grizzly999

Nein, IT-home hat recht, dass ist eine Sache der Def.Dom.Contr. Policy, und da steht schon was drin, also ist seine GPO wertlos ;) grizzly999

Wenn schon reg.exe, warum dann nicht reg /add ;) Schau dir mal die Hilfe dazu an ... grizzly999

Da geht es wohl um den Fehler 40960 und 40961, oder?! Warum kann man das nicht einfach hinschreiben, so einen genazen Euiíntrag aus dem Ereignisprotokoll, sondern nur immer so ein halbfertiges nebulöses Zeug Schon mal bei eventid.net nachgeschaut? http://www.eventid.net/display.asp?eventid=40960&eventno=787&source=LsaSrv&phase=1 grizzly999

Da geht es aber um den Schlüssel der CA selber, mit welchem die Zertifikate signiert werden. Das hat nichts mit der Schlüssellänge der ausgegebenen Zertifikate zu tun. Nimm's mirt nicht überl, aber dieses Gefühl beschleicht mich auch :wink2: Drum will ich hier gar nicht auf irgendwelche herausgepickten Details eingehen. Ich empfehle dir aufgrund der brisanten Thematik, hier geht's schließlich um Sicherheit, und zwar in hohem Maße, dafür sind Zertifikate ja da, dann arbeite dich zuerst in die Materie ein. Die ist nicht ohne, und ohne tiefgreifendes Verständnis von Anfang an, würde ich auf die Sache keinenHeller setzen. Ein gutes Buch ist u.a. das hier: http://www.edv-buchversand.de/product.php?cnt=product&id=ms-973&lng=0 Bei Microsoft finden sich natürlich auch viele Papers, manhce auch sehr ausführlich, z.B. http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx http://technet2.microsoft.com/WindowsServer/en/Library/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx .... grizzly999

Ok... Du meinst die ganzen Benutzerkonten in der OU, vermute ich mal?! Ok... Du meinst, die sollen es mal werden, also diese Gruppe Mitglied in jeder lokalen Administratorengruppe auf einem Client?! Da hst du dich wohl falsch ausgedrückt. Eine OU kann nicht Mitglied einer Gruppe sein. Du meinst wohl wieder die Benutzerkonten, welche in der OU sind, sollen Mitglied der Gruppe sein, oder sind bereits Mitglied?! Aha.... Keine Ahnung, irgendwer hat die Gruppe wohl dort erstellt oder hin verschoben. Von alleine ist da nicht hingekommen :D Dem ist garantiert nicht so. Wie kommst du darauf? Wenn sie Domänen-Admins wären ja, aber .... siehe eine Antwort weiter oben. Wenn du damit meinst, dass die GG_ClientsLocalAdmin auf den Clients lokale Adminrechte erhalten soll. ja, da wäre das die einfachste und schnellste Lösung. Auch Grüße grizzly999

Also, per PN bei Interesse grizzly999

... Zum Beispiel ;) Sollte eigentlich funktionieren grizzly999

Wahrscheinlich das ResourceKit Tool Rassrvmon.exe bei 2003 grizzly999

Mit Softwareverteilmethoden (OnComand, NetInstall etc.) oder von Policymaker gibt es ein Freewaretool das die GPOs herifür erweitert: http://www.vistaconsult.de/component/option,com_remository/Itemid,54/filecatid,49/func,fileinfo/ Das kann IIRC auch Reg_Binaries und Reg_MultiSZ grizzly999

Hallo und willkommen im Board :) Schau mal hier rein, oder an anderen Stellen, die die Boardsuche ausspuckt: http://www.mcseboard.de/showthread.php?t=75086 grizzly999

Du hast den neusten Virensnanner laufen :D :D Bei mir ist der Server 2003, aber das eigentlich bei 2000 nicht anders. Mit irgendwelchen Richtlinien gespielt :suspect: Call aufmachen ... grizzly999

Nun denn: dann als erstes mal mit einem Sniffer auf einem dahinterliegenden Rechner schauen, ob das Paket überhaupt durchgeroutet wird. Wenn ja, dann schauen, ob der Rechner antwortet. Wenn nein, dann hat der RAS ein Problem. In dem Fall es mit einem statischen Pool auf dem RAS und Adressen NICHt aus dem internen Netz versuchen. grizzly999

Wenn ich mich recht entsinne: Man muss die Eigenschaft "Option" des betreffenden Inter-Site-Link Objektes mit ADSIEdit auf 4 setzen, irgendwie so war das. /edit: Gefunden: http://www.windowsitpro.com/Articles/Index.cfm?ArticleID=46530 grizzly999

Hab's auch greade getestet. Bei mir ist das nicht so (puuuhhhh) :p Aber seltsam ist das bei dir, das dürfte nicht so sein, (logisch, wäre ja schlimm, wenn beim Ändern der Besitz wechselt) grizzly999

Ugggs :shock: Mooommeeent ....................................

