grizzly999

Da mit einer Systemstatussicherung auch die Registry gesichert wird (da sind dann u.U. Unterschiede) zwischen SE und EE, würde ich empfehjlen, irgendeinen zweiten Rechner hernehmen, zum zusätzlichen DC machen, den alten rausnehmen (dcpromo) und als SE neu aufsetzen. Danach den zweiten Hilfs-DC mit dcpromo wieder rausnehmen (würde ich nicht tun ;) , keine Domäne ohne zwei DCs !!) grizzly999

Ein User hat immer Vollzugriff auf HKCU (mit kleinen Ausnahmen) grizzly999

MetadirectoryServices, da gibt es nicht einfach ein HowTo, da kauft man das Produkt mit samt dem Consulting direkt bei microsoft, also nichts Billiges. grizzly999

Nimm auf dem Client in den VPN-Eigenschaften beui der EAP-Authentifizierung das Häkchen bei "Eigene Smartcard verwenden" raus. grizzly999

Der User braucht die Berechtigung. Die könntest du auf die einzelnen Scripts separat vergeben, aber warum soll ein User die Scripts nicht lesen sollen? Steht da was hochgeheimes drin? grizzly999

Gute Frage, zumal diese höchst sinvolle Antwort, erst gut 6 Wochen nach der Frage kam und meines Erachtens nicht besonders viel zur Lösung beitrug. Zum Thema, falls es noch irgendjemand interssiert: Nein ISA 2004 kann kein ActiveX blocken. Man kann das höchstens über das Filten von Dateierweiterungen machen, oder Drittherstellersoftware einssetzen, zB. von GFI u.a. Dass wir dann WindowsUpdates über den ISA vergessen können, ist auch klar grizzly999

Ich gehe davon aus, dass unterhalb vom Reiter Zonenübertragung in der Benachrichtigung eine solche eingerichtet war. Durch Deaktivieren der Zonenübertragung mittels Häkchen wird zwar die Zonenübertragung nicht mehr zugelassen, aber der Reg-Key für die Benachrichtigung nicht gelöscht. Wenn du jetzt in die Registry unter HKLM\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones\<Zonenname> nachschaust, gibt es bestimmt noch den Wert "NotifyServers" mit Werten. Wenn du im DNS die Zonenübertragung öffnest und die Beanachrichtigung deaktivierst, dann die zoneübertragung wieder deaktvierst, ist der Wert verschwunden. grizzly999

Hallo und willkommen hier :) Die Clients ab 2000 aufwärts (und bei W9 und NT mit zusätzlichem dsclient) sind standortsensitiv, DFS geht auch zu den standortsensitiven Anwendungen. D.h., eigentlich sollten die DFS-Clients einen DFS-Link aus ihrem Standort bekommen. Klappt in aller Regel auch. Was ich hier als ein potentielles Problem sehe, dass der Server DFS-Stammserver, DC, Fileserver, alles in einem ist und wegen RAS multihomed ist (-> mögliches Namensauflösungsproblem?!). Finden sich im Ereignislog Fehlermeldungen, die auf Probleme in Verbindung mit Standorten allgemein, Replikation, DFS o.ä. deuten? Hast du bereits bei einem bzw. mehreren Clients schon untersucht, mit welchem DFS-Stamm und DFS-Link die sich verbinden? grizzly999

Am einfachsten und sehr sauber und schön erreichst du das IMHO mit Boardmitteln mit dem Einsatz von IPSec-Richtlinien auf dem PC. Dann brauchst du auch nichts auf dem Router blockieren, was aus meiner Sicht die aufwendigere Sache darstellt, vor allem, wenn es nicht nur um den einen Rechner geht, sondern um mehrere/viele in dem Netzwerk. grizzly999

Mag sein, dass du so was we "Hochzählen" festgestellt hast, aber der Client krallt sich normalerweise einen beliebigen freien Port oberhalb von 1023. Du müsstest also korrekterweise alle Antwortports von 1024-65535 aufmachen. Nein. Du musst nur eine entsprechende Firewall haben, ich weiß nicht was du für eine hast, aber jede Durchschnittsfirewall kann Stateful Inspektion, d.h. sie macht die Ports auf (Antwortports), die für zugelassenen Verkehr benötigt werden. grizzly999

Wenn der Nachrichtendienst auf dem Rechner läuft, könntest du einen net send %computername% "Feddich mit kopieren" schicken. Ansonsten einen ECHO-Befehl in der Batch, den sieht man aber nur, wenn das Script sichtbar ausgeführt wird, und wenn keine Pause kommt, dann nur kurz bis fast gar nicht. Warum kein VB? grizzly999

... oder subincal.exe Oder damit, Dass der Thread schon über 2 Jahre alt ist *Pust, Staub* grizzly999

Hallo und willkommen :) Wenn der ISA nicht in der Domäne ist, dann kannst du ihn entweder auf einem eigenen DC in einem separaten Forest einrichten, und eine einseitige Vertrauensstellung einrichten. Oder die Authentifizierung läuft über eine RADIUS-Server, der in der Domäme eingerichtet ist. Die Firewall vorne muss je nach Tunneltyp Port 1723 TCP und Protokollkennung 47 (GRE)weiterleiten (für PPTP), und Port 500 UDP, evtl. Port 4500 (NAT-T, weiss nicht, ob ihr das braucht), und Protokollkennung 50 (ESP) alles für L2TP/IPSEc. grizzly999

Ja, so wie das normal aussieht. Zwei DCs auf zwei getrennten Servern, jeder werkelt so vor sich hin. Damit habe ich schon die Redundanz, was den DC-Dienst angeht . grizzly999

