grizzly999

Die sysprep.inf muss im %systemdrive%\sysprep ordner liegen oder auf einer Diskette, die kurz nach dem Bootstart von HD eingelegt wird. Auf der CD im Ordner Support\Tools gibt es eine deploy.cab, da ist die setupmgr.exe drin, die beim erstellen der Datei hilft. grizzly999

Der RIS wird nicht gegenüber dem DHCP authorisiert, sondern im Active Directory. Der DHPC muss halte den RIS kennen, sonst kann er ihn nicht rausgeben (s.Link) grizzly999

Kerberos verschlüsselt nicht. Genau das meine ich: du willst schwimmen gehen, ohne schwimmen gelernt zu haben, auch nicht, ohne es zu lernen. Und mit "wer erklärt mir die nächsten Klicks in dieser Richtlinie?" ist's halt nicht getan. MEIN Support endet hier, good luck ;) grizzly999

Ne, bestimmt nicht. MAn braucht im AD überhaupt keine PKI dazu, das funktioniert oberprima ohne (nur mit Kerberos V5). Aber mit dem Know-How (allgemein), da hast du recht grizzly999

Q&A-Sektion für einige Probleme mit RIS ist wirklich keine gute Grundlage für Wissensvermittlung technischer Hintergründe :( Du solltest technichal papers lesen, z.B. (Anm: Finde gerade nicht das große Paper mit der graischen Erklärung, daher nur diese) http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/windows/2000/server/reskit/en-us/distrib/dsed_dpl_atjs.asp http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/b549bbea-1f88-413d-9e07-be7f83bdaf75.mspx und weitere grizzly999

Genau das meinte ich, per GPO. Ob IPSec per AD-Richtlinie oder lokler Richtlinie (oder gar netsh), egal. Man kann das mit den Standardrichtlinien machen, aber ich warne ausdrücklich davor, ohne genauere Ahnung eine der Richtlinien einfach zu benutzen. Tun kann man es, aber bei Risiken und Nebenwirkungen fragen Sie den GPO-Verwalter :D Im Ernst: man kann sich hier schnell die eignenen Füße absägen grizzly999

Nein, das golt für die Rechner, die die Richtlinie erhalten. grizzly999

Aha. Finde den Hinweis auf die FW bis jetzt nicht in deinem Eingangsposting. Aber egal, ohne die zu kennen, ich lehne mich hier ganz weeiiiit aus dem Fenster: Die kann das. Die kann doch bestimmt auch loggen, da sollte was auftauchen, ob es geblockt wird oder nicht. Oder vielleicht ein Fehler im Rule-Set?! Es muss nur UDP 123 ausgehend geöffnet werden. grizzly999

Keine Angabe von Microsoft, aber er wird noch eine ganze Weile ( > 1 Jahr gelten) grizzly999

Nein, kann ich dir nicht geben. Das hängt vom Design ab, und das ist spezifisch. Ich kann dir soviel sagen, ich habe nicht nur bei mir durchaus OUs mit mehreren Richtlinien. grizzly999

Ja, kannst du. Und zwar NTFS-Berechtigungen über die Computereinstellungen/Windows-Einstellungen/Dateisystem grizzly999

Habe ich noch nicht probiert, verneine das aber mal, denn der DHCP-Server gibt dem Client auf Anfrage einen RIS-Server aus dem AD. Da haben andere DHCP-Server nicht viele Chancen, das abzufragen, aber vielleicht könnte man das bei denen dran scripten?! Von daher: DHCP ist Pflicht grizzly999

Ups, Standardfrage heute :D Habe ich gerade hier beantwortet, lies mal da nach: http://www.mcseboard.de/showthread.php?t=66062 Aber nicht das Zeugs dort won wegen VPN und WPA und WLAN etc. ;) grizzly999

Wieso VPN :rolleyes: Just plain IPSec im LAN, sonst nichts.... grizzly999

Das richtige Stichwort wurde schon gegeben: Netzwerk-Operatoren. Diese Gruppe gibt's erst ab XP und die darf das, auch als nicht Admin kann ein Mitglied dieser Gruppe Änderungen vornehmen. Da gibt's kein extra Benutzerrecht, die Gruppe hat die Rechte, die sie benötigt. grizzly999