Hallo und willkommen im Board :) Welchen Adressbereich bekommen die RAS-Clients? Wenn nicht einen aus dem internen Netz, kennen dann die internen Rechner die Route über den RAS in dieses Netz? grizzly999

Hallo und willkommen an Board :) EAP-TLS nud PEAP sind Methoden der Benutzerauthentifizierung, nicht der Computerauthentifizierung. Der Computer authentifiziert sich sich über sein Zertifikat, ebenso wie der IAS, ähnlich wie bei IPSec. Kennwortänderung für abgelaufene Kennwörter beim Einwählen ist seit Windows 2000 RAS eigentlich kein Problem mehr. PEAP steht nur bei CP und 2003 zur Verfügung, EAP-TLS seit 2000. grizzly999

Das Weiterleiten einer Authentifizierung durch einen Domänencontroller an einen anderen DC in einer vertrauten Domäne für Securtity Principals, die zur vertrauten Domäne gehören. Bsp: Dom A vertraut Dom B. User aus Dom B meldet sich an Client aus Dom A an. Dann macht der DC von Dom A eine Pass-Through-Authentication, indem er die Anmeldeinformationen an einen DC von Dom B weiterleitet, weil nur der die Credentials bestätigen kann. HTH grizzly999

Eher nicht, der ändert automatisch den Zeitstempel der letzten Änderung. Besitzer st zunächst der Ersteller, also auch der, der die Datei dorthin kopiert hat. Aber mit der Berechtigung "Besitz übernehmen" bzw. Vollzugriff kann man den Besitzer ändern, das würde man dann nur herausfiniden, wenn das Auditing eingeschaltet ist. grizzly999

Wie machst du die Verbindung? Im Lan, über WAN, über VPN, Standleitung o.a.? grizzly999

Das ist nicht einfach zu finden, das stimmt. Ich habe schon die eine oder andere Doku geshen, aber die Suchfunktion spült die meist nicht nach oben. Am ehesten fiindet man die Links dazu im Forum von Tom Shinder (isaserver.org -> MessageBoards). Allerdings weisen davon einige auf die Microsoft Homepage, z.B. hier: http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.mspx Anm: Am einfachsten ist es immer noch, zwei ISA zu nehmen, oder zwei ThirdParty Router/Firewalls, da ist die Zusammenarbeit immer gegeben (und spart meist Geld ;) ) grizzly999

Parallel ist null Problem. Deine Überschrift ist irreführend, bzw. du lässt dich irreführen. SUS schnappt niemandem die Clients weg, das Ganze ist auf Seiten des Servers (SUS/WSUS) total passiv. Es ist der Client, der konfiguriert wird, dass sich an einen bestimmten Server wendet, da liegt dein Problem. Du redest vom Konfigurieren des Clients mit gpedit.msc. Das ist aber eine lokale Richtlinie. Ich vermute, dass es in deiner Domäne noch eine Gruppenrichtlinie mit dem alten SUS eingetragen gibt. Wenn diese gezogen wird, überschreibt sie natürlich die lokalen GPO-Einstellungen. Ist jetzt mal aufgrund ungenauer Aussagen eine Vermutung, aber dein Problem liegt definitiv in den Richtlinien, nicht am SUS oder WSUS grizzly999

Wenn du mit diesen Richtlinien Softwarebeschränkungen durchsetzen willst, dann muss die Software für einen bestimmten Benutze/Gruppe in EINER Richtlinie eingestellt sein, nicht in mehreren. Soweit ích das verstanden habe, hast du einen Gruppenrichtlinienkonflikt erzeugt, und in dem Fall zieht die zuletzt abgearbeitete Richtlinineeinstellung. Die GPOs sind bei unsterschiedlichen Konfigurationen für verschiendene Einstellungen NICHT kumulativ grizzly999

Nein, falsch. Berechtigungen für Ordner und Freigaben sind an der jeweiligen Resource zu machen und nicht im Tool "Active-Directory Standorte und Dienste ". Dort lege ich fest, wer die AD-Objekte hier in diesem Tool verwalten kann. Welche Aufgaben sollen denn genau getrennt bzw. gewährt werden, nur Dateizugriffe? grizzly999

Zumindest beim ersten Aufruf des Runas-Befehls möchte er das Passwort haben, ab XP Prof könnte man spätere Eingaben mit dem Schalter /savecred verhindern. Eventuell könnte man mit spzeillen Tools für Batchprogrammierung die Passworteingabe automatisch erledigen. Es gibt aber auch Software, bei der das Passwort abgespeichert werden kann und zwar für den Benutzer nicht sichtbar, z.B. "Runas Professional" (-> Googlen) grizzly999