grizzly999

Meinst du per Gruppenrichtlinie oder direkt am Client? Per GPO unter Benutzereinstellungen/Windows Einstellungen/Ordnerumleitung. Am Client in den Eigenschaften von Eigene Dateien grizzly999

Bei der Webfreigabe ist es ähnlich. Es zeihen zuerst die dort eingestellten Berechtigungen, dann NTFS. Und was ich dir vorne an der Türe wegnehme, kann ich dir nachher nicht wieder geben. grizzly999

Na da bin ich aber auch gespannt :suspect: Meines Wissens nach gibt es von diesem Schalg keine kostenlose Software grizzly999

Hatte ich schon mal irgendwann, da ist dann das Tool nicht sauber durchgelaufen. Wenn der DC ansonsten i.O. ist, kannst du dir die Verknüpfungen manuell ins Startmenü legen, sind alles *.msc Dateien im System32-Ordner, z.B. dsa.msc für Active Directory Benutzer und Computer. grizzly999

Also gut, ein Beispiel: Gruppe A hat auf auf einem freigegebenen Ordner in der Freigabe die Berechtigung Lesen Gruppe A hat auf dem selben Ordner unter NTFS-Berechtigungen Vollzugriff Ein Mitglied von Gruppe A greift über die Freigabe auf den Ordner zu und hat nur Lesen, weil die stärker einschränkende Berechtigung, in dem Fall Lesen, die wirksame ist. Anderes Beispiel: Gruppe A hat auf auf einem freigegebenen Ordner in der Freigabe die Berechtigung Vollzugriff Gruppe A hat auf dem selben Ordner unter NTFS-Berechtigungen Ändern Ein Mitglied von Gruppe A greift über die Freigabe auf den Ordner zu und hat nur Ändern, weil die stärker einschränkende Berechtigung, in dem Fall Ändern, die wirksame ist. Darum war bis XP/SP1 immer die Standardfreigabeberechtigung Jeder -> Vollzugriff, weil was man dann wirklich durfte eigentlich über die NTFS-Berechtigungen geregelt wird. Wenn's nicht verständlich genug war, nochmals melden ;) grizzly999

Entschuldingung angenommen. Wieder lieb :D Anm: Ja, manchmal sind hier die einfachsten Sachen gefragt, und man möchte manchmal als "Experte" sagen "Wie kann man das nur nicht wissen", oder gar noch krasser. Und dennoch: Tut hier eigentlich keiner, wahrscheinlich im Gegensatz zu vielen anderen Foren :) :) Darum bin ich so gern hier drin :cool: grizzly999

Für SSL braucht man Port 443 TCP eingehend offen ... 123 ist das Network Time Protocol (NTP) grizzly999

Nein, habe im Moment keine konkrete Antwort darauf, könnte mit der Art des Servers (DC oder MemberServer) und der Art des Aufsetzens zu tun haben (neu oder Upgrade). Es müssen dann wohl standardmäßige Sicherheitseinstellungen per *.inf-File von Microsoft drüber gelaufen sein, oder eben auch nicht. Auf meinem frisch aufgesetzten W2k DC hat Jeder auf C: Vollzugriff, sonst nichts, auf Programme und Winnt sind dann durch das basicdc.inf andere Berechtigungen vom System gesetzt. Naja, jetzt sieht es so aus, wie es sollte. grizzly99

Der Reiter "Sicherheit" auf einem Ordner bezieht sich auf die NTFS-Berechtigungen, dagegen der Button "Berechtigungen" im Reiter Freigabe auf die Freigabeberechtigungen. beide sind ja wirksam, wenn man sich mit einer Freigabe verbindet, zuerst wirkt die Freigabeberechtigung, dann die NTFS-Berechtigung. Die effektive (wirksame) Berechtigung aus beiden ist die restriktivere von beiden. grizzly999

Das ADM habe ich gerade hier rumliegen :p -------------------------------- CLASS MACHINE CATEGORY !!Annoying POLICY !!No_TOUR KEYNAME "SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Applets\Tour" EXPLAIN !!No_Tour_help VALUENAME "RunCount" VALUEON NUMERIC 0 VALUEOFF NUMERIC 1 END POLICY ;No_Tour END CATEGORY ;Annoying [strings] Annoying="Lästige Sachen abschalten" No_Tour="Windows Tour beim Anmelden unterdrücken" No_Tour_Help="Unterdrückt die äußerst lästige Meldung beim Anmelden, man solle doch die Windows Tour machen" -------------------------------------------------------- Das Einbinden des ADM ist klar, oder.... ?! grizzly999

Ganz schön billig das Paket. Nein, die MOC-Unterlagen sind nicht die grünen MS-press Bücher, sondern sollten die original MOC-ordner sein (weiss-blau). Die sind ziemlich gut, allerdings kann man die Übungen so wie da drin stehend nicht machen, wenn man nicht den original Schulungsraum-Aufbau hat. Dennoch nicht schlecht der Preis. grizzly999

Hallo und willkommen im Board :) So ist das mit den Prüfungsvorbereitungsfragen. Sind halt nicht immer alle korrekt. Einen Datenträgerbereitstellungspunkt kann man auch auf einer Basisfestplatte erstellen. Somit wäre es unnötig, die 10GB Platte auch umzuwandeln. grizzly999

