ChristianHemker

Wichtig beim Übernehmen der Rollen ist, dass der alte Server auf keinen Fall mehr online gehen darf, da ja sonst Rollen doppelt im Netz wären.

Stell dir vor, du willst einem normalen Domänenbenutzer die Möglichkeit geben, Berechtigungen zu verwalten. Das kann er so nicht.

Richtest du allerding Ressourcengruppen (Domänenlokal) und Abteilungsgruppen (Global) ein, so kann dieser User mit AGDLP arbeiten. Er muss nicht mehr die Berechtigungen direkt, sondern nur noch Gruppenmitgliedschaften ändern.

Beispiel:

- 3 Zugriffslevel (Lesen / Ändern / Vollzugriff)

DL_Daten_LE

DL_Daten_AE

DL_Daten_VZ

Diesen Gruppen gibt der Admin die entsprechenden Berechtigungen auf der Ressource.

- 3 Abteilungen

G_Buchhaltung

G_Geschäftsleitung

G_Praktikanten

Der normale User muss jetzt nur noch die G Gruppen in die DL Gruppen schieben, schon hat er Berechtigungen vergeben. Die Berechtigungen die er zum Ändern der Gruppenmitgliedschaft braucht, kann man ihm einfach in Active Directory delegieren.

Prüfe doch mal bitte mit dem "IP Sicherheitsmonitor" welche Richtlinie aktiv ist.

Eigentlich nur Vorteile:

Du kannst die Notebooks mit Gruppenrichtlinien verwalten, die Domänen-Admins haben Zugriff auf das Notebook etc.

Eine Anmeldung ohne Netzwerk ist auch kein Problem, kann man über die Anzahl der zwischengespeicherten Anmeldeinformationen steuern. Standardmäßig werden 10 zwischengespeichert, d. h. man kann sich zehnmal ohne DC anmelden.

Für die VPN Einwahl kann man ja noch vor dem anmelden eine DFÜ (VPN) Verbindung aufbauen, damit man sich online am DC anmelden kann.

Hier hast du zumindest schonmal 4 neue Bücher, die einzeln sonst 79€ kosten würden für 249€:

http://www.edv-buchversand.de/mspress-edvbv/product.asp?cnt=product&id=ms-996&lng=0

Zuerst:

Es wäre schön, wenn du dich zumindest einigermaßen an die deutsche Rechtschreibung hälst, dass bedeutet: Satzzeichen und Großbuchstaben gibt es auch. Sonst hat man echt Mühe deine Beiträge zu lesen.

Zu deinem Problem:

Windows XP steht nach dem Domänenbeitritt immer in der Auswahl "Anmelden an lokaler Computer". Dieses musst du auf die Domäne ändern.

Wenn es das nicht war, habe ich noch einige Rückfragen: In welcher OU ist das Computerkonto des betroffenen Computers erstellt worden? Hast du es verschoben?

Warum lädst du dir nicht einfach eine kostenlose Evaluierungsversion bei Microsoft runter? Genau für deine Zwecke sind die doch da!

Habe auch TCP Outbound 3000 bei mir und es funktioniert hervorragend auf HBCI.GAD.DE (Volksbank).

Unterzertifikate auf das Vertrauenswürdige Stammzertifikat?

Was meinst du damit jetzt genau? Eine untergeordnete Zertifizierungsstelle?

Wichtiger ist es wohl eher, den Timeout für SSL Verbindungen auf dem ISA Server höher zu stellen. Am IIS habe ich daher nichts verändert und habe eigentlich keine Probleme und wesentlich weniger Traffic als vorher, wo ich noch alle 15-30 Minuten zeitgesteuert gesynct habe.

Der Vorschlag mit den verschieden Webseiten ist nicht schlecht, führ aber dann dazu, dass ich auf den clients immer alle zertifikate installieren muss.

