grizzly999

Dann, bei Interesse PN an den TO

grizzly999

Nur steht ja noch immer die Frage im Raum, was hat es dann mit dem Veröffentlichen von Freigaben auf sich... Wenn da jemand was zu sagen kann, wäre sehr dankbar für eine Info...

 

Danke

Die INfo hatte ich bereits gegeben :confused:

Das wäre natürlich eine Möglichkeit. Ob da jetzt der Domänenname steht oder nicht ist ja wurscht und wird die Benutzer an dieser Stelle nicht interessieren.

 

Da wahrscheinlich aber irgendwann das DFS kommen wird bei uns, wäre das als Übergangslösung schon ganz gut...

Und was soll das als "Übergangslösung" bringen, bzw, warum überhaupt Übergangslösung und verringern des administrativen Aufwands? Ich meine, ihr werdet doch nicht täglich Fileserver oder Shares auf andere Server umziehen?! Was spricht also dagegen, die klassischen UNC-Pfade erst mal zu belassen?

BTW: DFS ist kein Hexenwerk, das kann man doch schon zeitnah einrichten...

grizzly999

Für was das denn? Für jeden ping eine Datei, oder jeden Tag oder jede Woche?

Ich schließe mich aber da guybrush an, dafür gibt es hervorragende Tools, wie pingplotter oder ich benutze gerne den Multiping. Der macht das ohne Aufwand, und zeigt das Ganze auch noch schön grafisch ;)

 

grizzly999

Erste Frage: Warum soll ein DC in einem anderen Subnetz liegen?

Dieses Subnetz muß natürlich im AD Sites and Services eingetragen sein, entweder im vorhandenen Standort oder als separater Standort.

Im zwiten Fall müsste natürlich die Standortverbindung konfiguriert und der Server auch dorthin verschoben werden. Natürlich müsste das Routing komplett passen und stimmen.

Aber nochmals: was soll das bringen?

grizzly999

Für einen Share-Zugriff nach auf den Domänennamen brauchst du tatsächlich ein DFS, und zwar ein domänenbasiertes DFS. So lange du das nicht hast, geht der Zugriff über \\dömäne.blubnla\ nicht.

Und: Das mit dem AD dienst nur dazu eine schon vorhandene(!!) Freigabe im AD zu veröffentlichen, um solch eine Freigabe mit der AD-Suche einfacher zu finden. Aber dort im AD wird keine Freigabe erstellt oder verwaltet ;)

grizzly999

[*]Sind die betroffenen Benutzer unter Umständen Mitglied der lokalen Administratoren-Gruppe?

Olc meint damit bestimmt die Domänenlokale Gruppe Administratoren im Container Buitlin auf dem DC (BTW: keine gute Idee, einen DC als File und Printserver und SQL zu benutzen ;) )

Weitere Fragen:

- Hat dieser User ein oder mehrere Anmeldeskripts?

- Hast du das mit diesem User auch von einer anderen Workstation aus versucht ?

grizzly999

Vermutlich werden dann hier in der Registry auch nicht die entsprechenden Schlüssel aus der Policy auf den Clients zu finden sein:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate ?!

Was sagt denn ein gpresult /v /scope:computer auf den Clients zu der betreffenden Richtlinie? Wird sie übernommen (mit den korrektne Werten)?

grizzly999

Dazu erst mal eine Verständnisfrage:

Ist das eine Domäne oder eine Arbeitsgruppe?

Die Mitarbeiter melden sich an Clients an? An was für welchen (OS)?

grizzly999

Wenn du jetzt das Image auf die 20 Rechner kopierst, werden diese beim ersten Hochfahren von selbst das Mini-Setup voll- oder teilautomatisiert ausführen. Insgesamt sparst du also Arbeit, wenn du es mit NewSID vergleichst.

