jmewald

Hallo zusammen, ich habe auf einem 2008 er RemoteApps freigegeben (Excel). Nun möchte ich aber das wenn der User diese Anwendung startet auch ein Netzlaufwerk zugewiesen bekommt. Also wenn Excel offen ist und er klickt auf Datei öffnen, dann sollte es dort ein T Laufwerk geben. Wie kann ich das dem Terminalserver mittels GPO beibringen ? Danke für Tips. LG Markus

Hallo danke für deine Antwort. D.h. die Zugriffe sollte ich mittels Regeln in der Firewall einstellen ? Domäne A ist z.B. in Deutschland Domäne B ist z.B. in china Es gibt immer wieder Leute von Domäne A die in China sind, dort ihr Laptop anstöpseln, und sich in der Domäne A anmelden wollen, obwohl sie eigentlich im Subnetz der Domäne B hängen. Wenn ich das nun über Firewallregeln regele, muss ich das über verschiedene Subnetze machen, d.h. um einzurichten welche IP darf was. Ich hätte gedacht es gäbe da etwas von Microsoft wie dieses SID Filtering, was mir erlauben würde zu sagen, wenn deine SID aus meiner Domäne ist dann darfst du dich anmelden und auf Ressourcen zugreifen, wenn deine SID nicht aus meiner Domäne ist erlaube ich dir keinen Ressourcenzugriff auch wenn ich einen User und PW aus der Domäne wüsste. Vielen Dank

Hallo zusammen, ich habe 2 Windows 2003 Domänen in jeweils eigenen Forests, die über eine externe Vertrauensstellung verbunden sind. Meine Frage: Wenn ich Domäne B sitze und mir im Explorer ein Netzlaufwerk zuweisen will aus Domäne A, dann gebe ich einfach User / PW aus Domäne A mit und es klappt. Dies möchte ich nicht. Kann ich das irgendwie unterbinden ? Ich habe da mal was von SID Filtering gehört. Wie funktioniert denn das ? Das zweite: Ich habe eine Userin die in keiner Domäne hängt (aus bestimmten Gründen). Wenn dieser User der lokal auf dem Notebook existiert auch in der Domäne A und Domäne B als User mit gleichem Passwort existiert, klappt der Zugriff. Wie kann das sein ? Kann man das unterbinden ? Ich bin ja froh das es geht, aber ich möchte das gerne wieder umstellen, d.h. Userin in Domäne aufnehmen, dann möchte ich aber das andere abstellen. Weiß hier jemand Rat ? Vielen Dank

Ich habs hinbekommen. Der Schema Master ist wieder online. Melde mich gleich. Muss feiern :-) – Anbei meine Lösung Bei mir hats gefunzt siehe anhang P.S. anhänge können max 40 kb gross sein. meiner ist 101 kb gross. gibt es eine möglichkeit das irgendwo hinzu stellen ? Danke

Hallo der Umzug auf eine physische Hardware ist zwar noch nicht abgeschlossen, aber ich habe festgestellt was der Fehler ist warum das seize schema master nicht geht. Wenn ich im MMC das Schema Snap In öffne und mir mit der rechten Maustaste die Berechtigungen ansehe, dann fehlt dort die Gruppe "Schema Admins". Habe das mit einer andren funktionierenden Domäne verglichen. Nun ist die alle entscheidende Frage: Wie bekomme ich die Gruppe dort wieder hinein ? Nur diese Gruppe hat die Möglichkeit den Schemamaster zu ändern, und wenn Gruppe nicht da, ist klar das immer der Fehler unzureichende Berechtigung kommt. Hab davon mal einen Screenshot angehängt. Vielen Dank Euch Mfg Markus

Ich hatte hier schon mal einen Eintrag erstellt und zwar geht es um die Sache das mein DC hopps gegangen ist und ich auf dem andren DC den Schemamaster nicht übernommen bekomme. Es kommt immer die Meldung "insufficient rights". Nun ist es so das sich mehrere Leute schon den Server angesehen haben und es ist definitiv nichts mit der Berechtigung falsch eingestellt. (Organisationsadmins und Schemaadmins). Zum Schluss war die Folgerung, ok wir machen bei MS einen Call auf. Gesagt getan, jedoch supporten die meinen DC nicht da er auf VMware läuft. Daher nun die Frage kann ich mittels adsiedit die Rolle auch übernehmen. Wenn ja mit welchen Einträgen. Mit ntdsutil und so komme ich nicht weiter. Das ganze teste ich natürlich nur an einer Test VM. Vielleicht hat jemand einen Tip. Danke euch

Hallo hat schon jemand von Euch mal den Schemamaster manuell via ADSIEDIT verschoben ? Wenn ja, welche Parameter müssen alles geändert werden ? Danke Euch Mfg Markus

