NilsK

Moin,

was für Benutzer sollen auf welche Weise was für Batches auf was für einem Server ausführen? Bitte erläutere den Zusammenhang, damit man dir eine sinnvolle Antwort geben kann.

Gruß, Nils

Oha.

I am deeply impressed. Okay, bezüglich der Möglichkeit der Einrichtung widerrufe ich meine Vermutungen. (Bei der Empfehlung, das Range-Problem anzugehen, bleibe ich aber. :cool:)

Gruß, Nils

Moin,

ruf mal per Rechtsklick die Eigenschaften der Skriptdatei auf. Kontrolliere im Register "Sicherheit", ob du die nötigen Berechtigungen hast (Leserecht reicht aus). Falls nicht, ggf. als Admin Besitz übernehmen und dann die Berechtigungen ändern.

Gruß, Nils

Moin,

dein Zugriffsproblem hat nichts mit dem Namen zu tun. Sonst würde es in beiden Richtungen bestehen.

Deine weitere Frage verstehe ich nicht. Bitte noch mal genauer beschreiben, was du von uns willst.

Gruß, Nils

Moin,

naja, oder halt die von mir gepostete Lösung oder das c't-Offline-Update oder ...

Gruß, Nils

Moin,

organisatorisch und praktisch funktionieren die genau wie "normale" Prüfungen. Der Zuschnitt der Fragen ist halt anders: In den 90 (oder was immer) Minuten bekommst du Fragen aus allen Bereichen gestellt, die das Upgrade betrifft. Welche Themen das sind, kannst du in der Beschreibung der Prüfung nachlesen.

Die Fragen selbst konzentrieren sich in der Tat auf das, was bei 2008 neu ist. Ob du dafür eine konkrete Vorbereitung brauchst, kannst du nur selbst beantworten. Schaden kann es nie.

Gruß, Nils

Moin,

Dazu sind mir keine aktuellen Lücken bekannt.

das heißt ja nicht, dass es keine gibt.

Den TS brauche ich zumindest für die Fernwartung.

Aber doch bitte nicht ohne Firewall davor. Und nicht nur mit Konto/Kennwort.

Ich habe mit diversen Tools nach Viren etc. gesucht. Kein Tool (Panda,McAffe...) konnte etwas finden.

Eine Sicherheitslücke muss ja auch kein Virus sein.

Kann mann nicht irgendwo ein Log mitlaufen lassen, aus dem ersichtlich ist, wann und wie ein neuer User angelegt wurde? Oder kann man das Anlegen neuer User generell sperren?

Das würde dir exakt gar nichts nützen.

Kennwörter sind bei mir mindestens 10 Zeichen lang

Alles unter 15 Zeichen ist zu kurz.

Mehr geht in der Praxis nicht.

Quatsch.

Gruß, Nils

Moin,

solche Angriffe setzen meist voraus, dass die Zielmaschine nicht vollständig gegen bekannte Schwachstellen gepatcht ist. Als grundlegende Maßnahme musst du bei einem System, das über das Internet erreichbar ist, also ein schnelles und vollständiges Patchmanagement sicherstellen. Das gilt natürlich auch für alle Applikationen, die auf der Maschine sind.

Darüber hinaus hoffe ich, dass ihr die Maschine nach dem ersten Hack vollständig platt gemacht hattet.

Wenn ich es richtig verstehe, steht keine separate Firewall vor dem Server? Das wäre schlecht. Ebenso schlecht ist, dass ein Terminalserver direkt ins Web zeigt. Wozu das?

Und: Wie sicher sind die Kennwörter wirklich? Sind sie lang und komplex genug? Unterscheiden sie sich von allen anderen Kennwörtern auf anderen Rechnern?

Ohne das System direkt zu begutachten, kann man nicht viel Genaueres sagen.