.... und wenn du dabei in der Antwrrtdatei in dem von Nils sysprep.inf den Parameter für den Computernamen auf

computername=

beläßt, dann musst du nur noch den Computernamen an jedem Rechner beim MInisetup eingeben, und dann hast du perfekt individualisierte Klon-Krieger, äh Klon-Rechner :D

grizzly999

Hallo und willkommen im Board :)

Hab ich das richtig verstanden, dass MCSA weniger "wert" ist als MSCE?

Manche drücken es so aus, manche sehen es so. Sagen wir einfach, der MCSA ist mit 4 Prüfungen statt 7 weniger aufwendig ;)

Ich habe gelesen, dass man für den MCSA 3 Einzelprüfungen machen muss und wenn man den MCSE aufbauen will noch eine weitere.

Also muss ich erst den MCSA machen oder geht auch beides gleichzeitig?

Für den MCSA braucht du 4 Prüfungen, bei denen du teilweise wählen kannst. Näheres siehe hier: MCSA on Windows Server 2003 Certification Requirements

Für den MCSE ohne Spezialisierung (+Securitx oder + Messaging) brauchst du 7 Prüfungen, bei denen du teilweise wählen kannst.

Näheres siehe hier: MCSE on Windows Server 2003 Certification Requirements

Zum Rest kann ich überhaupt nichts sagen ....

grizzly999

Zumindest hatte halt irgentwie erwartet das MS da eine Art Standarttreiber implementiert.

Microsoft schreibt keine Treiber für Drittherstellerprdukte, nur für die eigenen. Die kommen alle vom Hersteller selber und werden lediglich von MIcrosoft getestet und signiert.

Und wenn 3COM keinen Treiber für diese Karte liefert - IIRC ist die letzte Treiber Diskette von 3COM für diese Karte von 2001 oder 2002 - .....

grizzly999

Lediglich Kennwörter größer 16-Zeichen helfen da, jedoch .....

Kennwörter länger als 14 Zeichen ;) Für den LM-Hash werden die Kennwörter in 2x 7 Zeichen lange Chunks gesplittet.

Allein lange Kennwörter helfen jedoch nicht, .....

Das stimmt haargenau, gilt aber auch für NT-Hashes. Wenn man die Hashes hat, ist man bereits gehackt! :eek:

Ein "guter" Angreifer braucht die Hashes nicht mehr Hacken, der startet den Angriff nur allein mit dem Hash. Habe ich auch schon ein paar mal demonstriert. Dabei kann das Kennwort auch volle 127 Zeichen lang sein. Das würde ich nie cracken können, aber authentifizieren kann ich mich damit problemlos.

Von daher ist die Deaktivierung des LM-Hashes zwar eine klitzekleine Maßnahme, mehr aber auch nicht. Wichtiger ist: es erst dar niemand an die Hashes kommen, was aber im Bereich der lokalen Rechner sehr schwierig bis gar nicht zu verwirklichen ist.

Wie olc es sagte, ein Security-Konzept diesen Bereich betreffend muss umfassend und weitreichend sein, ansonsten sind Aktionen wie Deaktivieren von bestimmten Hashes oder Unterbinden von bestimmten Authentifizierungsverfahren unnützer Aktionismus.

grizzly999

Es gibt dann meiner Meinung anch genau 2 Möglichkeiten.

Entweder mit der Überwachungseinstellung am Ordner/Datei selber stimmt was nicht (falsches Ereignis wird überwacht), oder - das vermute ich eher. Die Gruppenrichtlinieneinstellungen wird nicht angewendet, weil z.B. GPO Konflikt mit einer Standard-Policy.

Dazu würde dir ein gpresult /v nähere Auskunft geben, oder besser noch der Gruppenrichtlinienergebnis-Assistent mit der GPMC.

grizzly999

Sorry, aber auch nach kurzem Grübeln kann ich mit DIESER Fehlebeschreibung ...

aber der Rechner wird einfach nicht im Netzwerk erkannt.

