grizzly999

Schliesse mich voll und ganz meinen Vorrednern an, das ist, was ich, der Boardadmin und andere hier immer zum Ausdruck bringen wollten. Es gibt hier kein Schwarz und weiss, kein gut und schlecht, es gibt für den Einsatz bestimmter Komponenten in der IT immer nur eine von Fall-zu-Fall Entscheidung nach Abwägung ALLER Tatsachen. @klauser: Habe jetzt nicht mehr die Quelle parat, aber es war nicht die ComputerBild, in der ich das gelesen habe. Kann im Moment nur das hier bieten: http://www.pro-linux.de/news/2004/6931.html http://www.zdnet.de/news/software/0,39023144,2136945,00.htm grizzly999

Wie gesagt: nur Security Principals der eigenen Domäne können Mitglieder einer Globalen Gruppe sein, damit KEINE Universalen Gruppen ;) grizzly999

Klassenbasierte Adressen waren einmal (TCP/IP Vergangenheit). Dabei gab es keine Subnetmasks oder sonstige "Hilfsmittel" für das IP-Protokoll. Welcher Teil der IP-Adresse die Netz-ID war und welcher Teil HOST-ID wurde nur und ausschließlich an Hand der vorderen Bits vom IP-Protokoll herausgefischt (per Definition!). Ersten Bits: 0 --> Klasse A, 8 Bits Netz-ID, 24 Bits Host-ID 10 --> Klasse B, 16 Bits Netz-ID, 16 Bits Host-ID 110 --> Klasse C, 24 Bits Netz-ID, 8 Bits Host-ID Also: keine Subnetmask nötig gewesen, keine /XX Notation oder wie auch immer. War natürlich eine zig-Millionenfache Verschwendeung von IP-Adressen, bis man das IP Protokoll umprogammierte und ihm einen zweiten Parameter, die Subnetmask bzw. die Anzahl der Bits mit /XX mitgab, um die IP-Adresse in Netz- und Hostanteil zerlegen zu können. Das ist seitdem als CIDR (Classless Internet Domain Routing) bekannt. Ich hoffe, ich konnte es einigermaßen verständlich rüberbringen grizzly999

Nein, das geht nicht. Aber es gibt ja die Organisationsadministratoren, die auf jedem DC im gesamten Forest Admin-Rechte haben ... grizzly999

Den ganzen "Ordner" mit der GUID rauslöschen .... ;) grizzly999

Addusers.exe aus dem ResourceKit mit Parameter /d dumpt die benutzer und Gruppen auf dem MServer raus in eine Textdatei. Diese ggf. bearbeiten und dann im AD wieder mit addusers reinschiessen. Dort dann in die gewünschte OU verschieben. Finde, das ist der einfachste Weg grizzly999

Das ist das Maximale ..... Nein, das ist nicht möglich. Grund: Globale Guppen können nur Mitglieder aus der eigenen Domäne enthalten ;) grizzly999

Lösche mal die NIC aus der Registry, Beschreibung von mir hier: http://www.mcseboard.de/showthread.php?s=&threadid=36893 Dann booten, und richte Sie neu ein, wenn es PnP nicht schon tut. geht es dann? grizzly999

Schaue mit dem regedit direkt in der Registry nach (am besten diese vorher sichern), unter HKLM/System/CurrentControlSet/Services. Dort stehen ganz oben mit der GUID - sind die langen Zahlen in geschweifter Klammer - die NICs. Du musst reinschauen, welche es von der IP her ist und diese löschen. Denselben Eintrag findest du nochmals unter HKLM/System/CurrentControlSet/Services/TCP/IP/Parameters/Interfaces. Auch dort den betreffenden Eintrag löschen. Jetzt sollte es gehen. grizzly999

Verschreiber oder Absicht? Ausserdem: ein Netzwerkmonitor hilft beim Schauen, was da ankommt ;) grizzly999

Nachfrag: auch der 4500 UDP receive/send auf dem ISA? grizzly999

Den "unerlaubten" Bezug einer DHCP-Adresse kann man nur durch entweder alle Adressen im DHCP für bekannte MACs reservieren, oder Filterung für beakannte MACs auf einem managebaren Switch verhindern. Unberechtigten Zugriff auf freigaben verhindert man mit Freigabe-/NTFS-Berechtigungen. grizzly999

