grizzly999

Hast du denn das schon angeschaut? http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 grizzly999

Dann wird das auch nix mit der GPMC werden :( grizzly999

Ähem, gpupdate bei 2000 :rolleyes: secedit /refreshpolicy machine_policy [ /enforce ] bzw. secedit /refreshpolicy user_policy [ /enforce ] grizzly999

Die Botschaft hör' ich wohl, doch allein mir fehlt der Glaube :D Goethe's Faust Ja, so ungefähr steht es bei Kollege Mark, aber die reale Welt spricht anders, nämlich so wie ich ;) Fürchte dich nicht, glaube nur! Markus 5,36 ... oder versuche es selbst :D grizzly999

Das geht schon mit einer zweiten Karte. Die konfigurierst du für ein Netz nur zum Router hin beispielsweise 192.168.1.0 SM 255.255.255.0 (das Netz zum Router solte dann aber am besten ein physikalisch separates Netz sein, mit Cross-Over Kabel oder eigenem Hub/Switch). Die interne Karte und die internen Rechner bekommen ein anderes eigenes Netz z.B. 192.168.2.0 SM 255.255.255.0 mit eigenem Hub/Switch. Das externe Netz kann dann entsprechend gesichert werden, Datei- und Druckerfreigabe deaktivieren ist Eines, reicht aber nicht unbedingt aus. Am besten setzt man aber eine Firewall ein, zumindest die in XP integrierte Internetfirewall. grizzly999

Native wird das nicht angeboten, aber wenn der Hersteller es an die API programmiert hat und seine Methode im EAP einklinkt, geht das. Darum ja auch EAP (Extensible AP). Das wäre aber beim jeweiligen HardwareHersteller zu erfragen. grizzly999

Wenn das efsinfo sagt, stimmt das im Allgemeinen. Und wenn der einzie Schlüssel weg ist, dann ist das insbesondere bei XP ... naja: aussichtslos. Was mich dabei nur wundert: eine AD-Domäne hat immer standardmäßig einen DRA eingerichtet. Hat jemand in der Richtlinie das Zertifikat des DRA entfernt? grizzly999

Der Server zu sich selber, ich habe das noch nie versucht, ich würde aber mal behaupten, dass das in den Lauch geht (sieht ja auch so aus). Warum testest du nicht von extern ohne Router, also direkt davor? grizzly999

Ok, aber damit ist "Beratung" im eher juristischen Sinne genug getan in diesem Thread. Persönlich ist meine Meinung, dass das, wie schon gesagt, in einer Domäne ****sinn ist und zur Sicherheit kontraproduktiv. Vielleicht ist ja nur ein Test des Herrn, wer denn schlussendlich sein Kennwort herausgeben würde :D Ich würde es nicht tun, da müsste der Chef schon mit Abmahnung drohen. Ein Kennwort - dazu noch zusammen mit dem Benutzernamen - ist wie Scheckkarte samt PIN. Wwem würde man beides zusammen wohl aushändigen, zum Schutze der Sicherheit :shock: grizzly999

Hallo und willkommen im Board :) Net User ist auch nicht das von Microsoft dafür vorgesehene Tool, es ist ein Tool vornehmlich für lokale bzw. SAM-Konten. Um AD-Konten anzulegen sollte man csvde, ldifde oder bei 2003 dsadd nehmen, da kann man all diese Anforderungen erfüllen. grizzly999

Meiner Erfahrung nach geht das das nicht per zentraler GPO, auch nicht mit der Richtlinie "Eingeschränkte Gruppen", da die Richtlinie Gruppen/Benutzer nur additiv, also zusätzlich zum Lokalen Administrator, in die lokale Adminsitratorengruppe hinzufügt. Nachhaltig liesse sich das wohl nur über einen lokalen Zugriff, interaktiv oder per Fernzugriff auf die Computerverwaltung, durch Entfernen des lokalen Administrators aus der Administratorengruppe regeln. grizzly999

