-
Gesamte Inhalte
17.686 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von grizzly999
-
-
Wenn schon reg.exe, warum dann nicht reg /add ;)
Schau dir mal die Hilfe dazu an ...
grizzly999
-
Da geht es wohl um den Fehler 40960 und 40961, oder?!
Warum kann man das nicht einfach hinschreiben, so einen genazen Euiíntrag aus dem Ereignisprotokoll, sondern nur immer so ein halbfertiges nebulöses Zeug
Schon mal bei eventid.net nachgeschaut?
http://www.eventid.net/display.asp?eventid=40960&eventno=787&source=LsaSrv&phase=1
grizzly999
-
wenn ich via Webanforderung für den User erweiterte Konfiguration bei der Zertifikatsanforderung nicht anwähle wird das Zertifikat mit 512 verschlüsselt .. bei erweitert kann ich 1024 auswählen .. so ist die CA auch eingestellt ..
Da geht es aber um den Schlüssel der CA selber, mit welchem die Zertifikate signiert werden. Das hat nichts mit der Schlüssellänge der ausgegebenen Zertifikate zu tun.
wenn ich ganz ehrlich sein soll .. ich blick nicht mehr durch ..Nimm's mirt nicht überl, aber dieses Gefühl beschleicht mich auch :wink2:
Drum will ich hier gar nicht auf irgendwelche herausgepickten Details eingehen.
Ich empfehle dir aufgrund der brisanten Thematik, hier geht's schließlich um Sicherheit, und zwar in hohem Maße, dafür sind Zertifikate ja da, dann arbeite dich zuerst in die Materie ein. Die ist nicht ohne, und ohne tiefgreifendes Verständnis von Anfang an, würde ich auf die Sache keinenHeller setzen.
Ein gutes Buch ist u.a. das hier: http://www.edv-buchversand.de/product.php?cnt=product&id=ms-973&lng=0
Bei Microsoft finden sich natürlich auch viele Papers, manhce auch sehr ausführlich, z.B.
http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
http://technet2.microsoft.com/WindowsServer/en/Library/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx
....
grizzly999
-
Ich habe eine Organisational Unit Namens Developer.
Ok...
Die sollen alle Lokale Admins seinDu meinst die ganzen Benutzerkonten in der OU, vermute ich mal?!
Nun haben wir auch eine Global Group GG_ClientsLocalAdmin.Ok...
Also die Globale Gruppe der lokalen AdminsDu meinst, die sollen es mal werden, also diese Gruppe Mitglied in jeder lokalen Administratorengruppe auf einem Client?!
In dieser sich die OU Developer befindetDa hst du dich wohl falsch ausgedrückt. Eine OU kann nicht Mitglied einer Gruppe sein. Du meinst wohl wieder die Benutzerkonten, welche in der OU sind, sollen Mitglied der Gruppe sein, oder sind bereits Mitglied?!
Ich habe nun auf dem DC im Builtin die GG_ClientsLocalAdmin gefundenAha....
Gehört die den da hin?Keine Ahnung, irgendwer hat die Gruppe wohl dort erstellt oder hin verschoben. Von alleine ist da nicht hingekommen :D
Somit wären ja alle Members der GG_ClientsLocalAdmin Domän Admins und das ist ungewolltDem ist garantiert nicht so. Wie kommst du darauf?
Sie könnten somit auf den DCs rumturnen und Unfug machenWenn sie Domänen-Admins wären ja, aber .... siehe eine Antwort weiter oben.
Wird das nicht über Restricted Groups gemacht und einer Policy?Wenn du damit meinst, dass die GG_ClientsLocalAdmin auf den Clients lokale Adminrechte erhalten soll. ja, da wäre das die einfachste und schnellste Lösung.
Auch Grüße
grizzly999
-
Also, per PN bei Interesse
grizzly999
-
Die IP-Bereiche würde ich wie folgt festlegen:
Server 192.168.10.10
Lokales Netz 192.168.10.100 - .199 (DHCP)
RAS-Client 192.168.0.200 - .249
fellows
... Zum Beispiel ;)
Sollte eigentlich funktionieren
grizzly999
-
Wahrscheinlich das ResourceKit Tool Rassrvmon.exe bei 2003
grizzly999
-
Mit Softwareverteilmethoden (OnComand, NetInstall etc.) oder von Policymaker gibt es ein Freewaretool das die GPOs herifür erweitert: http://www.vistaconsult.de/component/option,com_remository/Itemid,54/filecatid,49/func,fileinfo/
Das kann IIRC auch Reg_Binaries und Reg_MultiSZ
grizzly999
-
Hallo und willkommen im Board :)
Schau mal hier rein, oder an anderen Stellen, die die Boardsuche ausspuckt: http://www.mcseboard.de/showthread.php?t=75086
grizzly999
-
Du hast den neusten Virensnanner laufen :D :D
Bei mir ist der Server 2003, aber das eigentlich bei 2000 nicht anders. Mit irgendwelchen Richtlinien gespielt :suspect:
Call aufmachen ...
grizzly999
-
Nun denn: dann als erstes mal mit einem Sniffer auf einem dahinterliegenden Rechner schauen, ob das Paket überhaupt durchgeroutet wird.
Wenn ja, dann schauen, ob der Rechner antwortet.
Wenn nein, dann hat der RAS ein Problem. In dem Fall es mit einem statischen Pool auf dem RAS und Adressen NICHt aus dem internen Netz versuchen.
grizzly999
-
Wenn ich mich recht entsinne: Man muss die Eigenschaft "Option" des betreffenden Inter-Site-Link Objektes mit ADSIEdit auf 4 setzen, irgendwie so war das.
