grizzly999
-
Gesamte Inhalte
17.686 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von grizzly999
-
-
Nein, auch ein Computerkonto ist ein Authentifizierter Benutzer im AD. Ein Computerkonto ist ja nix anderes als ein Verstecktes Benutzerkonto mit dem Namen <Computername$>
grizzly999
-
Sehr gut. Also dann gilt einfach, was MS sagt:
> Computerrichtlinien wirken nur auf Computerkonten.
> Userrichtlinien wirken nur auf Userkonten.
Ganz einfach. Nicht mehr und nicht weniger. (Ausnahme Loopback).
:thumb1: Völlig korrekt !
Wozu dient Scope "Security Filtering" mit Gruppe "Authenticated Users" wenn nur Computer-Einstellungen definiert wurden?Standardmässig sind "Authenticated Users" drinnen. Ist das nicht ein Widerspruch? Computerstettings gelten, wie gerade festgestellt, doch nur für Computer?
Weil man hiermit dasselbe machen kann wie mit Richtlinien für Benutzer: Die Richtlinie zwar auf eine OU (oder die ganze Domäne) mit mehreren Computern anwenden, aber dort nur auf eine bestimmte Computergruppe wirken lassen. Computer können ja auch gruppiert werden.
grizzly999
-
Dann geht nur den Benutzer zum Administrator zu machen, so steht's auch bei Microsoft.
grizzly999
-
Also, deine Frage, wo die Kennwörter liegen ist technisch beantwortet. Alles andere wird nicht supportet. Mit Verweis auf Boardregeln -> Closed
grizzly999
-
Ja, liegen in der SAM, alles binär kodiert, so nichts rauszuholen.
grizzly999
-
Mir ist nichts bekannt, und Hacks, du hast es selber gemerkt ..... besser lassen
grizzly999
-
Na toll, das hat uns unser supporter vor monaten mal erzählt
Die beziehen ihr Wissen auch nur noch aus der Computer-Bild?! :D :rolleyes:
grizzly999
-
Beim Client auch?
Geht denn L2TP/IPsec mit MS-CHAP V2?
grizzly999
-
Schau mal, ob das Root-CA Zertifikat auf dem RAS-Server schon im Speicher für vertrauenswürdige zertifizierungsstellen ist (MMC SnapIn "Zertifikate"). Du hast es zwar im AD veröffentlicht, aber wenn die Richtlinie nicht gezogen hat. Zur Not von Hand installieren.
grizzly999
-
-
Wenn du L2TP/IPSec machen willst (und sagstest doch, das funktioniert bereits
), dann braucht der VPN/RAS-Serverf natürlich auch ein Computerzertifikat.grizzly999
-
Du solltest auf dem DC und dem VPN Server die Überwachung für fehlgeschlagene Anmeldeversuche einschalten und schauen, was in der Ereignisanzeige geloggt wird.
grizzly999
-
Könnte dann ein MTU-Problem sein. Setze doch mal die MTU auf demClient runter (Dr.TCP wäre da ein einfaches Tool).
Auch wenn's kein VPN ist, wer weiss, ob der Provider das nicht hintendran über eines leitet. Ich empfehle deshalb noch diesen Patch auf dem Server: http://support.microsoft.com/kb/898060/en-us
grizzly999
-
Der in der Domäne wird immer genommen, falls er da ist.
grizzly999
-
Zu 1)
Am besten mit Certutil: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q295663
Zu 2) CRL= Certificate Revocation List=Zertifikatssperrliste
Die Liste der gesperrten Zertifikate, die eine CA veröffentlicht.
CDP=CRL Distribution Point=Zugriff auf Sperrlisten Informationen. Der Pfad steht im Zertifkat, meist als HTTP-URL
Ich empfehle aber einige Grundlagenbildung. L2TP/IPSec mit Zertifkaten, EAP mit Smartcard oder Zertifikaten, klingt alles easy, aber man sollte doch grundsätzliches Know How haben. Bei Microsoft finden sich viele Papers dazu, und von Brian Komar gibt es ein gutes Buch (auch auf deutsch) ;)
grizzly999
-
hast du auch das adprep vom R2 gemacht (auf der R2-CD)
grizzly999
-
Die Root Ca ist auch im AD vertrauenswürdig, die CRL auch erreichbar in dem angegebenen CDP?
grizzly999
-
Am betsen mit einem Migrationstool, z.B. dem mitgelieferten ADMT.
grizzly999
-
hier wäre noch eine Liste, Ports 137-139 kann m an sich sparen, 2000 und XP können SMB auch nur über 445: http://support.microsoft.com/kb/179442/en-us
grizzly999
-
Wenn du über VPN gehtst, sind normal alle Ports verfügbar.
grizzly999
-
Kann ich so nicht bestätigen. Ich sehe immer alle Container
grizzly999
-
Was geschieht wenn ein GPO mit Usersettings in eine OU mit Computerkonten verlinkt wird?
Werden die Usersettings bei Anmeldung an den User übergeben?
Nein. Es gilt das selbe, was ich über die Computerrichtlinien gesagt habe, respektive auch düe Benutzer. Nur das wo sich das Benutzerkonto befindet, .....
Ausnahme: Es ist der Loopbackverarbeitungsmodus in de Computerrichtlinie aktiviert (s.a. Boardsuche dazu)
grizzly999
-
Ist das ein 2003 Server mit SP1? Ist das eine VPN-Verbindung?
grizzly999
-
Ist das eine Unternehmens-CA? Sieht im Moment für mich nicht so aus. Das Zertifikat muss natürlich im AD dem Benutzerkonto hinterlegt sein, sonst klappt das nicht. Bei einer Unternehmens-CA geht das automatisch.
grizzly999
), dann braucht der VPN/RAS-Serverf natürlich auch ein Computerzertifikat.
eingeschränkter Admin unter W2003-Server?
in Windows Forum — LAN & WAN
Geschrieben
Jaein. Für Druckerverwaltung gibt es die Druck-Operatoren und berechtigung für Kennwörter zurücksetzen kann man für die OUs oder Domäne per Verwaltungswizard zuweisen.
grizzly999