grizzly999

Warum? Hast du dich schon näher mit dem ISA auseinandergesetzt? Glaube nicht (Sollte aber IMHO so sein, wenn es um Securtiy geht) Wenn du Authentifizierung haben willst, dann nur mit Webproxy Client oder Firewall Client. Der ist auf der ISA Cd mit drauf, beim Installieren des ISA fragt der auch, ob man eine Installationsfreigabe für den FW-Client auf dem ISA einrichten möchte. Ich empfehle für ein paar Grundlagen die Seite http://www.msisafaq.de Die haben auch ein gutes Einsteigerbuc rausgebracht. grizzly999

Da gibt es diverse Tools, ldifde.exe, csvde.exe, dsquery zusammen mit dsget, um ein paar zu nennen. grizzly999

Ähm, nicht jeder den FirewallClient?! Aber die, die das machen sollen schon? Wenn nicht, geht das nicht so. grizzly999

Warum "Von Lokaler Host"? Und Gruppen als Bedingung: Die Rechner haben den FirewallClient installiert? grizzly999

Ja Vielleicht ist er nicht wirklich Mitgleid der Gruppe?! Wenn er angemeldet ist, mal ein "whomai /all" machen, oder alternativ gpresult, und schauen, ob diese Gruppe in seinem Token mitaufgeführt wird grizzly999

Ich lese hier immer was von MCSE upgraden *mir verwundert die Augen reib* Vista ist ein Clientbtriebssystem, jo. Warum sollte man dann ein MCSE-Upgrade machen, wenn es einen neuen Client gibt :rolleyes: grizzly999

Dann lege diese Dateien im Archivverzeichnis doch in einem Unterordner ab, auf den nur Mitglieder der GF Leseberechtigung (oder mehr) haben. grizzly999

In der lokalen Gruppenrichtlinie des Clients, dort in der Computerkonfiguration bei den Benutzerrechten grizzly999

Es reicht die Spezielle Berechtigung, "Berechtigung ändern". Die ist natürlich im Vollzugriff enthalten, kann aber auch so separat vergeben werden Der Besitzer eines NTFS-Objekts hat immer automatisch die Berechtigung "Berechtigung Ändern" auf das Objekt grizzly999

Dann richtest du die Zone auf dem 2000 DNS ein, und machst sie dyn. Update fähig. Auf dem BIND wird eine sekundäre Zone eingerichtet. Das war's grizzly999

Hi Zoran, also ich komme auch aus dem Consulting-Umfeld. Und da gehe ich selten den Weg so, bzw. mit dem Kunden selten den Weg so mit: "Wir brauchen das und jenes genau so und so, wie geht das." Mein Ansatz ist ein anderer, den finde ich diesem Thread bisher überhaupt nicht. Schildere uns doch mal dein Ziel, deine Anforderung, nein, nicht "Kann man einen ANmen an 2 IPs binden " oder so, sondern, warum willst du das. Was ist Zweck dieses Unterfangens. Möglicherweise gibt es ganz andere, einfachere, "bessere" Lösungen für das Erreichen deines Ziles, aber das sollte zuerst bekannt sein. Alles andere ist in meinen Augen Flickwerk und Vorschläge nach dem Rosenthalschen Prinzip (Rate mal mit Rosenthal) grizzly999

Ist ja alles etwas "seltsam" geschrieben, meine etwas unverständlich, aber egal. Sag uns doch mal, WO soll sich der DNS dann befinden( Betriebssystem)? grizzly999

Über eine Richtlinie im AD, wirksam für den/die Computer, in welcher man die "Eingeschränkten Gruppen" nutzt, geht das. Man kann zwar dadrin die Gruppe Hauptbenutzer nicht auswählen, da sie, wie du schon gesagt hast, nicht im AD vorhanden ist, aber man kann sie manuell eintragen. Ich habe auch mal eine bebilderte Step-by-Step Anleitung dazu geschrieben, aber unsere HowTo Sektion ist noch nicht online. Köönte dir diese aber bei Bedarf zukommen lassen grizzly999

Solange es nur um die verschlüsselte Datei selber geht, ja. Prekärer kann es werden, wenn ein möglicher Angreifer an das komplette Profil (mit ntuser.dat) des Benutzers kommt. Dann wäre mit Tools möglich den Masterkey, der u.a. aus dem Kennwort gebildet weird zu dechiffrieren und dann den Privaten Schlüssel zu entschlüsseln. Aber wenn man nur die verschlüsselte Datei hat, kann sehr sorglos schlafen gehen :D grizzly999

...... und um das noch etwas zu konkretisieren: schmeiss doch mal google an ;) grizzly999

EFS wählt selber einen Schlüssel, ab XP SP1 und höher 256 Bit lang für eine AES-Verschlüsselung. Da ist nichts mit "Mutti", und Brute Force schlagen wir uns da gleich mal aus dem Kopf ;) grizzly999

Du willst das dann aber nicht so ungenau durchlesen, wie unsere Boardregeln :suspect: Bitte keine Dopelpostings! Hier gehts weiter: http://www.mcseboard.de/showthread.php?t=81891 grizzly999

Bitte keine Links zu kommerziellen Firmen, insbesondere keine Werbung, auch wenn man in der Firma Mitarbeiter ist, dafür steht das Profil zur Verfügung. Deshalb Link editiert grizzly999

LoL, welche Dumpfbacken-Admins wollen die damit vertreibstechnisch ködern. Ich kringel mich am Boden :D Wieviele Server werden denn bei Euch (allen) so aus dem Rack gestohlen :rolleyes: :D Wie BuzzeR schon sagte, wenn man Datenscverschlüsselung für Datenablagen braucht, dann kann man das auch mit Microsoft Mitteln lösen. grizzly999

Indem man in den erweiterten NTFS-Berechtigungn den Besitz übernimmt. grizzly999

Das tut sie hoffentlich auch, das tut jede Firewall mit Stateful Inspektion, was di AT hoffentlich ist. ABER: Die Antwortpakete gehen nicht an den Port 53 UDP, sondern an irgend einen HighPort, den sich dein DNS-Client ausgesucht hat. Da kann ich leider nichts dazu beitragen, ich kenne die Firewall nicht, aber du kannst die Regel mal korrekt setzen (wie sie gehören würde) und dann ins Log schauen grizzly999

Da drübern http://www.mcseboard.de/showthread.php?t=75753 habe ich dir schon geschrieben, mache eine eigenen Beitrag zu deienm Problem auf grizzly999

Das ist doch das gleiche wie hier: http://www.mcseboard.de/showthread.php?t=54538 Bitte lasse es sein, in irgendwelche alten Beiträge reinzuposten, und schon gar nicht zweimal. Dein Problem ist Dein Problem und mit SIcherheit ein anderes als bei den anderen. Wenn du also ein Problem hats, mache einen neuen Britrag auf und schildere es ausführlich und ordentlich grizzly999

Damit hat das so ziemlich gar nichts zu tun, eher damit, dass entweder eine Fehlbedienung vorliegt oder das dass eine seltsame Firewall ist (ich kene sie nicht). Ich habe an "richtigen " Firewalls im Leben noch keinen Port 53 UDP eingehend aufmachen müssen, um nach draussen eine Namensauflösung zu erhalten grizzly999

Wi kommst du darauf, dass das nur für lokale Benutzer geht? Wo immer ich das gemacht habe, habe ich Domänenkonten auswählen können. grizzly999