/edit: Gefunden: http://www.windowsitpro.com/Articles/Index.cfm?ArticleID=46530
grizzly999
-
Hab's auch greade getestet. Bei mir ist das nicht so (puuuhhhh) :p
Aber seltsam ist das bei dir, das dürfte nicht so sein, (logisch, wäre ja schlimm, wenn beim Ändern der Besitz wechselt)
grizzly999
-
Ugggs :shock:
Mooommeeent ....................................
-
Hallo und willkommen im Board :)
Welchen Adressbereich bekommen die RAS-Clients? Wenn nicht einen aus dem internen Netz, kennen dann die internen Rechner die Route über den RAS in dieses Netz?
grizzly999
-
Hallo und willkommen an Board :)
EAP-TLS nud PEAP sind Methoden der Benutzerauthentifizierung, nicht der Computerauthentifizierung. Der Computer authentifiziert sich sich über sein Zertifikat, ebenso wie der IAS, ähnlich wie bei IPSec.
Kennwortänderung für abgelaufene Kennwörter beim Einwählen ist seit Windows 2000 RAS eigentlich kein Problem mehr.
PEAP steht nur bei CP und 2003 zur Verfügung, EAP-TLS seit 2000.
grizzly999
-
Das Weiterleiten einer Authentifizierung durch einen Domänencontroller an einen anderen DC in einer vertrauten Domäne für Securtity Principals, die zur vertrauten Domäne gehören.
Bsp: Dom A vertraut Dom B. User aus Dom B meldet sich an Client aus Dom A an. Dann macht der DC von Dom A eine Pass-Through-Authentication, indem er die Anmeldeinformationen an einen DC von Dom B weiterleitet, weil nur der die Credentials bestätigen kann.
HTH
grizzly999
-
Aber auch jeder, der sie danach geändert hat ...
Eher nicht, der ändert automatisch den Zeitstempel der letzten Änderung. Besitzer st zunächst der Ersteller, also auch der, der die Datei dorthin kopiert hat. Aber mit der Berechtigung "Besitz übernehmen" bzw. Vollzugriff kann man den Besitzer ändern, das würde man dann nur herausfiniden, wenn das Auditing eingeschaltet ist.
grizzly999
-
Wie machst du die Verbindung? Im Lan, über WAN, über VPN, Standleitung o.a.?
grizzly999
-
Das ist nicht einfach zu finden, das stimmt. Ich habe schon die eine oder andere Doku geshen, aber die Suchfunktion spült die meist nicht nach oben. Am ehesten fiindet man die Links dazu im Forum von Tom Shinder (isaserver.org -> MessageBoards).
Allerdings weisen davon einige auf die Microsoft Homepage, z.B. hier: http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.mspx
Anm: Am einfachsten ist es immer noch, zwei ISA zu nehmen, oder zwei ThirdParty Router/Firewalls, da ist die Zusammenarbeit immer gegeben (und spart meist Geld ;) )
grizzly999
-
Parallel ist null Problem.
Deine Überschrift ist irreführend, bzw. du lässt dich irreführen. SUS schnappt niemandem die Clients weg, das Ganze ist auf Seiten des Servers (SUS/WSUS) total passiv.
Es ist der Client, der konfiguriert wird, dass sich an einen bestimmten Server wendet, da liegt dein Problem.
Du redest vom Konfigurieren des Clients mit gpedit.msc. Das ist aber eine lokale Richtlinie. Ich vermute, dass es in deiner Domäne noch eine Gruppenrichtlinie mit dem alten SUS eingetragen gibt. Wenn diese gezogen wird, überschreibt sie natürlich die lokalen GPO-Einstellungen.
Ist jetzt mal aufgrund ungenauer Aussagen eine Vermutung, aber dein Problem liegt definitiv in den Richtlinien, nicht am SUS oder WSUS
grizzly999
-
Wenn du mit diesen Richtlinien Softwarebeschränkungen durchsetzen willst, dann muss die Software für einen bestimmten Benutze/Gruppe in EINER Richtlinie eingestellt sein, nicht in mehreren. Soweit ích das verstanden habe, hast du einen Gruppenrichtlinienkonflikt erzeugt, und in dem Fall zieht die zuletzt abgearbeitete Richtlinineeinstellung.
Die GPOs sind bei unsterschiedlichen Konfigurationen für verschiendene Einstellungen NICHT kumulativ
grizzly999
-
Nein, falsch. Berechtigungen für Ordner und Freigaben sind an der jeweiligen Resource zu machen und nicht im Tool "Active-Directory Standorte und Dienste ". Dort lege ich fest, wer die AD-Objekte hier in diesem Tool verwalten kann.
Welche Aufgaben sollen denn genau getrennt bzw. gewährt werden, nur Dateizugriffe?
grizzly999
-
Zumindest beim ersten Aufruf des Runas-Befehls möchte er das Passwort haben, ab XP Prof könnte man spätere Eingaben mit dem Schalter /savecred verhindern.
Eventuell könnte man mit spzeillen Tools für Batchprogrammierung die Passworteingabe automatisch erledigen.
Es gibt aber auch Software, bei der das Passwort abgespeichert werden kann und zwar für den Benutzer nicht sichtbar, z.B. "Runas Professional" (-> Googlen)
grizzly999
Domänenbeitritt klappt nicht ;-(
in Windows Server Forum
Geschrieben
Nein, IT-home hat recht, dass ist eine Sache der Def.Dom.Contr. Policy, und da steht schon was drin, also ist seine GPO wertlos ;)
grizzly999