grizzly999

Mit gpedit.msc in der Computerkonfiguration in den Benutzerrechten eintragen, wer sich lokal anmelden darf. grizzly999

Dann wirst du ihn seizen müssen: http://support.microsoft.com/default.aspx?scid=kb;de;255504 grizzly999

Nein, so einfach ist das nicht. Beim allerersten Aufruf des runas /savecred wird ja das Kennwort (hier: des Admin) verlangt. Nur bei den weiteren Aufrufen mit runas /savecred während der Session nicht mehr. Ohne das Kennwort kann keiner einfach mal so Admin spielen :D ;) grizzly999

Kannst du dein Vorgehen und auftretende Fehler genauer erläutern? grizzly999

Antwort: 111.9.28.30 123.1.2.132 105.1.34.1 Die 127.0.39.1 wäre Class A, ist aber das interne Lopbacknetz des TCP/IP-Nodes, d.h. er antwortet immer selber auf die Adresse. 128.50.38.2 ist eine Class B Adresse. Das 0er-Netz darf nicht vergeben werden, damit ist 0.23.92.3 eine ungültige Adresse in deinem Sinne grizly999

Berechtigungen auf Files und Folders können nur auf Dateiebene gesetzt werden. Berechtigungen auf AD-Objekte werden i.d.R. im Active Directory Benutzer und computer vergeben. Viellicht war das gemeint, aber da sollte man genaueres über den Zusammenhang, in dem du das gelesen hast, wissen. grizzly999

Unter Tipps & Links machen sich Tipps immer ganz gut .... grizzly999

Na dann auch von mir ein herzliches Willkommen :) Und viel Spaß und erfolg noch im Board, wirst sehen, das ist kein Board wie viele andere ;) :) grizzly999

Mit cmd.exe und dort "runas.exe /savecred" :D Eben das ist es ja, was ich damit ausdrücken wollte. Die Admin-Anmeldeinformationen nebst Kennwort werden dem Token des Benutzers hinzugefügt und können mit jedem anderen "runas /savecred" wieder abegrufen werden, auch für andere Programme. Ohne erneute Passwortabfrage. So lange, bis man sich abmeldet, dann werden ja die Credentials wieder gelöscht. Savecred ist eigentlich eine Option für den Admin, der aber wie immer empfohlen mit einem normalen User-Account arbeitet, und hin und wieder den Adminaccount ziehen muss. Das eine könnte er ja mit einer Batch machen, oder mit Pfeil-hoch-Taste, aber damit er nicht jedesmal mit einer Kennwortabfrage belästigt wird, hat Microsoft den /savecred eingeführt. Also Junior, das hier NICHT lesen :D :D grizzly999

Ich meinte damit: der normale Runas (und wohl auch das Runas Professional) bieten die Möglichkeit des Ausführen als für den einen einzigen Programmaufruf und nur dieses eine Programm. Schliesst man das so gestartete Programm sind die Credentials futsch. Will man selbst bei mit runas geöffneten Programm ein anderes Programm mit diesen Credentials starten, geht das nicht. Bei der Verwendung von /savecred ginge dies aber. Ist ja manchmal so gewünscht, manchmal aber auch nicht, und ich wollte nur diese Besonderheit des /savecred gegenüber dem Runas ohne /savecred hervorheben. In dem Fall wäre das wahrschinlich nicht so schlimm, wenn die Tochter noch Billy Bunny spielt :) Aber wenn ich dem Heranwachsenden Junior so sein Programm öffne und ihn dann spielen lasse und der pfiffig genug ist, dann kann er neben seinem Spiel her auch noch Administrator spielen. :D grizzly999

Ja, mit EFS ist genau das möglich. Ist ja bereits im Betriebssystem integriert. Bei Microsoft gibt's dazu einigen Lesestoff, z.B.: http://www.microsoft.com/germany/ms/security/5min/5min-202.mspx grizzly999

In der Online Hilfe von XP Professional bzw. 2003 Server grizzly999

Das ist korrekt. Man muss alerdings bedenken, dass man dann wie von dir gezeigt auch andere Programme mit diesen Anmeldeinformationen ausführen kann, ohne erneut ein Kennwort einzugeben, will heißen, die Anmeldeinformationen werden nicht Programaufruf-bezogen gespeichert. Anm: Auf XP Home gibt es den Parameter übrigens nicht ;) grizzly999

Hast du als der Benutzer irgenwie schon ein Laufwerk auf den Server gemappt? Irgenwoher hat er schon einen Secure Channel. grizzly999

Es gibt Tools, erweiterte Runas (Runas Professional, diverse Male im Board "angepreisen") die angeblich das Kennwort mit abspeichern können und so Batch-tauglich ohne Kennworteingabe sind. Ich schreibe deshalb "angeblich", weil ich noch keine Erfahrung damit gemacht habe. Eine weitere Möglichkeit wäre, herauszufinden, wo diese Programe Admin Rechte brauchen (Dateisystem, Registry), und diese Stellen für den jeweiligen Account zu öffnen grizzly999

Es gibt bei 2003 keinen Anwendungsserver- und Remoteverwaltungsmodus mehr, nur noch RD und TS :wink2: grizzly99

Was genau geht nicht? Wenn man dir helfen möchte. könntest du dann bitte so ausführlich schreiben, wie man es benötigt, wenn man nicht auf deinen Bildschirm sieht :rolleyes: grizzly999

Am wichtigsten ist das Abschalten des SMB Signings. Aber vielleicht ist auch die NTLM Authentifizierung in den Sicherheitsoptionen abgeschaltet? grizzly999

In den Eigenschaften des RAS-Ports. grizzly999

Dann nimm doch die Domänenbenutzer auf ihrer Workstation in die lokale Administratorengruppe, dann haben sie nur dort volle administrative Rechte. grizzly999

Und kannst du von dem Computer aus einen Namen im Internet anpingen, bzw. siehst du dann in der Befehlszeile ping http://www.web.de [ip-Adresse des Hosts] Kannst du die IP-Adresse eines Internethosts direkt anpingen, z.B. 194.25.2.129? grizzly999

Du startest also den Client, du gibst deine Daten ein und dann?! Wo ist dein Problem? grizzly999

Das sind deutlich zu wenig Informationen zum Troubleshooting. So als Start: Wer macht die Namensauflösung fürs Internet? Funktioniert die? Kann man das Gatway pingen? grizzly999

Das geht nur als Administrator: http://support.microsoft.com/default.aspx?scid=kb;en-us;163107 grizzly999

Bei einem DNS Server, der nicht in einer Domäne ist, wäre es immer gut, wenn er DNS-Suffix hat. Wenn er sich nur mit seinem Hostnamen als NS in einer Zone einträgt, kann es Probleme mit der Namensauflösung geben, so meine Erfahrung. Daher sollte er ein DNS-Suffix haben, und am besten auch eine passende Zone dazu. grizzly999