grizzly999

Also das stimmt so aber nicht!

 

Guckst Du http://www.mcseboard.de/microsoft-lizenzen-50/lizenzierung-w2k3-enterprise-r2-vmware-esx-109588.html

Da hast du man Recht. Er darf auf ESX vier Instanzen von Enterprise Edition laufen lassen, aber keine fünf.

Sehr empfehlenswert, aber sehr komplex, dafür ausführlich ist dieses Microsoft Paper. Da steht alles genau drin, auch wie das aussieht bzgl. Lizensierung und Virtualisierung mit Clustern, mit ESX und VMotion, Virtuozo usw. (Achtung: drirekter Download des Word Dokuments!): download.microsoft.com/download/7/a/a/7aa89a8b-bf4d-446b-a50c-c9b00024df33/Windows_Server_2003_R2.docx

grizzly999

Wobei zu sagen ist, dass die interdisziplinäre Nutzung von CAs bzw. deren Zertifikaten usw. also Linux, Windows u.a. trotz RFCs u.a. oftmals sehr müssig und viel Gebastel ist und dann vieles doch nicht funktioniert. Vor allem Zertifikate mit private Key aus dem einen System raus in ein anderes bekommen. :rolleyes:

Habe da schon leidvolle Erfahrungen gemacht, daher meine Empfehlung: innerhalb einer Familie bleiben, schont Nerven und spart eine Menge Zeit.

grizzly999

...., der wird seit W2k deutlich überschätzt.

Full ACK. Es hängt natürlich alles von der Anzahl der geänderten Attribute und Objekte ab (geändert, hinzugefügt, gelöscht), aber wenn da nicht ein Massenimport von Usern stattfindet, dann ist der Verkehr eher gering. Das Replikationsintervall spielt natürlich dabei auch eine Rolle, wenn alle 15 Min repliziert wird, fallen natürlich weniger Daten an, als einmal am Tag.

Es kommt noch hinzu, dass Standortübergreifend der Repl.-Verkehr komprimiert wird. Bei 2003 nicht mehr ganz so stark wie bei 2000, aber immer noch ca. um ca. 60-70%. Also bei 1 MB Replikationsvolumen, was im Normalbetrieb für die genannte Größe schon erheblich viel wäre, würden ca. 300-400kB über die Leitung gehen.

Was zu gewissen klenen "Spitzen" bei der Replikation führen kann, ist, wenn viele GPOs auf einmal hinzugefügt werden. Da in jedem GPT immer die kompletten .ADM-Dateien drin liegen hat jeder GPO-Ordner so um die 2MB. Bei 10 GPOs auf einmal hinzugefügt, sind das also so um die 20MB. Aber das kommt auch eher selten vor.

Also: keine Sorgen machen wegen dem Replikationsverkehr.

grizzly999

Sind das denn mehrere Domänen? Weil wenn das eine Domäne ist/wäre, müssten ja alle DCs die gleichen GPOs und Logon-Scripts bekommen haben? Welche DCs gehören in welche Domäne?

Wichtig ist eine saubere Einrichtung von Standorten im AD und den dazugehörigen Subnetzen, so dass die DCs die entsprechenden Standorte im DNS abdecken.

Diese Einrichtung ist aber Sache eines Enterprise-Admin. Wie sieht denn das bisher damit aus?

grizzly999

...fehlt noch, dass RDP 5.1+ den RDP-Verkehr verschlüsseln kann. Außerdem können Laufwerke vom Client in die TS Session umgeleitet werden und Soundwiedergabe auf dem Client wäre auch möglich, wenn man möchte. Nicht zu vergessen, die Möglichkeit, jede Menge TS-Einstellungen für 2003 per GPO vorzunehmen.

Neu bei 2003 TS auch die Benutzer-CALs. Die sind aus meiner Sicht insofern besonders interessant, weil man sie zwar kaufen und eintragen muss, aber im Lizenzpool bei Herausgabe an den TS nicht tatsächlich fest eingetragen werden (wie die Device CALs). Bei den Device CALs hat man dann ja immer das Problem, wenn es Clients nicht mehr gibt, dass man dann die Lizenzschose komplett raushauen, alles neu einrichten und im Clearinghouse wieder freischalten lassen muss. Ein echtes Sahnestückchen von Microsoft :rolleyes: :cry:

grizzly999

Das würde gehen. sofern dieser ursprüngliche Administrator nicht das einzige verbliebene Admin Konto ist. Dann wird dieses im abgesicherten Modus automatisch freigeschaltet (siehe auch Bericht des TO oben).

Näheres siehe hier: Getting Started with User Account Control on Windows Vista

grizzly999

wiederherstelungsconsole von der dvd booten.

dann mit "net user Administrator /active" versuchen

habs nicht ausprobiert, könnt aber klappen ;)

Nein.

Wenn ich einen stehenden VPN Tunnel habe, muss man in der Firewall keine Ausnahme definieren. Das wäre VPN ad absurdum geführt.