Gruß, Nils

Moin,

und wie mache ich einen filter in dem ich nur sagen kann, zeige mir nur die user die mitglied in dieser gruppe sind?

du willst den Inhalt des Feldes "member" einer bestimmten Gruppe ausgeben. Der LDAP-Filter dazu könnte so aussehen:

<LDAP://CN=Gruppe,OU=Ordner,dc=dom,dc=tld>;(objectCategory=group);member;Base

Das wird dann aber natürlich nicht mit deinen vorhandenen PHP-Funktionen klappen, weil die ja von was anderem ausgehen.

bin neu auf php :D

Dann hast du dir vielleicht ein etwas arg komplexes Beispiel zum Einstieg ausgesucht. Und du solltest dir vielleicht noch mal ein paar LDAP-Grundlagen aneignen. Dazu könnte sich dies als Einstieg eignen:

faq-o-matic.net LDAP-Grundlagen fr Active Directory

Und für deine Gesamtaufgabe könnte dies hier interessant sein, wenn auch nicht in PHP:

http://www.faq-o-matic.net/2008/07/04/mitglieder-einer-ad-gruppe-mit-zusatzdaten-ausgeben/

Gruß, Nils

Moin,

vielleicht wäre dies was für dich:

faq-o-matic.net Microsoft-Updates ohne WSUS verteilen - Teil 3

Gruß, Nils

Moin,

nun gut. Hört sich vertretbar an. Aber: Deine DHCP-Anforderung wirst du m.E. nicht umsetzen können. Wenn dein IP-Range zu klein ist, solltest du das Problem angehen und nicht an Randsymptomen herumbasteln.

Gruß, Nils

Moin,

Oder mal die aktuelle Versiuon von BGinfo versuchen? Wobei anscheinend eher das Skript hängt...

der Betreff dieses Threads ist falsch. Es gibt (erstmal) kein Problem mit BGInfo, sondern nur mit einem Kopierskript.

Gruß, Nils

Moin,

ist dir nicht schon mal aufgefallen, dass dieses Konzept ein 1A-Sicherheitsproblem darstellt? Du koppelst deine Firewall-Ausnahmen an bestimmte IP-Adressen. Was hindert "irgendwen" daran, sich eine solche IP-Adresse einfach zu nehmen, wenn der Dienstleister sie gerade nicht belegt?

Gruß, Nils

Moin,

Nö, unter Win 2000 hieß er auch noch Winnt ;)

hm. Grr. Naja, ist ja lange her. :rolleyes:

Ich vermute mal, dass man es irgendwie mittels unattended Parametern hinbekommen kann.

Nein, ich glaube, das geht nicht mehr. Im unattend-File kann man nur die Partition auswählen. Jedenfalls finde ich in der Doku nichts anderes - wenn ich irre, möge man mich korrigieren.

Also bei W2k3 war auch eine Zertifizierungsstelle immer ein Hemmschuh bei dieser Sache... ;)

Hm?

Gruß, Nils

Moin,

danke für Eure Antworten, doch leider verstehe ich das nicht so richtig.

bei der bat Datei handelt es sich um ein Loginscript welches auch per Gruppenrichtlinie eingebunden wird.

ganz einfach:

• Ein Logonskript wird im Kontext des Benutzers ausgeführt.
  
• Ein normaler Benutzer darf unter C:\Programme nicht schreiben.
  
• Deine Benutzer sind offenbar lokale Administratoren (was keine gute Idee ist). Nur deshalb dürfen sie in XP und 2003 unter C:\Programme schreiben.
  
• Unter Windows Vista sind lokale Administratoren durch UAC zunächst einmal nur Benutzer und keine Administratoren. Daher dürfen sie unter C:\Programme nicht schreiben.
  
• Näheres zu UAC findest du in dem Artikel, den Winfried verlinkt hat.
  
• Um dein Problem zu lösen, solltest du alles, was Benutzer nicht dürfen, anders regeln, z.B. per Startup Script.
  
• Benutzer haben keine Adminrechte zu haben.
  

Gruß, Nils

Moin,

der Fehler deutet darauf hin, dass die Daten nicht richtig an die Funktion übergeben werden. Sie erwartet ein Array, bekommt aber keins. Wenn es mit einem anderen Base-DN funktioniert, deutet das darauf hin, dass der hier verwendete DN nicht richtig ist und daher gar keine Daten zurückkommen. (Sollte deine Angabe im Posting richtig sein, ist das Semikolon am Ende falsch - das gehört nicht zum DN.)

