grizzly999

Schau doch mal einfach in die Erweiterten Optionen, wenn du mstsc.exe aufrufst ;) grizzly999

Wenn er nicht mehr aus den genannten nicht mehr repliziert, wirst du ihn so gar nicht mehr demoten können. Es gibt zwei Möglichkeiten: entweder man setzt einen Registry Key, der die Replikation wieder zulässt, man läuft dann aber Gefahr, dass bereits gelöschte und aus dem AD engültig entfernte Objekte wieder von diesem DC ins AD "gespült" werden. KB Artikel dazu: Lingering objects prevent Active Directory replication from occurring Oder man macht sich de Arbeit, und bringt ihn wieder ordnugsgemäßr zum Replizieren ohen die o.g. Gefahr. KB Artikel dazu: Outdated Active Directory objects generate event ID 1988 in Windows Server 2003 Zweiteres ist die sauberere Lösung mit ein wenig Kommandozeilenarbeit und DNS-Eiträge erfroschen. grizzly999

Nein, die UAC kann man über eine Gruppenrichtlinie nur ganz abschalten. grizzly999

Normalerweise "Server-Operatoren" grizzly999

finde ich persönlich nicht. Erst schreien immer alle, was Microsoft für unsichere Systeme....usw. und wenn man dann Sicherheit bekommt, dann schreien auch alle :rolleyes: BTW: Ich bin auch Admin, ich habe eienn lokalen Admin Account, und ich installiere, teste, mache und arbeite viel mit meinem lokalen System. Die UAC hat mich noch nicht gestört. Im Gegenteil: Wenn man vor mehr als einem Jahr die Aufregung um das wohl erste bekanntgewordene RootKit mitbekommen hat, dieses DRM-Tool, was die Sony CD-Software da heimlich versteckt als Rootkit installiert hat, und ert irgenwelche Profis a´la Markl Russinovich halb zufällig gefunden hatten.... Mit UAC wäre das so nicht passiert. Ich fühle mich jetzt an meinem Rechner sicherer :) :) grizzly999

Was sagt denn die Ereignisanzeige? Ist der DC seit mehr als 60 Tagen nicht mehr synchronisiert worden? Da muss man nicht gleich einen dcpromo machen, was in dem Fall dann auch ohne /forceremoval und händischem Saubermachen auch ken Erfolg versprechen würde. grizzly999

Benutze mal die VISTA-eigene Hilfe zum Begriff UAC (User Account Control) oder Benutzerkontensteuerung (der deutsche Begriff). Ich würde das aber nicht abschalten, es ist schließlich ein wichtiges Sicherheitsfeature. grizzly999

Da wurde alles aus Boardsicht zum Zurücksetzen oder Herausfinden von Adminkennworten gesagt. Closed grizzly999

Für SubOUs sieht das allegmein gesagt so aus (wenn man ein Objekt in der SubOU2 anlegen wollte): domain.de --HauptOU ------SubOU1 ----------SubOU2 DN: CN=Name;OU=SubOU2,OU=SubOU1,OU=HauptOU,DC=domain;DC=de grizzly999

Ja. Aber dann gilt es für den gesamten Datenverkehr. Da man üblicherweise auch den verkehr Intern -> Extern regelt und nur das rauslässt, was muss, sollte man das folgerichtig auch mit VPN-Clients tun. Dazu bräuchte man halt eine extra Regel à la VPN-Clients -> Extern -> Ausgewählte Protokolle (bla1, bla2, und was die alles können müssen). grizzly999

Das ist kein falsches GW, das ist korrekt so. Und außerdem kann man im ISA auch eine Regel einrichten, die es den VPN Clients erlaubt, über den ISA ins INternet zu ehen. grizzly999

Ist der Benutzer auch Mitglied dieser Gruppe? (gprseult zeigt auch dieses an) grizzly999

Du wirst als Domänen_Admin die Maschinen nicht mehr remote administrieren können, nicht auf aministrative Shares zugreifenkönne (C$ usw.), nicht remote auf die komplette Ereignisanzeig zugreifen können etc. Warum willst du das machen ? grizzly999

Es müssen halt alle EInträge unterhalb der Zone wieder da sein (dc, domains,gc,pdc) mit den darunterleigenden Strukturen. grizzly999

Die samid lässt sich mit dsmod nicht ändern, aber mit VBS: http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default.mspx?mfr=true grizzly999

Genau so. Das geht in den Bereich Rechtsberatung, das dürfen und wollen wir hier im Forum nicht leisten. Aber es gibt das auch einschlägige Rechts-Foren grizzly999

Also, dann gehst du jetzt her, legst eine Forward-Lookup Zone namens _msdcs.domäne.bla an (natürlich deinen Domänennamne einsetzen :) ). Die Zone machst du Active Directory integriert, Bereich "Alles DNS Server in der Gesamtstruktur" (was bem SBS so nicht nötig wäre), dyn. Updates zulassen (nur sichere am besten). Dann den netlogon Dienst auf dem SBS neu starten. Der sollte die Zone jetzt ausfüllen .... grizzly999

Man kann im IIS-Manager das Zertifikat, das für die Website verwendet wird, jederzeit durch ein anderes ersetzen. Dann könntest du ja immer noch das vorhandene verwenden. Aber von "Nicht Hiinbekommen" wollen wir hier mal nicht reden :D grizzly999

Hat der Client eine Standardgateway? Ist dieses beim Hochfahren erreichbar? Wenn eines von beiden "False", behält er seine Adresse nicht. Wenn beide Bedingungen "Ture", dann behält er seine IP-Adresse. grizzly999

Ist mir nicht bekannt und so auch nicht geplant. Wofür sollte es dann Security (!!) mit Zertifikaten geben, wenn sie eh' in diesem Sinne wertlos sind. grizzly999

Und wie findet ein Exchange seinen GC? Und wenn mehrere DCs vorhanden sind, wie lösen die hre Replikationspartnerauf? Und wie findet ein Rechner den PDC-Emulator? Ich weiß schon, wovon ich rede ;) grizzly999

Wie kommst du darauf? Die ist u.a. zum Auffinden von diversen Diensten wie z.B. GC oder PDC oder Namensauflsöungen von Replikationspartnern wichtig. @lips: Du hast etwas wenig Informationen zu dem Ganzen gegeben. So ist kaum eine Hilfe möglich. grizzly999

Du musst dafür sorgen , dass du allen Stammzertifizierungsstellen vertraust, was wohl kaum möglich ist (wenn man an die Millionen möglicher privater Root CAs denkt) grizzly999

Sowas wie eine Failover-Site-to-Site Lösung gibt es beim ISA nicht. grizzly999

Der VSS-Service steht normalerweise auf manuell und wird vom Sicherungsprogramm selber aufgerufen. Wie lautet denn die genaue Meldung? Gibt es Logeinträge? grizzly999