Man muss auf der RDP-Client Seite aber zum Verbinden die Tunnel-Adresse des Zeilrechners eingeben, nicht die reale IP-Adresse.

grizzly999

Eine Windows Lösung kannst du dafür schon machen. Du setzt einen 2003 Server in einer Arbeitsgruppe auf und installierst die Zertifikatsdienste mit den Einstellungen, die du benötigst (vorher IIS noch installieren).

grizzly999

heißt also wenn ich am 7. meine 621 versau kann ich mich direkt zu nen 2. Versuch anmelden... find ich gut...

 

kann man eigentlich den Voucher bzw. einen 2. Voucher nochmal einsetzten oder sind die auf 1 pro User limitiert?

 

will nach der 621 die 290 in Angriff nehmen und 20% sind 20%

Ein Voucher ist nur für eine Prufung gut (incl. Second Shot). Wenn man einen 3rd Shot bräuchte, weiß ich wirklich nicht, ob man dann einen neuen Voucher einsetzen kann. Das wäre bei Prometric zu erfragen.

Aber für eine andere Prüfung kann man natürlich wieder einen (neuen) Oucher nehmen.

grizzly999

Das ist doch eine Frage dessen, welche Anforderungen man die SIcherheit hat.

Meist reichen die Standardberechtigungen.

Und warum soll ein User die Berechtigungen nicht lesen können?!

grizzly999

Es gibt Recommendations. Für das (alte) DFS wird eine Empfehlung von max. 64GB ausgesprochen. Configuration and operational recommendations for the File Replication Service in Windows Server 2003 and Windows 2000 Server

Für mehr zu replizerende Daten- und auch aus anderen Gründen - wird DFSR von 2003 R2 empfohlen. Das ist auch deutlich verbessert, nicht nur hinsichtlich der Menge der Daten.

grizzly999

Das ist egal, ob du Admin bist oder nicht.

Wenn du dich anmelden willst, muss das System dein Profil laden.

Wenn du aber den kompletten Profilordner verschlüsselt hast, dann kann das System dein Profil nicht laden, weil dort dein Private Key drin ist. Und um an den private key ranzukommen muss das Profil geladen sein.

Aber ohne Schlüssel kann das System nicht....usw.

grizzly999

CMD als Admin

 

net user administrator /active:yes

:suspect:

Du hast aber den Beitrag aufmerksam gelesen?!

Standard Admin Konto defaultmäßig deaktiviert, dann Rechner raus aus der Domäne.

Sag uns bitte, wie du dich jetzt als Administrator anmeldest :rolleyes:

Das war BTW exakt das geschilderte Problem ....

grizzly999

.... (gibt kein MMC-Snapin dafür)

Aber klar doch, Routing und RAS -> Benutzerdefiniert -> Lan-Routing ;)

grizzly999

Hi,

 

ich habe mich für Second Shot bei MS angemeldet und einen Voucher Code bekommen.

 

Wenn ich nun euren Voucher angebe, brauche ich meinen (Second Shot) Voucher nicht mit anzugeben und habe trotzdem den Second Shot?

 

Viele Grüße

Stefan

Du kannst nur einen Voucher eintragen. Du kannst den von Microsoft nehmen, aber da gibt es keine 20%.

Du kannst bei mir einen anfordern, da gibt es 20% und du hast einen Second Shot, der über den Voucher quasi implementiert ist.

grizzly999

Lt. einer Aussage eines MS AD Consultant sollte man auf die Benutzung von cacls bzw. xcacls zum Rechte ändern verzichten, da beide Tools wohl nicht ganz sauber im Bereich Vererbung arbeiten. Seine Empfehlung war icacls, kann auch bei MS kostenlos heruntergeladen werden.

 

Gruß,

Thorsten

Ich arbeite selten bis nie mit diesen Tools, und die 2x hatte ich keine Probleme mit xcacls.exe. Aber es schint wohl mit cacls und xcacls ein paar issues gegeben zu haben.

Nur luat MIcrosoft geht icacls, was ja bei Vista und 2008 standardmäßig dabei ist ansonsten nur mit 2003 SP2 und XP Prof 64 Bit. So jedenfalls steht es hier:The Icacls.exe utility is available for Windows Server 2003 with Service Pack 2

Kann jetzt ncht sagen, ob es auch mit anderen Versionen von XP geht

grizzly999

Also nochmals, Überwachen - wenn du das nicht in deinen eigenen 4 Wänden machst -unterliegt in Deutschland dem Datenschutzgesetz. Und ob man das darf oder nicht, sollte jeder da in Erfahrung bringen, wo es ordnunggemäß gemacht werden kann. Das kann ein Rechtsbeistand sein, oder im Fall eines Lehrers in der Schule wäre es der Personalrat oder der Schulleiter (der für die Einhaltung der Gesetze an seiner Schule zutöändig ist).

