NilsK

Moin,

woher hast du diese info?

es ist tatsächlich so, dass viele Hersteller sowas in ihre Lizenzbestimmungen schreiben. Da das aber natürlich die Pressefreiheit tangiert, dürfte das schwer durchsetzbar sein.

Da greifen dann im Zweifel Sekundärmechanismen: Zeitschrift X oder Journalist Y hält sich nicht an unsere Regeln, dann bekommt er in Zukunft eben keine Exklusivinformationen mehr.

Gruß, Nils

Moin,

jetzt kommen wir der Sache näher. Binary-Werte kannst du nicht per GPO/ADM verteilen, also bleibt nur regedit oder reg.exe.

Das sollte dann ja nicht das Problem sein und sich über ein Logonskript regeln lassen.

Gruß, Nils

Moin,

also, leicht machst du es uns nicht.

Möchtest du nun bei allen denselben Wert eintragen oder bei jedem einen anderen, individuellen Wert? Und: Um wie viele Werte geht es? Musst du nur vorhandene Werte eintragen und neue hinzufügen, oder müssen auch zwingend Werte gelöscht werden?

Wenn es nur um wenige Werte geht, die du verändern oder einfügen (aber nicht entfernen) willst, kämen u.U. Gruppenrichtlinien in Frage. Vielleicht sind deine Einstellungen ja auch direkt über die von Microsoft verfügbaren Office-ADM-Dateien abzuhandeln.

Wenn es um mehr geht, kannst du mit regedit /s oder mit reg.exe arbeiten. Der jeweilige User hat natürlich in seinem User-Teilbereich der Registry Schreibrechte - schließlich kann er die Änderungen ja auch manuell im GUI vornehmen.

Gruß, Nils

Moin,

ja, gibt es nicht. Und das mit den Hauptbenutzern solltest du abstellen.

faq-o-matic.net » Wie Hauptbenutzer zu Admins werden

Gruß, Nils

Moin,

Benutzer können überhaupt keine Ordner freigeben. Das dürfen nur Hauptbenutzer und Administratoren (wobei Hauptbenutzer praktisch Administratoren sind).

Das regelt man also nicht per GPO, sondern per Gruppenmitgliedschaft.

Gruß, Nils

Starte die Server mal neu. Vielleicht löst das schon das Problem.

Wenn nicht, melde dich wieder, am besten mit möglichst strukturierten Angaben.

Gruß, Nils

Moin,

prüf doch noch mal, ob die Domänen-Admins wirklich noch in den lokalen Admingruppen der Server drinstehen. Vielleicht läuft bei dir ja auch eine Policy oder ein Skript, das die Mitgliedschaft neu setzt.

Und bitte: Führ doch mal lokal angemeldet als der Domänenbenutzer "whoami /groups" aus.

Kommst du denn mit dem Domänenaccount mit anderen Zugriffsarten ran? Zugriff auf die Admin-Shares, psexec oder sowas?

Gruß, Nils

Moin,

das Kommando entfernt verwaiste Einträge aus einer bestimmten Domäne. Es kann allerdings sein, dass eben wegen der SID History die Einträge gar nicht verwaist sind.

Versuch mal folgendes Verfahren. Das sollte klappen.

Tool: SetACL (SourceForge.net: Files)

Kommando:

SetACL.exe -on "C:\temp\Ordner" -ot file -dom "n1:DOMALT;da:remdom;w:sacl,dacl" -actn domain –rec cont_obj

Kurzübersetzung: -on ist der Objektname, -ot ist der Datentyp (hier: Dateien und Ordner; setACL kann auch Registry, Drucker usw.), -dom bezeichnet Aktivitäten mit domänenbezogenen Berechtigungen; da:remdom entfernt die Berechtigungen der bei n1 angegebenen Domäne; -actn führt die angegebene Aktion tatsächlich aus; -rec gibt die Rekursion an, damit alle untergeordneten Objekte bearbeitet werden.

Gruß, Nils

Moin,

hast du mir jetzt die whoami-Ausgabe des lokalen Accounts gepostet?! Die interessiert nicht. Ich will wissen, in welchen Gruppen dein Domänen-Account auf dem Server effektiv Mitglied ist. Dazu musst du dich mit dem Account lokal anmelden (RDP geht ja nicht).

Aber die Domäne hast du beim Anmeldeversuch mit dem Domänenkonto schon ausgewählt? Welche Fehlermeldung erscheint beim Anmeldeversuch?

Gruß, Nils

Moin,

Entschuldige bitte die dürftige Auskunft

naja, jetzt hast du meine Fragen auch noch nicht beantwortet ...

Also: Neben dem Hinweis von Cybquest könntest du den Ex- und Import auch mit reg.exe machen, auch damit geht das ohne Rückfrage. Wenn es dir eigentlich um was anderes geht, beschreibe es bitte.

Gruß, Nils

Moin,

hast du die Fehlerbehandlung im Skript mit "on error resume next" abgeschaltet? Falls ja, kommentier das mal aus oder frag an den passenden Stellen das err-Objekt ab, damit du eine Fehlermeldung sehen kannst.