Ahh, jetzt eigener Beitrag ... ;) Hat der Client den hotfix aus kb818043 http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 installiert, sonst kann er kein NT-T. Allerdings habe ich das hotfix einzeln noch nicht gefunden, sondern nur im Patch-Pack von Wintotal.de (da aber einzeln selektierbar). Ausserdem muss der ISA auch entsprechend für NAT-T eingerichtet sein, Anleitung bei http://www.isaserver.org grizzly999

Genau das meinte blub damit. Wenn die Domänen IP-technisch über VLANS getrennt sind (ohne Routing natürlich) dann kann man weder die anderen Domänen (in der Netzwerkumgebung sehen) noch sonst wie drauf zugreifen, nicht mal der Versuch klappt dann --> mehr Sicherheit für die einzelne Domäne. grizzly999

Na, das hört man doch gerne :) Und künftig nicht vergessen, regelmässig den Systemstatus sichern ;) Ich mache das auf meinen Workstations auch jeden Tag per Batch, damit ich immer eine aktuelle Registry im Repair-Verzeichnis habe.

BTW: Auch die "Experten" in München -man erinnert sich, letztes Jahr, Umstellung der gesamten Stadtverwaltung auf LINUX, weil über die Jahre viieel billiger - haben inzwischen ihre aufgemachte Rechnung korrigiert und gesagt: Über die Jahre teurer als mit Microsoft :rolleyes: :rolleyes: :rolleyes: grizzly999

Okay, dann melde ich in der Wiederherstellungskonsole an, wechsle in das Verzeichnis c:\Winnt\system32\config. Kopiere dort zur Sicherheit die Datei SAM wo anders hin, z.B. in C:\winnt. Kopiere dann aus dem Verzeichnis C:\winnt\repair die dortige Datei SAM (die ist von der Installation des Rechners) in das Verzeichnis c:\Winnt\system32\config (Überschreiben JA wählen). Jetzt hast du den Administrator mit Namen und Kennwort wie kurz nach der Erstinstallation. Mit EXIT rebooten, sollte jetzt mit dem alten Namen und erstem Kennwort klappen. grizzly999

Kann ich auch nicht so stehen lassen :p Es sind definitiv (bei einer Basisfestplatte) nur max. 4 Partitionen möglich, da hat Lukeice recht. Logische Partitionen gibt es nicht, das sind logische Laufwerke innerhalb einer Erweiterten Partition, die es auf jeder Platte nur einmal geben kann. ;) grizzly999

Bad Bad Bad Hast du eine Systemstatussicherung? Oder hast du seit aufsetzen (wie lange her?) neue User angelegt? grizzly999

Kannst du dich im abgesicherten Modus anmelden? grizzly999

AR auf einzelne Objekte geht DEFINITV (ich kann nicht zählen, wie oft ich das schon gemacht habe), man muss aber den DN kennen ;) grizzly999

Was verstehst du unter einer frischen Windows 2000 Installation, ich meine, Workstation? Server? Server als DomänenController? grizzly9999

Die Ports sehen teilweise sehr seltsam aus (4600, 1223 :suspect: ), ausserdem ist so ziemlich ALLES von deiner VPN-Umgebung hier unklar, und ausserdem sind Overtakes, weil verwirrend und nicht hilreich, hier nicht gerne gesehen: http://www.mcseboard.de/rules.php?s=#nr7 Nochmaaal....... :rolleyes: grizzly999

Wiederherstellen von AD: http://support.microsoft.com/default.aspx?scid=kb;en-us;240363 Bei mehr als einem DC u.U. eine authorisierende Wiederherstellung: http://support.microsoft.com/default.aspx?scid=kb;en-us;241594 grizzly999

Du solltest für die Prüfung - wie bei allen Backoffice Produkten - das Teil fast aus dem EffEff beherrschen. Suche auch im Board nach der Prüfungsnummer 70-227 grizzly999