grizzly999

Die Erklärung ist ganz einfach. Beim Anlegen der Profiles werden die Rechte explizit vom System gesetzt, bei 2003 sind die Administratoren da nicht mehr vertreten. per Policy lässt sich das für neue Profile verändern http://support.microsoft.com/kb/222043/en-us

grizzly999

Ich habe mir die Treiber in die XP CD integriert und dann installiert. War kein Problem. Da gibt es zig Anleitungen im Netz, ich glaube, ich hatte die hier(?!): http://board.gulli.com/thread/328323-update---integration-von-sata--raid--scsi-treiber-in-windows-xp-setup/

grizzly999

Bei Interesse an TO wenden

grizzly999

Alternative? Einfach dcpromo rückwärts. Die Rollen werden automatisch auf einen anderen DC übertragen. Falls es nur 2 DCs sind, fällt ihm die Wahl nicht schwer ;)

Für DNS wie Christian schon sagte, Active Directory integrierte Zone verwenden und auf dem anderen DC vor dem Herabstufen des 1. DC auch DNS einrichten. Die Zone repliziert sich von selbst, dann kann den einen DC rausnehmen.

grizzly999

Gem. Boardregeln: Closed

grizzly999

öhmm, ja stimmt natürlich (hatten wir nicht mal einen rotanlaufenden Smily im Smily-Sortiment?)

Du meinst den hier? :o

:D Schon ok ...... ;)

(hier muss ein Smiley Nest Sein)

weiss jemand dafür, wo die Securityeinstellungen physikalisch gespeichert sind?

Du meinst die lokalen, nicht über Grupenrichtlinien kommenden? Unter HKLM\Security

grizzly999

Hi,

die einstellungen müssen in einer Policy gesetzt werden, die auf die ou "domain controller" wirkt. Hol dir unter http://www.microsoft.com/downloads die ggmc und lass ein "resultant Set of Policies" laufen

 

cu

blub

Da die Default Domain Policy bearbeitet wurde, müssen die Eintellungen eigentlich ziehen. Gibt es noch eine andere Richtlinie an der Domäne, die vielleicht höhere Priorität hat als die Default Domain Policy, in der andere Einstellungen gesetzt sind?

grizzly999

Ich vermute entweder:

- Du hast es mit dem ursprünglichen Administratorkonto versucht (da wirkt keine Kontosperrung)

- Du hast es mit einem lokalen Konto versucht

- Der DC hat die Richtlinie noch nicht übernommen gehabt (oder repliziert bei mehreren DCs)

grizzly999

!

 

Hat das was zu bedeuten ?

Ja, dass deine Skripts nicht in DIESEM ordner liegen, sondern woanders :D

Vielleicht wurde beim Anklegen der Rcihtlinie ein anderer Ordner angegeben oder du hast im Ordner mit der falschen GUID geschaut.

Hast du im Explorer mal die Suche nach dem Skript bemüht?

grizzly999

Hast du mal nachgeschaut, ob die Domänen-Admins noch Mitglied der Gruppe Administratoren sind (im Container Builtin)?

grizzly999

Ja, mit einem Site To Site VPN.

Diverse Anelitnugen finden sich bei isaserver.org, oder auch hier:

http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/sitetositevpn.mspx

grizzly999

freigabe:jeder

sicherheit:admin, authentifiziert benutzer und system.

Bitte, was soll das sein :rolleyes:

Und diese Fehlermeldung ist ziemlich detailiert:

... jedenfalls kann meine admin eine installation nicht ausführen.

grizzly999

Anm: Diese Richtlinie gilt aber nur für Installationen über MSI-Dateien, keine .exe oder andere Installationsdateien

grizzly999

Hallo und willkommen im Board :)

Fangen wir mit was einfachem an: Was für ein Netzwerk, was für Betriebssysteme, wenn Domäne, wieviele DCs usw.

grizzly999

Da thema hatten wir schon mal, oder mehrere male, und jedes mal wieder war der einhellige Rat (so auch hier): Ziehe unbedingt einen Klima-Fachbetrieb hinzu. Die haben normalerweise Erfahrung und können das gut ausrechnen. Da spielen noch ein paar Faktoren eine Rolle dabei als nur der Rauminhalt und die Leistung

grizzly999

Ok, geht auch, ich hatte nur was gegen den zweiten Haken nach dieser Auswahl (Gemeinsame Internetverbindung verwenden = ICS)

Wenn man nur NAT braucht sollte nur man IMHO Haken (Routing und NAT) nehmen

grizzly999

Was spricht gegen den Assistenten (mal davon abgesehen, dass es ein Assistent ist) ?