Wo hast du das gelesen? Ein Webserver gehört nicht zu den cluster-aware Applikationen. Webserver werden gleichermaßen eingerichtet und abgeglichen, die Redundanz (und Lastverteilung) kommt über über Network Load Balancing (NLB) oder über die DNS-Auflösung mit Round Robin. grizzly999

Jep, Danke. Sh.i.t. Copy-And-Paste :D grizzly999

Technisch absolut korrekt, dann funktioniert Tunnel/DFÜ und der Internetzugriff. Aber als Domänen-Admin würde ich jeden meiner Benutzer teeren und federn, der auf diese Weise einen sog. Split-Tunnel aufbaut (können eh' nur lokale Admins) :D Die Sicherheit ist dann dahin. Wenn ich mit diesem PC auf eineer entsprechenden Seite eines Bösen lande, und der es schaft auf/über meinen Rechner ....... dann ist er schwupps auf direktem Wege im Firmennetz. Bei einer Tunnelverbindung auch noch schön verschlüsselt durch die Firmenfirewall von mir durchgeschleust :shock: Daher: Vorsicht mit Spilt-Tunneln !! grizzly999

NEIN! Nochmal: bei Zugriffen übers Netzwerk ziehen auf jeden Fall die Freigabeberechtigungen UND die NTFS-Berechtigungen. Beide. Zuerst die der Freigabe, dann die von NTFS. Effektiv wirksam ist am Ende die, die mehr einschränkt von beiden. Beispiel: Ordner "Daten", Freigegeben als "Daten" Freigabeberechtigung: Gruppe A -> Lesen NTFS-Berechtigung: Gruppe A -> Vollzugriff Mitglieder von A haben effektiv bei Zugriff übers Netzwerk: LESEN Freigabeberechtigung: Gruppe B -> Vollzugriff NTFS-Berechtigung: Gruppe B -> Ändern Mitglieder von A haben effektiv bei Zugriff übers Netzwerk: ÄNDERN Daher kann man auf Freigabeebene die Berechtigung Jeder-> Vollzugriff eintragen (bei 2000/NT4.0: lassen), den Rest regelt man sowieso dann über NTFS grizzly999

Ja, so ist das richtig. Die Namensgebung sollte halt entsprechend sein, wenn man unterschieldiche DLs für unterschiedliche Berechtigungen nehmen will, z.B. DL-OUVerkauf-Administration und DL-OULager-Administration. Aber ansonsten :jau: grizzly999

...oder einer sleber erstellten local bzw. Domainlocal group, wenn die vordefinierten meinen Zwecken nicht gerecht werden. Das wäre bei dir der Fall, denn keine der vordefinierten Gruppen ist für diesen zweck gedacht, also selber die DL-Groups erstellen. Das ist ist nicht korrekt. Diese können nur und ausschließlich auf DCs verwendet werden. Selber-erstellte(!) Domain Local Groups können ebenfalls nur auf DCs, und nicht in der gesamten Domäne, verwendet werden, wenn Die Domäne in den Domänenfunktionslevlen "2003 Interim" oder "2000 gemischt" läauft. In den beiden höheren Leveln "2000 pur" und "2003 Server" können selber-erstellte(!) Domain Local Groups auf allen Mitgliedern der Domäne verwendet werden. [Q7uote] Der einfachste Weg, ist nicht immer der beste, resp. der richtige. Wie realisiert man dies richtig? Sorry, das kam wohl dann nicht so rüber wie ich wollte. Den einfachsten und besten Weg, die von dir vorgeschlagene Verwendung von Restricted-Groups-GPOs, den wollte ich bejahen, sprich sagen: Mach's so ;) grizzly999

Zusatzfrage: Was siehst du alls, wenn du links auf "Ports" gehst, und dort mit einem Rechtsklick die Eigenschaften öffnest? Werden dort in der Liste die Ports "L2TP" "PPTP" "PPoE" und "Parallelanschluss" aufgeführt? Wenn ja, ist da das Häkchen auch drin, um diese Ports an den RAS-Dienst zu binden? grizzly999

Aber nicht doch, nach Ihnen, die Dame :D Warten wir auf josef-muc ..... ich gehe jetzt dann eh abld in die Heia. grizzly999

Jo, wir sind hier von der fixen Sorte :) Ich warte mal auf die Beantworten von ITHiome's Fragen. Cobra, äh IThome, übernehmen Sie .... :D grizzly999

Ah, die von mir nicht genannte (weil nicht gesuchte) Quelle :) Danke .... ;) grizzly999

Ich bin kein Mathematik-Studierter, kein Krypto-Experte, und kann auf dem Papier keinen MD4-Hash berechnen, aber ich stecke da ziemlich drin in der Security Chause, grad was die Mircosoft Sachen angeht. LM-Hash, NT Hash, ein Hash überhaupt, und was nicht alles da in das Thema reingehört, das erzähle ich dir inzwischen ohne abzulesen, aber sorry, auf der Wissens-Ebene, auf der du dich gerade bewegst, kann ich nicht weiter eine ernsthafte technische Diskussion führen. Ohne irgendwas persönlich anbringen zu wollen, Gott bewahre, aber wenn du dich über ein paar Monate hinweg tief in die Materie einliest, dann können wir hier fortsetzen. Jedoch mit dem, was du in diesem Thread jedes mal aufs Neue von dir gibst, hat es an keiner Stelle den Ansatz von technischer Richtigkeit. Nochmals sei abschliessend gesagt: L2TP/IPSec, das Ganze mit Zertifikaten, ist völlig ohne Zweifel der absolut sicherere Tunnel. Keine Frage. Aber PPTP an sich ist generell nicht unsicher, das sagt auch Bruce :D Die Sicherheit von PPTP hängt allein vom verwendeten Benutzerkennwort ab, so wie im Netzwerk auch. Habe die Ehre :) grizzly999