grizzly999

Hast du einzelne GPOs für die Pakete erstellt? Dann - wenn die alle am selben Objekt verlinkt sind - von unten nach oben. Wenn du innerhlab EINER GPO mehrere Pakete eingebunden hast (nicht empfohlen) dann sollten die von oben nach unten abgearbeitet werden grizzly999

Was versteht du unter Weiterleitung? Du meinst einen HOST-Eintrag im DNS für die Zone der Domäne namens www mit der offiziellen IP des Webservers? Dann richtig. Ist nur noch die Frage wie gehen die ins Internet, über einen Proxy? Und ist dort dann eingetragen "Proxy für lokales netzwerk umgehen"? grizzly999

Ups, noch ne HelpDesk-Frage :wink2: War doch heute erst. Schon hier rein geschaut?http://www.mcseboard.de/showthread.php?t=68705

Es gibt da ja Proxy-programme, mit denen man Internetzugänge restriktieren und steuern kann, je nach Proxy sogar so was wie Kontingente (ich glaube JanaServer kann das zum Beispiel) grizzly999

Gibts denn einen Eintrag im Eventlog? Was für ein SP ist drauf, bzw. alle in den KBs genannten Hotfixes drauf? Geben netdiag oder dcdiag auf einem DC ausgeführt Hinweis auf Probleme? grizzly999

Nein, wieso da raus nehmen, jetzt bin ich verwirrt. Wenn du z.B. den Dom-Admins VZ auf einen Ordner im NTFS gibst, und den Dom-Benutzern Lesen, dann hat ein Domänen-Admin VZ (Grund: Lesen plus VZ = VZ), ein normaler Domänenbenutzer hat dann nur Lesen (Grund: Lesen plus nix = Lesen) Das selbe gilt auf einer Freigabe. Wenn du aber den Dom-Admins (oder den Dom-Benutzern oder irgendjemandem) auf einer Feigabe Lesen gibst, der selben Gruppe oder Benutzer auf dem unter der Freigabe liegenden Ordner im NTFS VZ gibst, dann hat er/sie nur Lesen, weil bei Kombination von Freigabe und NTFS (Lesen+VZ) gibt das Lesen und nicht wie oben VZ. grizzly999

Naja, ein bischen wenig Port, den Port 80. Und wie sollen die bitte die Verschlüsselung aushandeln? Schau doch mal die einschlägigen Papers zu Frontend-Backend-Lösungen und Sicherheit bei Microsoft an, z.B. das hier http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/febetop.mspx u.a. grizzly999

Genau! :) Sehr schön ...., wer sagt denn, dass Lesen (und ein wenig grübeln) nicht bildet ;) grizzly999

Vielleicht hilft dir das hier weiter: http://www.mcseboard.de/showthread.php?t=18462 grizzly999

Manchmal hat schon geholfen, die lokal gecachten Temporary Internet-Files über die Internetoptionen im IE zu löschen. grizzly999

Nein, das ist so nicht korrekt. Korrekt ist: Berechtigungen sind Kumulativ, das gilt für (innerhalb der) Freigabeberechtigungen und das gilt für (innehalb der) NTFS-Berechtigungen. Das heißt z.B. eine Gruppe hat FR-LEsen, die andere Gruppe hat FR-VZ, ein Benutzer ist in beiden drin, dann hat er VZ. Das selbe mit NTFS-Berechtigungen. ABER: Wenn Freigabe- UND NTFS-Berechtigungen gesetzt sind, dann gilt die restriktivere von beiden. Bsp: User hat über mehrere Gruppen kumulativ auf der Freigabe Lesen und über mehrere Gruppen kumulativ VZ auf NTFS-Ebene, dann hat er effektiv nur Lesen. grizzly999

Es steht immer noch die Frage des Routings im Raum. Dem neuen Client hast du über das Standardgateway gesagt, wie er ins 192er Netz kommt, aber den anderen nicht (der Server 2 braucht es auch nicht, der weiss es auch so schon). Entweder bekomen allle Rechner im 172er Netz den .66 als DG eingetragen, und der .66 den CISCO als DG, oder dem CISCO Router wird eine Route ins 192er Netz über den .66 enigtragen und alle anderen im 172er Netz bekommen den CISCO als DG, oder alle rechner im 172er Netz bekommen mit route add -p 192.168.111.0 mask 255.255.255.0 172.100.150.66 die Route in s 192er Netz eingetragen und den CISCO als DG. Der CISCO sollte aber auch wissen, wo das 192er Netz ist. Oder man aktiviert NAT auf dem .66 Server, dann hat sich das Problem mit dem Routing gerade eben erledigt. grizzly999

