grizzly999

Du sprichst nicht von einer Domäne, sondern von lokalen Benutzern?

UNter Computer-Konfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Kontorichtlinien\Kennwortrichtlinien

grizzly999

es gibt doch diesen trick, dass man das netzwerkkabel zeiht, sich mit dem altbekannten passwort anmeldet und windows einen erstmal mangels netzwerkverbindung "zulässt"

 

danach steckt man das netzwerkkabel wieder und hat den angemeldetstatus, obwohl der user evtl. am DC gelöscht ist oder das passwort geändert wurde.

Dann habe ich eine lokale Anmeldung mithilfe der cached credentials geschafft, aber keinerlei authorisierten Zugriff auf Netzwerkresourcen. Und das Anmelden mit den cached credentials lässt sich einfach abschalten, entweder per GPO oder indem man das lokale Profil weglöscht.

Aber das alles ist ja hier nicht der Fall. Es wird so sein, wie schon angesprochen, wenn die DCs sich nicht replizieren, dass das Konto nur auf einem DC gelöscht ist. Allerdings bleibt die Frage, wenn die sich nicht replizieren, weil sie nicht können (und der Himmel und der Admin allein wissen, wieso das so konfiguriert ist :rolleyes: ), welchen DC und warum erhält der Client zur Anmeldebestätigung

grizzly999

grizzly999

Hi und willkommen im Board :)

Man kann auch einfach die ADM-Dateien aus dem %systemroot%\inf eines deutschen 2003 Server dorthin kopieren, so man einen hat. Bei bereits erstellten GPOs muss man die ADMs im GPO-Ordner tauschen., aber ich weiss nicht, ob man dann die Einstellungen neu setzen muss. Das wäre zu prüfen. Neue GPOs wären dann aber in deutsch. Die SP-Version sollte übereinstimmen, SP1 hat einige zusätzliche GPOs gebracht.

grizzly999

Ja, aber leider geht es hier um Firmeninternen Schwund...

Und den sollen wir hier klären :suspect:

Weisst du wieviele CDs da inzwischen drin sind? Mir reicht bei weitem ein Koffer nicht mehr aus. Ich werde die nicht zählen, vielleicht tut's jemand anders

grizzly999

Das bietet IIRC das FSMT an oder teilweise die Dritthersteller-Tools

grizzly999

Ja, an den dsget noch - disabled einfügen (siehe auch Onlinehilfe für dsget)

grizzly999

Also ist es schon besser, wenn ich den RAS-Server auf einem anderen Server als den PDC (der auch Masterbrowser ist) installiere

Ja, der Empfehlung nach auf jeden Fall, zumindest was das Browsing angeht. Und den Einsatz von WINS würde ich auch anraten, wenn die Netzwerkumgebung eine so große Rolle spielt (auch für diverse Applikationen und Dienste).

Und den separaten RAS dann per RegKey vom MasterBrowser-werden abhalten ;)

grizzly999

Was hat WINS, LMHOSTS oder HOSTS mit FSMO-Rollen zu tun?

Ich vermisse den WINS-Server in der Liste. Da du allein schon durch den RAS-Zugang ein segmentiertes Netzwerk hast, solltest du WINS für alle Rechner nutzen, damit die Netzwerkumgebung korrekt aufgebaut wird.

Dann sollte der Hauptsuchdienst nicht mehrere Netzwrkkarten haben, sonst gibt es Probleme mit der netzwerkumgebung: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q188305

Der DC mit der PDC-Emulatorrolle sollte auch nur eine Netzwerkkarte haben (gleicher Link wie oben)

Daher Multihomed Server, wie den RAS-Server auf jeden Fall per RegKey davon abhalten, Master Browser zu werden, beschrieben hier (ganz unten im Artikel): http://support.microsoft.com/kb/191611/EN-US/

grizzly999

Die SE kann 4 Prozessoren nutzen: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/architec/8_ar_ts_8dbn.asp

grizzly999

Da gibt es meherere Möglichkeiten:

- Sichern und weiderherstellen (ntbackup)

- xcopy mit Paramter (/o wars glaube ich)

- robocopy

- FSMT Tool von Microsoft (eher oversized)

- Dritthersteller Tools wie securecopy etc.

Schlage Möglichkeit 1-3 vor ;)

grizzly999

Also der Rechner verliert weder ein Benutzer-Kennwort, noch ändert er dies selbständig. Also muss irgendwer oder -was das getan haben.

eine weitere mögliche Erklärung: das lokale Administratorkonto wurde umbenannt (von irgendwem oder einer Richtlinie) und ein anderes Konto wurde in "Adminstrator umbenannt".

