly999

Du darfst mir schon glauben, was ich sage ;) Und IThome auch ;) grizzly999

Wie greifst du auf den Server zu, über einen Router? Wenn ja, müssen dort die entsrechenden Protokolle geforwarded werden, Port TCP 1723 und das GRE-Protokoll (Protokollkennung 47) grizzly999

Wieso kann man das nicht über Standorte machen. Die WSUS-GPOs, in denen ja auch der zu konnektnede WSUS angegeben wird, kann man ja auch als Standortrichtlinien definieren. Und Standorte richten sich ja nach den im AD eingerichteten Stadorten und zugehörigen definierten IP-Subnetzen. grizzly999

Also bei mir klappt das. Du nimmst als Dienstnamen, den, der auch beim Dienst in der Konsole unter dem reiter "Anmelden" steht? grizzly999

Wieso? Den ganzen Pfad ändern .... ;) grizzly999

Wenn es genau wie dort beschrieben gemacht wird, sollte es funktionieren. Mache doch mal folgendes: 1) Einen Testuser in der Domäne anlegen 2) Ihm im Konto einen Pfad für ein servergespeichertes Profil eintragen 3) Mit dem User anmelden, abmelden 4) Auf dem Server sollte das Profil jetzt da sein (bei 2003 muss der Admin den Besitz für alle Ordner da drin übernehmen und die Berechtigungen ändern -> Admin und Testuser Vollzugriff auf alle Ordner) 5) Die ntuser.dat in ntuser.man umbenennen 6.) Als Admin das lokale Profil auf der WS des Testusers komplett weglöschen 7.) Als Testuser wieder auf der WS anmelden und testen grizzly999

... und wollen wir vbscript mal nicht vergessen ;) http://www.microsoft.com/technet/scriptcenter/scripts/os/services/ossvvb18.mspx grizzly999

Nein, die freien 2000 Resource Kit Tools sind nicht mehr zum Downlaod bei MIcrosoft, da Mainstream Support eingestellt. Aber da würde mir doch glatt der Eingriff in die Registry einfallen, per CommandLine. Da gibt es mehrere Möglichkeiten, einer der einfachsten dürfte reg.exe sein. grizzly999

Würdest du uns endlich den Gefallen tun, und unsere Fragen beantworten (böse werd'). WIE machst du die mandatory profiles?? grizzly999

Wie wäre es mit dsmod user -profile [....] ? VBScript ginge auch, ldifde auch grizzly999

Ja, soll es ja auch. Es eght nur darum, dass besser kein lokales Profil vorhanden ist, wenn das servergespeicherte (mandatory) heruntergeladen wird. Oder wie erstellt du die mandatory Profiles? grizzly999

Yep .... Sagen wir schöner: der restorte DC repliziert nach dem nächsten normalen Systemstart mit seinen Replikationspartnern. Nein, das wäre schlecht. Die Replikation muss wie gewohnt stattfinden. Nur, die für Objekte bzw. Objektbäume bzw. die ganze Datenbank, die authorisierend wiederhergestellt wurden, werden die USNs pro Tag, den sdie Sicherung alt ist, um 100.000 hochgesetzt. Damit haben gelöschte Objekte, die so (authorisierend) wiederhergestellt wurden, mit ziemlicher Sicherheit eine höhere USN als jeder der Replikationspartner. Damit wird dann das zurückgesicherte Objekt auf die Replikationspartner repliziert und nicht von dort das gelöschte Objekt auf den restorten DC ;)

Lösche mal an dem oder den Rechnern als Admin die vorhandenen lokalen Profile des7der User weg, bevor du dich mit dem servergespeicherten mandatory profile anmeldest. Speziell unter 2000 kenne ich das Problem, dass wenn eine lokale ntuser.dat vorhanden ist, und dann die ntuser.man hinzukopiert wird, dass dann die ntuser.dat vom System verwendet wird, und nicht die .man grizzly999

Wie sehen die NTFS-Berechtigungen auf den Ordner der virtuellen Seite exakt aus? Wie sieht die IIS-Authentifizierung (Reiter Verzeichnissicherheit) auf die Seite Support aus? grizzly999

PN oder Mail bei Interesse grizzly999

Mir ist kein spezielels Recht dafür bekannt, von daher denke ich, musst du über die gruppe der Server-Operatoren gehen. grizzly999

Nein, das ist nicht möglich,und das ist gut so. Bei Zertifikaten mit private key geht es um Sicherheit und das verteilt man nicht per GPO. Wer das vorhat, hat miener Meinung nach den Sinn von Sicherheit basierend auf Zertifkaten nicht verstanden :( grizzly999

Was will uns dieser Screenshot jetzt sagen? Was ist dein Problem? grizzly999

Für die Nachwelt, woran lag's ?! :) grizzly999

Hallo und willkommen :) Das war schon dieverse male hier im Board besprochen, benutze die Boardsuche ;) Das ist kein Fehler, sondern bei Design so, und hat keine Auswirkungen BTW: der Schriebschutz ist mit diesem grünen Kästchen auch nicht aktiviert, ansonsten wäre es ein Häkchen ;) grizzly999

Eine Root CA auf einem laufenden Server online), z.B. ein DC, warum nicht?! Diese für manche ketzerische Frage stammt nicht von mir, sondern durchaus von namhaften Security Experten, allen vorneweg Brian Komar, den Insidern bekannt durch das Buch "PKI mit 2003 Server" aus dem MS-Press Veralg. Begründung: Wer patcht den Server, wenn er offline ist, ein online Server, der gescheit verwaltet wird, dort werden Virenpattern-Updates gefahren, da schaut auch jemand regelmäßig die ganzen Logfiles an (wenn ordentlich verwaltet!). Einfach eine regelmäßige Kontrolle und Verwaltung, die bei einer Offline Root CA nicht gegeben ist. Ich will hier keine Grundsatzdiskussion lostreten, ich will nur klarmachen, man kann das Ganze auch aus einem anderen Blicjkwinkel betrachten. IIS auf einer CA, geht schon, IIS 6.0 ist ja wesentlich weniger vom Patchen betroffen als der 5.0, ist von Grund auf sicherer als der 5.0, aber ein zusätzlicher Dienst. Ich hatte oben nur darauf geantwortet, weil du gesagt hast, ein IIS ist auf einer CA ein Muss. Das sehe ich immer noch so, eine Standalone CA ausgenommen, dort ist es ein MUSS. Eine Enterprise CA, kann ich alles ohne. Einen Cert Request bekomme ich auch ohne IIS mit certutil in die CA eingekippt, wobei bei einer Enterprise CA, ist da eh nix mit CISCO oder Co. und Cert Req. BTW: Ich habe auch bei jeder CA immer einen IIS drunter, aber nur bei einer Standalone CA weil ich muss ;) grizzly999

Du brauchst dazu jemand, der auf dem DC Freigaben verwalten darf. Neben den Admin sdürfen das die "Server-Operatoren". Du musst den User also in der Gruppe zum Mitglied machen. Der User darf dann standardmäßig alles, was die Server-Operatoren dürfen, sich lokal anmelden, Freigaben verwalten/erstellen, Uhrzeit ändern(!), Sicherungen durchführen und wiederherstellen. grizzly999

Ich verstehe nicht ganz , was du willst, bzw. wass du erreichen willst Und ein vorhandenes Zertifikat kann sowieso nicht mehr geändert werden. grizzly999