Clients mit 2000 und höher sollten selbständig das Kerberos Protokoll innerhalb des AD verwenden, Voraussetzung ist eine perfekt funktionierende Namensauflösung mittels DNS im Netzwerk. Einzige Ausnahme automatisc wo NTLM verwendet wird: Wenn über IP-Adressen und nicht über DNS-Namen connectet wird, denn Kerberos arbeitet mit Namen, nicht mit IP-Adressen. @Urmel: es gibt auch in den Sicherheitsoptionen keine Möglichkeit, den Client auf Kerberos zu "zwingen", wie gesagt, das macht er normalerweise selber. Frage: Woher weisst, du dass die Rechner NTLM machen, statt Kerberos? Hast du schon krbtray.exe aus den Support Tools benutzt? Für Probleme mit Kerberos kann man ausserdem das detailiertere Logging aktivieren: http://support.microsoft.com/default.aspx?scid=kb;en-us;262177 Ausserdem solltest du auch so bei Problemen Einträge in den Logs finden, ohne den Key oben grizzly999

Woher kennt der Rechner mit der .66 und auch der CISCO-Router wenn gewünscht den Weg ins 192er Netz :rolleyes: Ohne route kein Weg. grizzly999

Hallo und willkommen im Board :) Da könnte das Printer-Move Tool von Microsoft helfen: http://support.microsoft.com/default.aspx?scid=kb;en-us;315983 grizzly999

Schon mal was von Freigabeberechtigungen gehört (Lesen, Ändern,Vollzugriff)? grizzly999

Habe ich noch nicht mit dem Paket probiert, würde aber wetten, mit dem Administrator geht es. Dann müsste man in den Administrativen Vorlagen des Bneutzers und des Computers undter Windows Komponenten/Windows Installer die RL "immer mit erhöhten Rechten installieren " einschalten. grizzly999

Naja, so ungefähr. Das Kennwort ist permament für zwei Wochen auf dem DC und dem Computer gespeichert. Dann wird es automatisch geändert grizzly999

Und was soll das Doppelposting bringen(http://www.mcseboard.de/showthread.php?t=68805) ? Bitte lese dir nochmals unsere Boardregeln durch Closed grizzly999

Das geht auch auf der Domäne, wenn nicht auf irgendeiner drunterliegenden OU eine Richtlinie die selbe Einstellung genau entgegengesetzt hat. Dann hätte die OU-Richtlinie standarmäßig den Vorrang. grizzly999

Ich würde mal sagen, so geht das nicht. Schau doch mal hier rein: http://www.microsoft.com/technet/scriptcenter/resources/qanda/jul05/hey0706.mspx grizzly999

Die Frage ist IMHO überhaupt nicht schwachsinnig, wenn auch so wohl eher nicht in der Prüfung vorkommend. Wenn man die 3 korrekten Anworten nicht weiss, dann hat man zu wenig mit dem System gearbeitet, und wenn man's dann nachschaut und jetzt weiss, dann war die Frage nicht schwachsinnig, sondern lehrreich. grizzly999

Ein Computer hat im AD genauso ein Kennwort wie ein Benutzer, ein Computerkonto IST ein versteckter Benutzer. Und dieses Kennwort wird zurückgesetzt. Nix falsche Übersetzung :rolleyes: Die SID des Computerkonots in der Domäne bleibt dabei erhalten und wenn man den Rechner nach dem Zurücksetzen des Kennworts neu in die Domäne aufnimmt (MUSS man unbedingt danach tun), wird ein neues Password zwischen Computer und DC ausgehandelt, und dann bekommt er die alte SID wieder. Ansonsten würde nämlich eine neue generiert werden. grizzly999

Was heißt ür "diese OU"? Die DomainControllers OU? Da sollte es sein grizzly999

CSCCMD sollte hier helfen mit dem Parameter moveshare: http://support.microsoft.com/default.aspx?scid=kb;en-us;884739 grizzly999