Und als Domänen-Admin solltest du auch lokal Kennwörter zurücksetzen können, außer du bist dort auf dem PC kein Admin. Hast du das geprüft (nachschauen in der loaklen Adminstratorengruppe, ob die Domänen-Admins da noch Mitglied sind).

grizzly999

Kann ich im Moment leider nicht sagen, ist bei mir nämlich nicht so

grizzly999

Das Symbol für das sichere Entfernen von Hardware solte sich - sofern eine solche Hardware vorhanden -rechts unten im Systray befinden(ein kleine Platte mit grünem Pfeil)

grizzly999

Was willst du uns damit sagen ???

.... vermutlich, dass das teil über Port 80 kommuniziert, und der Geschäftspartner, so er hinter einer Firewall saß, eingehend auch den Port 80 in seiner Firewall geöffnet hatte.

grizzly999

Genau, er kann ja auf den Zertifikatsspeicher des Benutzers nicht zugreifen, wenn dieser noch nicht authentifiziert ist . Ausnahme: EAP-TLS mit 802.1x bei WLAN mit RADIUS, da meldet er den User wohl mit den cached credentials an, um das Zertifikat rauszuholen.

grizzly999

Hi grizzly999,

 

aber bei VNC müssen auch div. Port geöffnet sein oder... ??

Ja, aber bei pcvisit auch.

grizzly999

Hallo und willkommen an Board

Das verstehe ich nicht:

ohne jegliche einstellungen an Firewall, Ports usw

Wenn da eine Firewall ist muss man immer was einstellen.

Funktioniert absolut klasse über Router und Firewal hinweg

nachdem man den entsprechenden Port freigegeben hat

grizzly999

Wie meinst du das mit der Software?

Ich kann dir aber sagen, dass nicht die Fragen aus den MS-Press Büchern drankommen :D

grizzly999

Hallo und Willkommen im Board

Hast du mehrere DCs oder gar Standorte?

grizzly999

Gemacht habe ich es nur mit einer EE, aber gegen das, was du gelesen hast, spricht alles, was ich auf die Schnelle bei Microsoft finde:

http://www.microsoft.com/exchange/evaluation/overview/default.mspx

http://www.microsoft.com/technet/prodtechnol/exchange/DE/Guides/Ex2k3DepGuide/9f5b91cd-d7c2-409d-81a0-033a23e1faee.mspx?mfr=true

Wichtig:

Exchange Server 2003 Standard Edition unterstützt kein Clustering. Clustering wird ebenfalls nicht von Windows 2000 Server und Windows Server 2003 unterstützt. (plus grafische Tabelle)

http://www.msexchangeforum.de/modules/smartfaq/faq.php?faqid=19

usw.

grizzly999

Geht das mit Exchange 2003 Std ? oder brauchst da schon die Enterprise Variante ? ist wohl nahliegend.

Man braucht die Enterprise Edition. Vom drunter liegenden 2003 Server auch die Enterprise Edition

grizzly999

Dann hat er die Zone bereits. Du hattest weiter oben auch geschrieben, er hätte eine Forward und eine Reverse Lookup Zone. Welche hast du nicht geschrieben a8ich nehme an, die von firma.de), egal, lösche beide.

Dann kannst du eine sekundäre Zone für Firma.de anlegen und dabei den DC als Master-DNS angeben. Für die Reverse Lookup Zone machst du es genauso.

Frage zwischenrein: Ist denn da eine Firewall dazwischen?

grizzly999

Wie "Bei der Anmeldung"?

grizzly999

Hi!

 

Das XP-Prof alle 24 h einen neuen Wiederherstellungspunkt setzt, ist mir neu.

Darum sagte ich es ja ;)

http://www.microsoft.com/technet/prodtechnol/winxppro/plan/faqsrwxp.mspx

Q. When are restore points created?

A. The user can manually create a restore point at any time on their computer using the System Restore Wizard. Restore Points are also automatically created on your computer when:

 

• Installing an unsigned device driver

 

• Installing System Restore compliant applications (Installing an application that uses Windows Installer, or Install Shield Pro version 7.0 or later, causes System Restore to create a restore point)

 

• Installing an update by using Automatic Updates

 

• Performing a System Restore operation so the user can undo that restore operation if needed

 

• Restoring data from backup media using the Backup tool

 

• Creating daily restore points (System Restore creates a restore point every 24 hours if the computer is on or 24 hours have passed since the last restore point was created)

Diese alle 24h erstellten Prüfpunkte sind dann im Kalender als "Systemprüfpunkt" zu finden

Über die WMI Schnittstelle kann man Restore Points auch manuell erstellen:

http://support.microsoft.com/kb/295299/en-us

grizzly999