Du hast ein Stichwort verlangt, mehr kann ich dir hier auch nicht geben, aber die Lösung heißt: IPSec Ist kostnefrie, weil integriert, ist aber nichts triviales. Mache dich da etwas schlau und du hast gefunden, was du suchst ;) grizzly999

Das löst du über die Benutzerrechte in den Gruppenrichtlinien. Entweder über die lokale Gruppenrichtlinie auf dem Client oder über eine OU-richtlinie für eine OU, in der am besten nur dieser eine Rechner drin ist. In der Gruppenrichtlinie gib es unter Computerkonfiguration/Windows Einstellungen/Sichherheitsrichtlinien/Lokale Einstellungen/Benutzerrechte ein Rech "Lokale Anmeldung zulassen". Dort kannst du eintragen, wer sich lokal an diesem Rechner anmelden darf. grizzly999

Mehrere DNS-Suffixe für die Suchliste mitgeben ist erst ab XP (auf Clientseite) mittels Gruppenrichtlinien möglich. Allerdings habe ich den Thread zum 2. mal durch, und kann das Problem - teilweise wurden ja welche gelöst, teilweise nicht - nicht genau erkennen, ebenso wenig, was genau in deinem Netz Sache ist. NT/W2k/XP-Clients, NT-Domäne noch dazu, ist jetzt nicht das, was ich mir persönlich als Infos vorstelen würde. Von Interesse sind vor allem die Server, welcher hat welche Funktion, welches OS, Netzwerkaufbau und nochmals einen genauen Stand der Problematik. grizzly999

Eine Firewall mit Stateful Inspection kann genau das, eigentlich gibt es kaum noch eine ohne. Wie das bei DIESER Firewall genau eingerichtet werden muss - hast leider nicht geschreiben welche - wenn ein Dienst auf der Firewall selber rausgehen muss, das ist dann dem handbuch zu entnehmen. grizzly999

Also ich kann dir versichern, dass ich den Unterschied der 4 Domain-functional-levels und der 3 forest-functional-levels sehr genau kenne, und diese Aspekte in meiner Antwort berücksichtigt sind (im in dem verlinkten Artikel sicherhlich auch). Und meinem kurz vor dem Schreiben des Beitrags nur so zur Sicherheit durchgeführten Test in einer frischen Testumgebung habe ich auch die entsprechenden Levels eingestellt. Wo blub das Problem hatte, kann ich nicht nachvollziehen, aber die Aussage von Microsoft ist eindeutig, und auch logisch, übrigens seit Windows 2000. Und wieder was gelernt ... ;) :) grizzly999

Ich weiss nicht, ich habe da ein Problem hiermit: Wenn das kommt, ist natürlich was faul, keine Frage, aber wie hast du dann die Domänen-DFS-Stämme erstellt? Kommt diese Melduung auf allen DCs (dann noch merkwürziger)? Lieber noch mal die Nachfrage, ob du sicher bist, dass es sich um einen Domänenstamm handelt?! kannst du ihn im DFS-Tool sehen? BTW 1: Ein Replikat eines Domänen-DFS-Stammes erstellt man über das Kontextmenü eines vorhandenen, also rechte Maustaste, "Neues Ziel" ;) BTW 2: fehlertolerante Domänenstämme werden üblicherweise nicht mit \\DCx\Root name angesprochen, sondern mit \\meinedomäne.irgendwas\Rootname grizzly999

Außer einem Upgrade auf XP geht das nicht. IMHO. Bei W2k nur als lokaler Administrator grizzly999

Entweder alle IPs im Pool reservieren oder Zertifikatsinfrastrukur aufbauen (geht bei dir wohl nicht), entsprechende Switches einsetzen und 802.1x realisieren oder Am Switch Ports für MAC-Adressen reservieren Mehr Möglichkeiten sehe ich nicht grizzly999

Nur der Admin (und andere lokale Admins) kann auf dem Rechner Kennwörter zurücksetzen, alles andere wird hier nicht supportet, wie the_brayn weiter oben geschrieben hatte. Der Link zu dem anderen Thread mit Hinweis auf mich und Legalität bezog sich auf einen Administrator einer Domäne... Da es keine weitergehende Hilfe zu diesem Thema hier gibt, closed grizzly999

Die Netze der NICs sind physisch getrennt? Dann geht das von alleine, der DHCP gibt dem Client eine Adresse aus seinem Netz ;) grizzly999