Ich mag doch keine Assistenten, weisst du doch :D

Sag ich dir nachher, hole gerade meinen 2k-Server raus. Irgendwas hat mir da mal nicht gefallen (außer Assistenten-Paranoia)... ;)

grizzly999

Gibt es eine einfache Möglichkeit, Schreibvorgänge in bestimmten Containern des AD zu überwachen?

Ja, wenn in den Gruppenrichtlinien für die OU Domain Controllers die Richtline "Verzeichnisobjektzugriff überwachen" aktivert ist.

Im AD-Benutzer und Computer dann unter Ansicht die "Erweiterte Ansicht" anmachen, jetzt kann man für jedes Objekt (User, Gruppe, OU, usw.) einen Reiter Sicherheit sehen. Dort in den erweiterten Einstellungen "überwachung" kann man die Überwachung für Zugriffe auf das Objekt einschalten, ganz genau so wie bei der Überwachung im NTFS Dateisystem.

grizzly999

Du richtest Routing und RAS ein als LAN Router. Unter IP-Routing Allgemein fügst du als neues Routingprotokoll NAT hinzu. Es erscheint ein neuer "Ordner" namens NAt, da fügst du mit der rechten Maustaste die Schnittstellen hinzu und gibst dabei an, welche Schnittstelle die externe und welches die interne sein soll.

Das war's mit NAT. Eventuell sind weitere Konfigrationen des RRAS notwendig, das hängt vn der Art des Zugangs und anderen Erordernissen ab.

grizzly999

Wie wäre es mit RRAS von 2000 Server selber?

grizzly999

Hallo

Ja, das gibt es, cachedir von Microsoft

grizzly999

Ich habe es jetzt selber ediitiert, der nächste geht in die Tonne

grizzly999

Hallo und willkommen,

ja du hast ein gewisses Problem: du schreibst alles in Bold, was nicht besonders doll lesbar ist. Die meisten hier können auch normale Schrift lesen.

Und deine 1-Taste, die mit dem Ausrufezeichen prellt. Mach da mal ein paar davon weg, soo wichtig ist dein Problem auch nicht, wir haben hier 30.000 User und mehrere hundert Beiträge am Tag. Wenn jeder so schreibt, dann ......

Danke für dein Verständnis

grizzly999

Weil der DNS bei einer Stub Zone nicht alle Einträge im AD halten muss wie bei einer primären Zone, sondern nur den Zonennamen, den Zonentyp und die Lister der Master DNS: http://technet2.microsoft.com/WindowsServer/en/Library/a5bdcf06-9246-40d8-8495-c00293db97201033.mspx?mfr=true

grizzly999

Dennoch muss ein Account erstellt werden, damit der Kunde eine Software selbst updaten und nachinstallieren kann. Dafür brauch er Adminrechte.

Unter Umständen braucht das Konto keine Adminrechte, sondern nur besondere Rechte im Dateisystem und in der Registry, evtl. zusätzliche Benutzerrechte.

Der erste Weg, das heruaszufinden wäre ein Anruf bei der Firma, die die Software entwickelt. Die können einem evtl. sagen wo (leider meistens nicht, weil viele Programmierer nicht richtig programmieren können).

Dann gäbe es den Weg mit Hilfe der Überwachungsrichtlinien und Überwachung von Fehlschlägen im Dateisystem und der Registry, zus. Überwachung der Fehlschläge der Rechteverwendung herauszufinden, wo das Programm mit Benutzerrechten ausgeführt, scheitert. Das dann sukzessive öffnen und weitertesten.

grizzly999