Daher sollte dieser Part in diesem Thread hier ein Ende finden!

Zur technischen Möglichkeit:

Der Jana-Server bietet hier als Proxy einige Möglichekiten, und ist für Schulen sogar Freeware :)

JanaServer 2 - THE ALL-IN-ONE SERVERTOOL

grizzly999

Mit xcalcs.exe würde das im Prinzip gehen, aber dazu muss vorher die Berechtigung so gesetzt werden, damit der Benutzer überhaupt die Berechtigung ändern kann (z.B. über ein Computer-Startskript).

Allerdings: warum sollte ein User auf dem Rootlaufwerk mehr als Leseberechtigung haben, und das selber auch noch ändern können :confused: :rolleyes:

grizzly999

Na ja, eigentlich würde ja auch ein 64-bittiges Windows auf dem Wirt reichen. Dann klappt es auch mit Virtual Server 2005R2 (und natürlich VMware Server).

Nein, das klappt mit Sicherheit nicht. Virtual Server und Virtual PC unterstützen in keiner Version und mit keinem Service Pack 64Bit Guests.

Dazu braucht's entweder die Konkurrenz oder 2008 mit Hyper-V

grizzly999

Hallo zusammen,

 

mal eine kurz Frage zum Thema EFS und Laptop Diebstahl.

Auf einem Laptop mit XP Prof. welcher nur in einer Arbeitsgruppe agiert, reicht es im normalen Fall doch aus den Ordner „C:\ Dokumente und Einstellungen“ zu verschlüsseln. Damit man alle "wichtigen" Dokumente sprich Office und E-Mails abgedeckt hat. Wenn jemand den drang verspürt und einen Ordner für seine Unterlagen unter „ C:\WINDOWS\system“ anlegt ist es klar, das dort die Daten nicht verschlüsselt wären.

 

Ich wollte mich nur mal kurz Rückversichern ob „C:\ Dokumente und Einstellungen“ im groben alles abdeckt. In meinen Augen reicht es und die Performance sollte auch nicht al zu stark leiden, nicht das ich evtl. doch einen Ordner vergessen haben sollte:-/

 

Gruß

Na das wird wohl nicht gehen. Wenn das EFS-Zertifikat mit private key im Benutzerprofil liegt, wie soll er dann in diesen von dir verschlüsselten Ordner reinkommen, um den private key rauszuholen um damit den Ordner zu entschlüsseln, so dass er den Schlüssel rausholen kann, mit dem er erst den Ordner entschlüsseln ......dahin kommen :rolleyes:

Ich denke, du merkst was, die Katze beißt sich in den Schwanz ;)

grizzly999

nein dauert sie nicht - da immer die anderen DNS Server erst dann gefragt werden wenn der zuerst angefragte keine Antwort liefert

Und?! Damit dauert sie länger, und zwar je mehr in der Liste er von oben her nicht erreicht. Klingt auch irgendwie logisch.

grizzly999

@grizzly999

Tja, dann mußt Du es eben selbst probieren, auf jeden Fall funktioniert´s ;)

 

Vor einiger Zeit hat MS mal propagiert die Default Domain Policy unangetastet zu lassen. Daher wurde die Richtlinien auf der DC Policy gesetzt. Mittlerweile hat MS die Meinung geändert und empfiehlt es wieder auf der Default Domain Policy zu setzen. Gehen tut aber beides.

 

Ist aber auch egal, hauptsache die Richtlinien ziehen.

 

Gruß und einen schönen Feierabend

Dirk

Ich habe das schon versucht, und es geht nicht. Warum das nur auf Domänenebene geht, steht hier:

Group Policy application rules for domain controllers

grizzly999

[quote name=Dirk_privat

(als kleine Anmerkung)

Die Kontorichtlinien gehen auch auf der Domain Controller Richtlinie und dort reicht es auch aus, weil nur die DC´s authentifizieren.

Gruß

Dirk[/quote]

Nein, nein und nochmals nein!

Es ist genau so, wie ich es sage ;)

grizzly999

:Weisst du... ich musste nun schon fast zwei Jahre stürmen, dass die Leute überhaupt mal die PW's ändern... was soll ich tun wenn die Chefs meinen dies sei nicht notwendig, wär möchte überhaupt was bei uns holen?? wenns nach mir ginge wäre auch alles aktiviert...

 

...

Das verstehe ich ein Stück weit, aber stimmig sollte dann das PW-Konzept meiner bescheidenen Meinung nach trotzdem sein. Ein Jahr max. Kennwortalter bei 5 Chars und keine Komplexität finde ich ein wenig arg laaange.

Und 1 Tag Minumum Kennwortalter bei einer Kennwortchronik von 1, wobei beide Werte nur in Verbindung Sinn machen, ist auch nicht optimla. Oder besser gefragt, was soll mit diesen 2 Werten erreicht werden?

grizzly999