grizzly999

Exakt korrekt, das ist per OSI in Layer 3, das ist Fakt. grizzly999

Wilst du es von mir auch noch mal hören :D Geht nicht. Du kannst zwar irgendwelche Einschränkungen temporär setzen ,aber ein Administrator kann sich jederzeit die benötigten Rechte und Berechtigungen wieder holen. grizzly999

Ich denke, da liegt ein Missverständnis über den Zweck einer Kerberos/MIT-Vertrauensstellung vor. Der Zweck dieser VS ist, dass eine übergreifende Authentifizierung und damit die Anmeldung an Rechnern der anderen Domäne möglich ist, und Berechtigungen auch für Member der Trusted Domains vergeben werden können. ABER: Gruppenrichtlinen im AD wirken für vorhandene Security Principals des jeweiligen AD-Bereiches (Standort/Domäne/OU) und nicht für Mitglieder von trusted realms! grizzly999

ARP ist ganz klar Layer 3. Es ist auch etwas, was nicht die Netzwerkkarte/Hardware zu leisten hat, welche ja Layer 1+2 bildet, sondern das Bertiebssystem/IOS/was auch immer an Software. grizzly999

:D :D :D

hallo und willkommen im Board :) Man braucht keine Zusatzsoftware in diesem Sinne. Die Smartcard-Treiber und Software sollte die GINA austauschen und die Möglichkeit dann bieten. Natürlich gehört eine entsprechende PKI dazu, um sich auch im loaklen Netzwerk anzumelden. Welche Einstellungen? Eigentlich keine, aber ich weiss nicht wie dein Wissenstand für PKI generell ist, hast du dich denn schon näher mit dem Thema beschäftigt? Ist eine Grundvoraussetzung ;) grizzly999

Bitte keine Links zu kommerziellen Seiten ....., wir wollen nicht das Google Ranking für Kommerzielle verbessern. Dafür müssen die schon zahlen :D Benutze zudem auch die Boardsuche, wenn ich mich recht entsinne, war das schon ein paar mal Thema. grizzly999

Alles weitere dann per Mail oder PN. ;) grizzly999

Sicherheit beginnt bei der Physischen Sicherheit. Erste Regel: wo keine physische Sicherheit möglich, sprich keine physische Restriction, da kommt kein DC hin. Ich stecke nicht in eurem Netzwerk drin, aber wenn ich höre: DC auf einer Baustelle, dann reden wir grundsätzlich mal nicht von Sicherheit :rolleyes: grizzly999

Nun, die maximale (oder minimale, je anch Standpunkt) Authentifizeriungsebene wird numal durch die eingestezten Clients definniert. Und wenn da W95 im Spiel ist, dann geht halt nicht mehr als ... BTW: DomB Ist nicht deine Domäne, aber wenn W95 im Spiel ist, dann dürfen wir das Wort "Sicherheit " nicht in den Mund nehmen :suspect: Also Upgrade der Clients, oder entsprechende Authentifizierungsebene zulassen, oder keine Verbindung für diese Cleints in Kauf nehmen. grizzly999

Ha, gratuliere :) :) Wusste doch, dass du es schaffst ;) BTW: 294 ist ein Kinderspiel .... grizzly999

Das ist die Variable, die du dem Aufruf der Batch mit übergeben musst (der benutzername, den du hinzufügen willst). grizzly999

Ich habe jetzt den Thread noch mal aufmerksam gelesen, heute mittag mehr überfliogen, daher meine "voreilige" Antwort mit den Benutzerrechten. Ich schließe mich nun meinem direkten und den anderen Vorrednern an, ich verstehe nach mehrmaligem lesen immer noch nicht ganz .... Und ich unterstreiche die Frage meines Vorschreibers, wie greift der User auf das AD-Netzwerk zu (Server), wenn es dort den User nicht gibt? Oder greift der nur auf die anderen WS zu? Und was meinst du genau mit " ... sollen sich nicht von den 3 PCs aus ins Netzwerk einloggen". Wohin denn nicht? grizzly999

Wäre das Skript hier was? http://www.mcseboard.de/showthread.php?t=76295 grizzly999