Nein leider haut es immer noch nicht hin. Der Administrator ist ganz sicher in der Gruppe der Organisationsadmins. Hab ihn extra auch mal rausgenommen, eine Nacht gewartet, wieder zur Gruppe hinzugefügt. Selbes Ergebnis. Habe mir auch schon eine VM installiert, diesen als DC installiert. Leider auch selbes Ergebnis. Alle mir bekannten Möglichkeiten habe ich getestet. Mehr weiß ich leider nicht. Ich versteh nicht warum es nicht klappt. Der Windows Server der als Schemamaster lief war früher mal ein SBS 2003 Server der mittels Transaktion Pack upgedatet wurde. Kann das mit ein Grund sein ? Auf dem DC auf dem ich die Rolle seizen will ist ganz normal als Windows 2003 Std. SP 2 installiert. Noch irgendjemand einen Rat ? kann man irgendwie mit ADSIEDIT nachsehen ob er der Administrator wirklich die Gruppenberechtigung korrekt zieht oder etwas dergleichen ? Danke für Eure Hilfe markus

Hallo wenn jemand bereit ist auch mal einen Blick auf das System zu werfen so kann ich einen Zugang einrichten. Wäre sehr nett, denn ich weiß nicht mehr weiter warum ich die Schema Rolle nicht übernommen bekomme. Danke Euch Markus

Situation ist wie folgt: - Server mit Namen SERVER1 offline (hat Rolle Schema Master und Domain Name Master) - Domain Name Master habe ich mittlerweile geseized auf einen anderen DC mit Namen HRDAPP, die Rolle Schemamaster bekomme ich aber nicht übertragen - wenn ich nun den Domain Namen Master auf einen anderen DC (HRDTM) transferiere und diesen DC dann offline bringe, dann müsste ich doch den SERVER1 wieder online nehmen dürfen oder ? - würde dann die Rolle Schemamaster auf HRDAPP transferieren und danach SERVER1 wieder offline bringen und vom Netz nehmen - danach starten des DC HRDTM mit der Rolle Domain Namen Master. Könnte das funzen ? Danke

Hallo zusammen, was passiert wenn ich die Rolle des Domain Name Master geseized habe da der Original Server offline war aber nun den originalen Server der vorher die Rolle hatte noch doch wieder online bringen kann ? Kracht mir dann das AD weg ? Danke für Eure Hilfe Markus

Ok, danke für deine Hilfe. Versteh ich richtig das nur eine Schemaerweiterung notwendig ist wenn die zusätzliche Domain 2003 R2 ist ? Wenn die Root Domain schon Windows 2003 R2 ist erübrigt sich das dann ? Natürlich wäre es mir sowieso lieber ich würde den Schemamaster übernommen bekommen auf den jetzigen DC. Sollte ich den offline DC aus der Domain entfernen ? Kann das noch das Problem sein ? Hängt das irgendwie mit der DNS Auflösung evtl. zusammen ? Danke dir Markus

OK, super. Das ist schon mal gut zu hören. Das betrifft aber nur wenn ich untergeordnete Domänen erstellen will oder ? Was ist wenn ich in der Gesamtstruktur eine 2 Domäne (keine Untergeordnete Domäne) haben möchte ? Wie ist das wenn ich in der Nebenstelle ebenso einen Exchange 2003 Server installieren will ? Danke Euch Markus

Super dringend deswegen, weil ich letzte Woche in Asien war um unsere Nebenstelle anzubinden und genau in der Woche hier in Deutschland unser Schemamaster sich verabschiedet hat. Werde mir mal die Links ansehen. Ich verstehe nicht warum er überhaupt ein Rechteproblem hat. Was will er denn noch mehr als die Zugehörigkeit zu den entsprechenden Gruppen ? Danke Euch allen.

Hallo zusammen, ich habe leider ein absolut dringendes Problem. Leider ist mir letzte Woche durch Gewitter ein Server ausgefallen, der als DC fungierte und die Rollen Domain Namen Master und Schema Master hatte. Habe nun versucht auf einem anderen DC diese Rollen zu übernehmen mittels NTDSUTIL und seiz Rolle. Mit dem Domain namen Master klappt das, dies war successfull. Den Schema Master kann ich allerdings nicht seizen. Folgende Fehlermeldung schmeisst er aus: fsmo maintenance: seize schema master Eine sichere Übertragung von schema FSMO vor der Übernahme der Funktionen wird versucht. ldap_modify_sW-Fehler 0x32(50 (Keine ausreichenden Rechte). LDAP-Fehlermeldung: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Win32-Fehler: 0x2098(Die Zugriffsrechte reichen für diesen Vorgang nicht aus.) ) Abhängig vom Fehlercode kann dies auf einen Verbindungs-, LDAP- oder Funktionsübertragungsfehler hinweisen. Die Übertragung von schema FSMO ist fehlgeschlagen. Die Übernahme der Funktionen wird fortgesetzt... ldap_modify von fsmoRoleOwner mit 0x32(50 (Keine ausreichenden Rechte). LDAP-Fehlermeldung: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Win32-Fehler: 0x2098(Die Zugriffsrechte reichen für diesen Vorgang nicht aus.) ) fehlgeschlagenServer "hrdapp" kennt 5 Funktionen. Schema - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local Domäne - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local PDC - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local RID - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local Infrastruktur - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local fsmo maintenance: Der Administrator ist aber in der Gruppe der Domain Admins, Schema Admins und Organisations Admins. Was mache ich falsch dass das nicht geht ? Wäre leider super dringend, vielleicht hat jemand einen Tip für mcih. Danke Euch allen. markus