Sorry aber hast du vicharee's Beitrag genau gelesen?! Er schreibt: NICHT Port 50, sondern Protokollkennung 50, auch manchmal VPN-Passthrough (in dem Fall für IPSec) genannt. Möglicherweise unterstützt dein Router VPN-Passthrough für das Protokoll 50 nicht, denn mit Preshared Key muss es gehen, zumindest wenn der VPN-Client XP oder 2003 Server heißt. Anm.: Bevor es mit einem Preshared Key nicht geht, brauchst du dich an Zertifikaten gar nicht erst versuchen. grizzly999

Hallo und willlkommen im Board :) Seltsam, dass da eine Hostadresse und keine Netzwadresse angegeben wurde, aber egal. Will man 60 Netze in einem (früheren) Class-B Netz abbilden, dann braucht man mind. 6 Bits im dritten Oktett für das Subnetting, weil 2^6=64. 6 Bits im dritten Oktett für die SM (11111100) entspricht dezimal 252, also ist c) 255.255.252.0 korrekt. Dann bleiben insgesamt noch 10 Bits für die Hots-ID über, das macht (2^10)-2 = 1022 mögliche Hosts, reicht also auch. Anm.: 255.255.254.0 würde auch noch gehen, dann hätte man 128 Netze (nach RFC 950 weniger 2) und 510 Hosts pro Netz. grizzly999

Wegen Doppleposting geschlossen: http://www.mcseboard.de/showthread.php?s=&threadid=49246 grizzly999

Das ist so nicht korrekt, wobei erst mal eine Bedarfklärung von StBurcher durchzuführen wäre. Wer muss wie mit welchen Applikationen/protokollen von wo nach wo. Danach kann man sagen, ob und wie das zu realisieren wäre. grizzly999

Das geht nicht, Admin ist Admin, das ist in jedem betriebssystem so. grizzly999

Wenn in den Site- und Inhaltsregeln "Jede Anfrage" drin steht, bei den Protokollregeln das nicht auf Gruppen oder Benutzer genagelt ist und der WebListener keine Authentifizieurng erfordert, sollte das ohne Anmeldung gehen. grizzly999

Morgääään, .. aber nur, weil du ihn eingerichetet hast. Dann funktioniert auch die Namensauflösung bei AD-integrierten Zonen. grizzly999

Definitiv NEIN. Das wäre auch schlimm, wenn ich als Admin nicht mehr entscheide, wo ein DNS-Dienst in meinem netz läuft. Lediglich um das Anlegen und die Replikation der Zone muss ich mich nicht kümmern, aber ein DNS wird nicht automatisch eingerichtet. grizzly999

zu 1) gar nicht zu 2) Er muss als lokaler Admin anegemeldet sein. grizzly999

600 Sekunden? Das Dienstticket nud das Benutzerticket sind 600 Minuten gültig. Allerdings ist das nur die Ticketlebensdauer. Wenn ich im richtigen Kerberos-Paket den Hash habe, dann habe ich max. so viel Zeit wie die maximum Password Age in der Domäne ;) grizzly999

Die netzwerkumgebung hat nichts mit DNS zu tun, sondern unr mit dem Computersuchdienst, und der arbeitet mit NetBIOS-Namen, also ist WINS hier ein Ansatz zur Beschleunigung. Haben alle Clients und Server den WINS eingetragen? Es kann dennoch manchmal dauern, das Suchen des Computersuchdienstes läuft aus meiner Erfahrung heraus nicht immer so, wie es sollte. Ob du die sek. Zonen einrichten solltest, hängt davon ab, ob du eine übergreifende DNS-namensauflösung brauchst. Wenn ja, dann bietet sich das an, oder eine Weiterleitung einrichten. grizzly999

Eigentlich hattest du exakt diese Frage schon hier gestellt: http://www.mcseboard.de/showthread.php?s=&threadid=49151 Deshalb geschlossen http://www.mcseboard.de/rules.php?s=#nr2 grizzly999

Nicht dass ich wüsste. grizzly999

Nein. Die Aufgabe eines Routers ist es u.a., Broadcasts durch Blockieren zu segmentieren. bei manchen Routern kann man das Steuern, sprich abschalten, bei anderen nicht. Windows gehört zu den anderen .... grizzly999