Nein, das stimmt so nicht. Das Einzige Zertifikat das einmalig installieren werden muss, ist das öffentliche der Stammzertifizierungsstelle (falls diese nicht kommerziell ist). Das muss an dann in den Bereich "Vertrauenswürdige Stammzertifizierungsstellen". Damit vertrauen die Clients allen Zertifikaten, die diese ausgestellt hat.

Die öffentlichen Zertifikate der einzlnen Webseiten werden nicht installiert, sie werden lediglich benötigt um den Datenverkehr, der an die Webserver geht, zu verschlüsseln.

Gruppe Remote Desktop Benutzer

Ich glaube es geht hier eher um die Verwaltung der virtuellen Maschinen über die Virtual Server Webseite.

nach einer Domänenumstellung das Problem, dass die Gruppenrichtlinien nicht mehr angewendet werden.

Eine spontane Idee habe ich nicht, aber was meinst du genau mit Domänenumstellung?

Wenn du die IP Adresse des Druckers nicht weißt:

Die meisten Drucker haben eine Menü in dem sie diese anzeigen können, oder man kann diese Informationen vom Drucker ausdrucken lassen. Ein Blick in die Bedienungsanleitung sollte dir da helfen.

ist das Routing standartmäsig aktiv oder muss ich das noch aktivieren ?

Je nachdem ob du im RRAS Einrichtungsassistent gesagt hast ob er Routen soll oder nicht ;)

Was mir noch einfallen würde wäre

- Spyware Scan? (Hijackthis, z. B.)

- mit Start - Ausführen - MSCONFIG mal alles nicht Microsoft Dienste ausschalten

Anhand deiner Schilderung ist das Problem wohl bei der Windows Installation zu suchen, da ja der selbe Rechner mit der selben Hardware mit Linux oder Mini Windows läuft.

Da die Reperatur Installation nichts gebracht hat, würde ich als erstes mal nach Viren und Spyware scannen.

Wenn es alles nichts hilft, das Windows neu installieren (Datensicherung nicht vergessen!). Sind auf dem PC eigentlich alle Updates und Service Packs drauf? Das wäre noch ein Lösungsansatz.

Bin mir jetzt nicht sicher, würde es nicht schon reichen die Windows Ordner Ansicht zu ändern und Vorschau abzustellen?

Oder meinst du mit Precaching etwas anderes?

Du musst einfach nur NAT entfernen :)

Routen tut der RRAS Dienst von alleine zwischen allen Netzen, solange Routing in den RRAS Eigenschaften aktiviert ist.

Aber es sollte wenigstens die root CA nicht auf einem DC laufen. Dann kann diese Problemlos planmässig offline sein. Zugegeben - Das Design ist selten, aber empfohlen.

Naja, wenn schon Sicherheit, dann sollte man es richtig machen. In Zeiten der virtuellen Maschinen bietet es sich ja geradezu an, die Offline Root CA in einer solchen zu installieren und danach sicher zu archivieren. Es muss ja nicht immer der 5000€ Server im Tresor eingeschlossen werden :)

Ich denke es geht hier um SSL Zertifikate.

Eine Lösungsvorschlag:

Für jeden zu erreichenden Namen eine eigene Webseite im IIS anlegen, die man dann mit dem jeweiligen SSL Zertifikat ausstattet. ALs Ziel für alle Webseiten einfach das gleiche Verzeichnis auswählen.

edit: Hm, wenn ich es mir jetzt nochmal durchlese, ist es nur eine Zusammenfassung

Ich glaube bei so einem Thema schadet es nicht mehrere Beschreibungen zu haben.

Ist die virtuelle Netzwerkkarte noch an die physische gebunden?

Gibt es irgendwelche Einträge im Ereignisprotokoll des Gast- oder Hostrechners?

Wenn du dann noch möchtest, dass die User ihre eigenen Doumente bearbeiten können, kannst du der Systemgruppe "Ersteller Besitzer" noch die Berechtigung "Ändern" geben.