grizzly999

OU = Oranisational Unit (dtsch: Organisationseinheit) Ein Containerobjekt im Active Directory, an das Gruppenrichtlinen verlinkt werden können. Symbol: Gelber Ordner mit grauem Verzeichnisdienstbuch drin. Ansonsten: ja so funktioniert das. grizzly999

Du hast doch gesagt, du hast zwei Container erstellt? Das können ja nur OUs sein, da du normale Container-Objekte nicht manuell erstellen kannst. Wie man Gruppenrichtlinien für OUS (oder auch ganze Domänen) ist sehr gut hier beschrieben: http://www.gruppenrichtlinien.de grizzly999

Du legst in jede OU den jeweiligen Benutzer, machst eine Gruppenrichtlinie an der einen OU, die die Systemsteuerung nicht haben soll, und suchst in den Richtlinieneinstellungen unter Benutzerkonfiguration/Administrative Vorlagen/Systemsteuerung das Häkchen, um diese zu deaktivieren. Wenn die Richtlinie übernommen ist, muss sich der User neu anmelden, fertig. grizzly999

Sieht so aus, als hängen da noch verwaiste Domänen Controller nebst Site Links im AD. Wenn es nur die Site Links sind, die da rumhängen, dann kannst du sie im Active Directory Standort und Dienste bei den Servern, wo sie drin stehen löschen. Wenn das nicht geht, dann bruahcst du mehr: http://support.microsoft.com/default.aspx?scid=kb;en-us;216498&Product=winsvr2003 grizzly999

Dann so machen wie von the_brayn beschrieben, oder noch einfacher: in den Sicherheitseinstellungen der GPO bei den Domänen-Admins Gruppenrichtlinien übernehmen verweigern anhaken grizzly999

Leider hast du nichts näheres zum Computer und seiner Umgebung geschrieben (Domäne, Arbeitsgrueppe) grizzly999

Die Gruppe der Server-Operatoren darf sich auch an DCs anmelden und einige Aufgaben auf dem Server durchführen. grizzly999

Oder so ... nur was ist aufwendiger? grizzly999

Das lässt sich nur verhindern, indem man auf einem managebaren Switch Accesslisten pflegt oder im DHCP alle Adressen für bekannte MACs reserviert. grizzly999

Du brauchst eine funktionierende DNS-Namensauflösung für B am Standort von A. Außerdem muss aller relevanter Verkehr (Kerberos,LDAP usw.) dorthin können. grizzly999

Das Protokoll leert man da, wo man es anschaut. Am schnellsten Start/Ausführen eventvwr.exe. Dann rechte Maustaste auf Sicherheitsprotokoll und löschen (evtl. auch sichern?). grizzly999

Wichtig ist bei der Sache das Archiv Flag. Bei einer Normalsicherung löscht diese bei allen gesicherten Datein dieses Flag (Das bei Neuerstellung oder Änderung wieder gesetzt wird). Das inkrementelle B. sichert alle Dateien mit A-Flag und löscht dieses dann. Das differentielle B. sichert alle Dateien mit A-Flag und lässt es stehen. D.h. es werden immer alle Dateien seit der letzten Normalsicherung gesichert, jeden Tag wieder. grizzly999

Das funktioniert genauso wie du es beschreibst und offensichtlich gemacht hast. Ich arbeite gerade auf einem Citrix Server, bei dem das SO funktioniert. Prüfe als Benutzer doch mal gpresult.exe für den Test-User, ob er die Richtlinie auch bekommt. grizzly999

Von was für einem Zertifikat redest du genau (Zweck)? grizzly999

Der Server erhält während der Installation (per DHCP) einen DNS-Server und einen Domänennamen (Option 15)? Ausserdem würde ich beim Admin das xxxx\ weglassen, nur der Name reicht, die Domäne kennt er ja. grizzly999

Meine Rede .... grizzly999

Frage: In welcher OU liegen die Benutzerkonten? grizzly999

Wie bitte soll die Richtlinie, verlinkt an der TS-OU, mit Benutzereinstellungen auf Benutzer wirken, wenn deren Konten in einer anderen OU sind? Geht technisch nicht, und da macht mir keiner ein X für ein U vor. grizzly999

Also, wenn ich auf der TS-OU Solche Gruppenrichtlinien mache (Start Ausführen entfernen, Abemelden entfernen), dann sind das Benutzerrichtlinien. Die ziehen schon mal so lange nicht, wie sich kein User in der OU befindet. Das ist Fakt. Wennman die Userkonten jetzt auch noch in die OU schiebt, bekommen die die Richtlinie, aber IMMER, egal, ob auf dem TS oder der lokalen Maschine angemeldet. Und da helfen nur zwei GPOs und der Loopbackverarbeitungsmodus. Und wenn du das nicht so hast, dann läuft es bei dir, aber es läuft nicht im gewünschten Sinne von d.pabst. grizzly999

Ganz so einfach geht das dann doch nicht. Man braucht dazu unterschiedliche Benutzerrichtlinien (meine GPOs mit Benutzereinstellungen) auf der TS-OU und der "normalen" Benutzer OU. Auf der TS-OU muss dann noch der Loopbackverarbeitungsmodus (Boardsuche!) eingeschaltet werden, am besten im Modus "Ersetzen". grizzly999

So viele wie du Rechner hast .... ;) grizzly999

Nun, für so ziemlich alle Sachen die CA betreffend in der Kommandozeile ist certutil.exe dein Freund. Mit certutil.exe /? gibts die Hilfe ;) grizzly999

Hallo und Willkommen im Board :) Welche Sicherheitszertifikate meinst du, und wo sollen die liegen, welchen Zweck sollen die haben, von wem für wen ausgestellt? grizzly999

Also ich habe mit so einem Script nicht nur einmal gearbeitet, immer ohne Probleme. Das führt aber schon ein Admin aus, oder?! grizzly999

Nein, hatte noch nie Probleme damit. Eigentlich ist das egal. Empfohlen ist freilich die nicht offizielle Namensvariante, das eigentliche Problem, das sich bei der DE-Variante stellen könnte, wäre das, wenn man mit einem Proxy arbeitet, und sagt Proxy für lokale Adressen umgehen, der Webserver aber extern liegt. Extern und Intern auseinanderhalten könnte da Probleme machen. Aber ansonsten .... grizzly999