Mit einer Liste von Computernamen in Form einer Textdatei kein Problem per Skript: ********************************************************** 'Binds to the local Administrator account on the computer MyComputer, 'and changes the password for the account to testpassword Set objFSO = CreateObject("Scripting.FileSystemObject") Set objTextFile = objFSO.OpenTextFile (".\liste.txt") ' Die Datei wird in einer Schleife ausgelesen und verarbeitet Do Until objTextFile.AtEndOfStream ' Der Variablen strComputer wird jeweils ein Linieninhalt zugewiesen strComputer = objTextFile.Readline Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "A1234567>" objUser.SetInfo Loop ********************************************************** grizzly999

Hallo Edgar, dieses Buch könnte helfen, schau mal das Inhaltsverzeichnis Kap.9 an (mit Link zu Beispielskripts): http://rallenhome.com/books/adcookbook/code.html Den Link habe ich von Kollega Mark Heitbrink, jo, http://www.gruppenrichtlinen.de. Dort findet man links im Menü unter "Scripting", wie man ein GPO zeitgesteuert aktivieren kann. Das Buch verspricht weitere insteressante Skripte ;) (Werde ich mir wohl man besorgen müssen :D ) grizzly999

Ich kann dir nur allgemein raten, 3 Standorte, 3 unterschiedliche Netze, so muss es sein. Ich kann nicht mehr sagen, weil dein verworrener Schreibstil überhuapt keinerlei Aufschluss zulässt, was wie wo ist Lies es einfach noch mal mit Distanz und in Ruhe durch, was du oben geschrieben hast und bedenke dabei, dass WIR nicht vor DEINEM Netzwerkplan sitzen Nur als Beispiel: Wo ist dort? Wo sind diese Netze? Wohin geht der Tunnel? Ein Satz, 3 Fragen Welches??? Wo geht die ADSL-Leitung hin, wo die SDSL?? grizzly999

Hallo und willkommen im Board :) Was du da hst, ist ganz normal. Der VPN-Server vergibt sich selber und dem VPN-Client für die Tunnelendpunkte eine IP-Adersse aus dem Pool. Seine eigene registriert er dabei auch im DNS, steht damit mit 2 Adressen drin. Da er auch DNS-Server ist, lässt sich das nicht mal vermeiden. Ein Client intern bekommt auf DNS-Namensabfrage standardmäßig zuerst eine Adresse für den angefragten Host geliefert, die seinem (Client'S) Netz entspricht, sofrn vorhanden. Da dein Server beide IPs aus dem internen Netz hat, kann sowas passieren. Lösung: wähle als statischen Pool einen anderen, z.B. 10.1.1.1-50 oder so, und das Problem hat sich erledigt ;) grizzly999

Doppelposting. Wollte auch auch schon auf den Beitrag verweisen.Daher: CLOSED grizzly999

Ja, über Gruppenrichtlinie->Benutzerrechte für den PC

Also, ich rufe da mal alle Beteiligten an diesem Thread zur Ruhe und Sachlichkeit zurück, DANKE :) Aber abgesehen von dem Aufruf, muss ich mich doch sehr wundern, wie jemand mit ganzen 4 solchen Beiträge hier im Board die Qualität des Boards beurteilen möchte :rolleyes: grizzly999

die Verwaltung muss man erst über die Eigenschaften der Taskleiste einschalten. Kannst auch unter Start->Ausführen services.msc eingeben. Kein gpedit.msc ...... Du hast demanch ein XP Home. Steh bei dir aber nirgends in deinem Beitrag :rolleyes: grizzly999

Hallo und willkommen hier im Board :) Einfach machst du es aber einem auch nicht. Fehlercode falsch, unzureichende Beschreibung, hmmm Du willst XP neu installieren, aber da ist schon ein Betriebssystem drauf? Wie willst du XP installieren, eine Reparaturinstallation, eine Parallelinstallation? Was war vorher drauf? Wie lautet die exakte Fehlermeldung? Wann genau kommt die Fehlermeldung? grizzly999

Ist bei 2003 auch so. Ist aber mehr ein "kosmetisches" Problem von Batchdateien und andern Skripten, die SID ist für die vordefinierten Gruppen dieselbe grizzly999

Wenn du die Zertifikatsverwaltung für den User startest, als user certmgr.msc aufrufen, ist dann da ein Zertifikat mit dem Zweck "Verschlüsselndes Dateisystem" unter dem Punkt "Eigene Zertifikate"? Wenn ja, steht da drin, dass du einen privtaen Schlüssel hast? P.S: Nein, Admin sein hilft da nicht, du brauchst den privaten Schlüssel grizzly999