Ach halt, jetzt sehe ich es erst richtig: Dein DN gibt keine OU an, sondern ein Objekt. Also anscheinend eine Gruppe. Eine Gruppe kannst du aber nicht auslesen wie eine OU, denn sie hat keine Unterobjekte. Die Mitglieder einer Gruppe stehen (als DNs) in deren Attribut "member".

Gruß, Nils

Moin,

du suchst BGInfo.

faq-o-matic.net BGInfo um eigene Datenfelder erweitern

Gruß, Nils

Moin,

evtl. funken dir die Druckeinstellungen dazwischen, die sich mit Vista geändert haben.

faq-o-matic.net Drucken unter Vista in der Domäne

Gruß, Nils

Moin,

ich denke auch was Winfried, sorry: Sunny61, denkt. Also in einem "Elevated CMD" aufrufen (ausdrücklich als Admin gestartet).

Falls das ein Logonskript ist: Das Skript sieht mir so aus als sollte man es lieber per Startup Script ausführen. Oder man baut sich ein MSI daraus und verteilt das per GPO.

Gruß, Nils

Moin,

In unseren Windows 2003 Domain Controllern stecken 2 Netzwerkkarten.

das ist schlecht. Google mal nach "multihomed dc". (Ist sogar unsupported.) Warum muss ein DC in einem Backupnetz hängen? Von einem DC sichert man den System State, dazu braucht es kein Backupnetz.

Die IP-Adresse des Servers registriert sich jedeoch trotzdem am DNS.

Das musst du ihm noch per Registry austreiben.

Private Network Interfaces on a Domain Controller Are Registered in DNS

Gruß, Nils

Moin,

abgesehen davon, dass Norberts Einwand schon sehr berechtigt ist - organisatorische Probleme muss man organisatorisch lösen -, wirst du einfach aus meiner Sicht nicht um Eigenbau herumkommen. "Änderung" ist zu unspezifisch, als dass man ein Tool finden würde, was wirklich verlässlich deine Anforderung erfüllt.

Nehmen wir mal das hübsche Beispiel mit dem Alias. In einer typischen AD-Umgebung haben wir es mit Dynamic DNS zu tun. Du kannst also nicht einfach auf DNS-Änderungen triggern, sondern müsstest schon filtern. Also filterst du auf Änderungen an Alias-Einträgen. Später fällt dir aber auf, dass jemand den MX geändert hat und dein Tool das nicht bemerkt hat ...

Ich fürchte, mit dem Ansatz schaffst du nur unglaublich viel zusätzliche Arbeit, löst das zugrundeliegende Problem aber nicht.

Und automatisiert protokollieren, wenn man es denn will: Dazu braucht man weder PowerShell- noch Programmierkenntnisse. Du suchst dir einen Strauß von Tools, die die verschiedenen Komponenten dokumentieren, die du berücksichtigen willst. Für DNS könnte das dnscmd.exe sein, für DHCP und einiges andere netsh, für AD könnte man csvde.exe nehmen ... usw. usf. Daraus baust du dir einen Satz von Skripten (Batch dürfte meist ausreichen), die die entsprechenden Reports in Dateien schreiben. Und die wiederum vergleichst du, wenn es denn sein muss, mit einem weiteren Skriptsatz über Diff-Tools mit ihren Vorgängern.

So könnte man rangehen. Ich würde das mit den Änderungen aber lassen.

Gruß, Nils

Moin,

ist die Fehlermeldung ein Firmengeheimnis?

Gruß, Nils

Moin,

nein, der Pfad ist festgelegt. Da er auch seit Windows 2000 schon so heißt und man mit Windows 2008 nicht von NT upgraden kann, gibt es aus meiner Sicht auch keinen Grund, das nicht so vorzugeben.

Ich gehe darüber hinaus ganz heftig davon aus, dass das Ändern des Systempfades in Windows 2008 nicht supportet ist (wenn man es denn hingebastelt kriegt). Warum meinst du denn, zwingend "C:\WINNT" zu brauchen?

Gruß, Nils

Moin Carsten,

Off-Topic:

 

Ich glaube wir brauchen wir ein neue Boardrubrik: Die Wortschöpfung des Monats oder sowas in der Art... :D

Gruß, Nils

Moin,

und, sind die Fehlermeldungen geheim?

Wie lautet denn der DN, den du zur Suche angibst?

Gruß, Nils