... nichts anfangen. Rechner wird nicht im Netzwerk erkannt, was darf man sich exakt darunter vorstellen?

grizzly999

Nein, das gibt es nicht. Aber wenn das WIssen und die vielleicht auch die Zertifizierung in diese Thema für deinen Chef so wichtig ist, warum dann nicht zusätzlich die 652 machen? An den 140€ kann es dann ja nicht hängen ...

grizzly999

Du hast aber die Überwachung zum Löschen auch an der Datei/dem Ordner selber unter Sicheheit/Ereitert/Überwachung eingetragen?

grizzly999

Die Meldung ist recht eindeutig.

Du hast kein oder nicht das richtige Zertifikat auf dem Webserver installiert. ISt dem so?

grizzly999

Wie wäre es genu entgegengesetzt, wie du sie installiert hast?! :suspect:

Rechtsklick auf "Richtlinien für Softwareinschränkung" und dann "Richtlinien für Softwareeinschränkungen löchen".

Oder ich habe was falsch verstanden .....

grizzly999

Hallo NorbertFe,

 

hab gerade mal nach GPMC google't ! Eigentlich nicht! Ich kann mich an eine Installation in so einer richtung nicht erinnern !

 

Wie bekomme ich das am schnelsten raus ?

 

 

Gruß Coolsero

In dem du in das Verwaltungsmenü schaust, und dort nach Gruppenrichtlinienverwaltung suchst.

grizzly999

Es gibt natürlich auch einen ntlm hash, da ntlm auch mit hashes arbeitet.

Diesen kann man in der Version 1 auch per GPO deaktivieren, indem man nur noch ntlm v2 erlaubt.

Du darfst mir ruhig glauben, ich weiß in dem Fall ziemlich genau, was ich schreibe.

Ansonsten empfehle ich dir auch die ganzen Artikel und Bücher und Security Resource Kits (einige Zig an der Zahl) dazu durchzulesen, so wie ich es die letzten 10 Jahre ununterbrochen getan habe :wink2:

Besonders gut zu diesem Thema die Artikel von Jesper Johannson, teilw. auch von Steve Riley.

grizzly999

Es gibt keinen primären und sekundären DC mehr. Schon seit Windows 2000 nicht. Kann es sein, dass du da noch auf dem NT4.0-Wissensstand bist?

Es gibt lediglich 5 Betriebsmasterrollen (FMSO Roles), die sind singulär, aber die werden nicht automatisch übertragen.

Näheres dazu im Board oder hier: How to view and transfer FSMO roles in Windows Server 2003

grizzly999

Hallo zusammen,

 

ich bin auf der Suche nach einem Tool, das über den ganzen Tag/Nacht z.B. jede Minute 10 Pings absetzt und diese dann mit Uhrzeit protokolliert und wenn möglich auch grafisch darstellt. Wenn möglich natürlich kostenlos ;-)

 

Es soll damit protokolliert werden, ob im Laufe des Tages/ Abends Probleme mit dem DSL Netz auftreten.

 

Viele Grüße

ThaPate

 

p.s.

Danke für eure Mühe

Ich benutze gerne Multiping MultiPing

Multiping ist eher auf das reine Monitoring focussiert, Pingplotter ist besser im Bereich Diagnose. Auf der verlinkten Homepage gibt es auch einen Link zum Vergleich zwischen Multiping und Pingplotter.

grizzly999

Hallo,

 

man kann per GPO den NTLM Hash deaktivieren, damit das Kennwort cracken erschwert wird.

Du meinst den LM-Hash. Und dann gibt es nochden NT-Hash, und die Authentifizierung heißt NTLM_Authentifizierung ;)

Aber wenn du keine alten Clients mehr hast oder keine Verbidnung zu OS/2, dann brauchst du den LM-HASHnicht mehr.

grizzly999

In Active Directory Benutzer und Computer, Rechtsklick auf die Domäne -> "Domänenfunktionsebene heraufstufen"

grizzly999

Im Moment habe ich keinen konkreten Ansatz, ich würde in dem Fall einfach den TS noch mal rausnehmen in eine Arbeitsgruppe und dann rejoinen. Geht ja schnell ;)

grizzly999