Läuft das Skript, wenn du die Remoteverbindung rausnimmst und es als der betreffende User lokal ausführst?

Gruß, Nils

Moin,

noch mal langsam, bitte: Es geht dir darum, eine ganze Struktur von Schlüsseln und Werten zu löschen und eine solche Struktur zu importieren? Oder geht es jeweils um einzelne Werte?

Ist es jeweils derselbe Wert bzw. dieselbe Struktur für alle? Oder geht es um individuelle Daten?

Um welches Betriebssystem geht es auf den Clients?

Gruß, Nils

Moin,

markiere den ganzen Text per Strg-A und lege per Rechtsklick die Sprache fest.

Und reg dich bitte ab.

Gruß, Nils

Moin,

@José 2.0 beta, wenn sie verfügbar ist, lass es mich wissen :-)

ich hatte nicht vor, das geheim zu halten. :cool:

Gruß, Nils

Moin,

nur meckern bringt wenig.

Was genau passiert denn, wenn du das dort angegebene Kommando ausführst? Die alte Domäne ist doch noch erreichbar, oder?

Gruß, Nils

Moin,

leider ist deine Darstellung nicht ganz nachvollziehbar.

Sind die beiden Server, von denen du sprichst, Domänencontroller oder normale Memberserver?

Was genau passiert, wenn du eine RDP-Verbindung aufbaust? Scheitert das komplett, oder kannst du dich nur nicht anmelden?

Wenn letzteres: Ist das Konto, mit dem du dich anmeldest, Mitglied der Domänen-Admins?

Kannst du dich mit dem Konto lokal anmelden? Wenn du dann "whoami /groups" ausführst, werden die Gruppen angezeigt, die du erwartest?

Gruß, Nils

Moin,

meinst du mit "Lokale Administratoren" lokale Konten oder Domänenkonten, die lokale Rechte haben?

Falls ersteres: da es sich um eine userbezogene Policy handelt und lokale Konten nicht in der OU sind, sind sie auch nicht davon betroffen. Remote haben lokale Admins sowieso normalerweise keinen Zugriff. Sie sind ja lokale Admins.

Falls Letzteres: Das lässt sich so nicht umsetzen. Dazu müsstest du eine der Varianten nutzen, die Anwendung des GPO zu steuern. Also: betreffende User in eine eigene OU; betreffende User in eine Gruppe, denen die GPO-Anwendung verweigert wird oder ähnlich.

Gruß, Nils

Moin,

die sauberste Variante wäre:

• eine passende Berechtigungsstruktur, die unerwünschte Zugriffe verhindert
  
• eine Segmentierung mit Hilfe von IPSec-Policies
  

Du kannst auch versuchen, die lokalen Firewalls der Server per GPO so zu konfigurieren, dass sie nur erwünschte Clients zulassen. Ebenso könntest du per Firewall-GPO die Client-Firewall so einstellen, dass sie keine Verbindungen von anderen Clients zulassen.

Der umgekehrte Weg, per Firewall den ausgehenden Verkehr zu steuern, geht mit Bordmitteln erst mit Vista.

Ob das in der Praxis handhabbar ist, steht auf einem anderen Blatt.

Gruß, Nils

Moin,

schon mal eine Reparaturinstallation versucht?

Gruß, Nils

Moin,

hilft dies?

faq-o-matic.net » Wie halte ich die ACLs auf meinem Fileserver sauber?

Gruß, Nils

Moin,

Dann sicherst du den Server (samt Registry) zum Zeitpunkt der Systemstatussicherung zurück.

der TO hat ja erwähnt, dass sein DC "viele Probleme" hat, daher würde ich diesen Weg nicht gehen. (Zudem ist er umständlicher.)

Gruß, Nils

Moin Hardtie ;-),

aha. Dann solltest du anders vorgehen. Installiere einen anderen Rechner (notfalls ein PC oder eine VM), während der alte DC noch da ist, als zusätzlichen DC. Dann repliziert das AD alles von selbst. Anschließend kannst du den alten DC sauber herunterstufen, neu aufsetzen und wieder replizieren lassen.

faq-o-matic.net » Wie kann ich das AD per Backup auf einen anderen Server übertragen?

faq-o-matic.net » Was muss ich tun, um den ersten DC zu deinstallieren?

Beachte aber: Wenn die Umgebung mehr als 10-20 Benutzer hat, ist ein DC zu wenig.

Und: Wenn der alte DC seinen alten Namen wiederhaben soll, musst du vorher ggf. in DNS und in WINS die Namensverweise auf die alte Maschine entfernen und die Replikation abwarten.

Gruß, Nils

Moin,

bitte beschreib noch mal genau was du vorhast: Willst du den vorhandenen DC durch einen neuen ersetzen? Willst du einen zusätzlichen DC in die Domäne bringen? Willst du alles einreißen und neu machen?

Gruß, Nils

Hm ...

... du hast aber auch immer Einwände ...

Schön, danke für die Rückmeldung!

Gruß, Nils