Okay, jetzt ist es klar, warum die Häkchen "vorne" fehlen: weil in den erweiterten Einstellungen für System und Administratoren "Nur dieser Ordner" eingestellt ist. Das ist eine Spezialeinstellung, normale wäre "Dieser Ordner, alle Unterordner und Dateien", und damit s.o. Ich würde die Berechtigungen für die zwei Einträge auch so umstellen, so dass die Admins und das System überall auf C: Vollzugriff haben. grizzly999

Auch ein Inplace-upgrade setzt hier IMHO nichts rein. Vielleicht irgend eine installierte Software Diese GPO-Einstellungen betreffen normal alle Computer von 2000 aufwärts, sofern der Registry Key dort auch vorhanden ist. grizzly999

Stimmt auffallend, steht dort "technisch nicht ganz korrekt" drin. Aber das war ja auch nur ein Mensch, der das geschrieben hat, ansonsten und überhaupt ist die Seite sehr infornmativ und hilfreich. Du kannst ja das mal als Verbesserungsvorschlag hinmailen, dass das so nicht ganz stimmt. Allerdings: es ist natürlich relativ einfach, das ind er Default Domain Policy zu tun, die findet jeder sofort. Das mit den lokalen Konten meint: Wenn man in einer GPO an einer OU (statt an der Domäne) Kontorichtlinien einträgt, wirken sich diese Kontenrichtlinien nicht für die Benutzer der OU aus (wirkt ja in der Domäne nur bei GPOs auf Domänenebene), aber die LOKALEN Kontenrichtlinien der Computerkonten, die in dieser OU sind, werden davon betroffen. Will heißen, wenn man dann auf einem solchen Computer ein lokales Konto anlegt, geht das nur ncoh mit Kennwörtern, die den Kontorichtlinien in der GPO an der OU entsprechen. Hoffe ich konnte es verständlich genug erklären. grizzly999

Nein, in der Default Domain Policy stehen nach dem Aufsetzen keine Berechtigungen für Registry Keys drin. Die müssen manuell gesetzt worden sein. grizzly999

Das steht eigentlich nirgends, und wenn es wo geschrieben wird, dann ist es falsch. Was immer geschrieben wird ist, das die Richtlinie an der Domäne eingerichtet werden muss, damit sie wirkt, aber man kann diese in einer separarten RL tun. Sollte man auch, die Dafault Plocies sollten möglichst nicht angefasst weden, um ein einfaches Zurückstzen von Fehlern in RL zu ermöglichen. grizzly999

Hast du eien Reverse Lookup-Zone für dein(e) Netz(e) eingerichtet. Wenn nicht, und danach sieht es aus, dann ist das die Ursache. Genau das besagt aber auch die Meldung ;) grizzly999

@fusselkopp: Ich ermahne dich, dich an die Boardregeln zu halten (http://www.mcseboard.de/rules.php?s=#nr3). Hier im Board herrscht ein angenehmer Ton, so wünschen wir uns das, und so soll es auch bleiben!!!! Es fragen hier alle möglichen Leute nach Hilfe, auch Anfänger, und wenn auch die Fragen für einige mehr als einfach sind, so hat doch jeder einen Anspruch darauf, nicht verars***t, ausgelacht, oder sonst was zu werden!! Und es keine Frage hier "schreit" geradezu nach Verars***ung.... grizzly999

Das Script kommt auf dem DC in die NETLOGON-Freigabe (Ordner: %systemroot%\sysvol\sysvol\domänename\scripts. Beim Benutzerkonto kommt dann nur der Scriptname ohne Pfad(!!) rein, also z.B. netlogon.bat grizzly999

Ja, aber machst du die IP-Adressvergabe per DHCP (Win2000 oder 2003)? Dann nur beim DHCP in den Eigenschaften das Häkchen setzen, dass er alle Clients, die nicht dynamische Update unterstützen beim DNS registriert. Dann trägt sie der DHPC beim DNS ein. Ebenso kann der DHCP die DNS-Server Adressen den Clients zuweisen. grizzly999

Hallo und willkommen im Board :) Dass Domänenrichtlinien auch bei Rechnern später ohne Verbindung zur Dmäne wirken, ist so beabsichtigt und sicher auch im Sinne des Domänen-Admin. Es wäre also gut, dein Anliegen mit diesem abzusprechen und eine Lösung zu suchen (die gibt es ;) ) Allerdings ist es eine Regel des Boards, Domänen-Admins hier nicht ins Handwerk zu pfuschen, sorry. grizzly999

Ich würde da nicht lange nach Ursachen suchen, sondern die Rgeistryberechtigungen, wie von amay vorgeschlagen, per Gruppenrichtlinie in der Domäne setzen. Dann sind die immer da.... In einer neuen Gruppenrichtlinie auf OU/Domäne unter Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Registrierung grizzly999

Man tut sich überall da leichter, wo FQDNs verwendet werden, und man sollte in einem 2000er Netz wo es nur geht FQDNs verwenden. grizzly999

Nein, dazu gibt es keine Aussage von MS. Wird's aber noch eine Weile geben. grizzly999