Netscape

Dann scheint die Einstellung des Enhanced PINs nicht zu ziehen..Kannst du Bitlocker bitte so aktivieren:

 

manage-bde -proctectors -add c: -TPMAndPIN

 

zweimal den PIN eingeben und auf die Fehlermeldung warten. Erscheint folgende Fehlermeldung?:

 

An error occurred (code 0x8031009a) The requested TPM PIN contains invalid characters.

Also, habe das nun wie von dir beschrieben getestet. Ich bekomme dabei keine Fehlermeldung. Aber auch nach dem aktivieren über die CMD und anschließendem Test nimmt er den PIN mit Buchstaben, Zahlen und Sonderzeichen nicht.

Hier die Fehlermeldung:

Die letzen Richtlinien zum TPM (ab "TPM-Start...") verwirren mich etwas...

 

Siehe auch hier: MSXFAQ.DE - Bitlocker

Mit diesen Einstellungen in der GPO wird nur TPM in Kombination mit PIN erlaubt.

Alle Anderen Einstellungen (TPM alleine, TPM mit Schlüssel und PIN,... ) sind nicht erlaubt. Bzw. führt auch zu Fehlermeldungen, wenn mehrere aktiviert sind.

Wird in dem Link von dir auch noch mal erklärt.

Auszug aus deinem Link bei MSXFAQ

Das wird deutlich wenn Sie "TPM-Start konfigurieren" so interpretieren, dass damit TPM erst aktiviert/gefordert wird. Diese Einstellung steuert aber den Start mit "TPM alleine", also ohne weitere PIN oder Systemstartschlüssel (=USB-Laufwerk mit Key). Wenn Sie diese Option daher im Irrglauben "erforderlich" setzen und dann noch eine andere Option als erforderlich einstufen, haben Sie ihren Konflikt. Sie sollten also hier die Optionen verbieten, die sie nicht unterstützen wollen und genau einen Eintrag erzwingen. Oder sie lassen den Benutzern die Wahl zwischen verschiedenen Optionen und erzwingen keine Option.

Die GPO kommt auf dem client an. Hab ich geteset mit gpresult.

Ich werds dann mal über die cmd probieren. Dauert aber noch etwas, bis ich das getestet habe.

Hier schon mal die GPO Settings:

TPM Besitz wurde übernommen und wird so auch angezeigt.

Bitlocker habe ich auf dem Client über das UI aktiviert.

Habe auch folgendes probiert:

Bitlocker mit einem Passwort bestehend aus Zahlen aktiviert. Nach erfolgreicher Verschlüsselung habe ich diesen PIN mittels

manage-bde -changePIN

geändert, mit der folge dass er dass Passwort bestehend aus Groß,- Kleinbuchstaben, Sonderzeichen und Zahlen, nicht aktzeptiert hat und ich direkt den Wiederherstellungsschlüssel benutzen durfte.

Kennwortkomplexität ist auch aktiviert.

Aber das Kennwort, das ich gewählt habe, entspricht diesen. Es besteht aus Groß,- Kleinbuchstaben, Sonderzeichen und Zahlen.

Ja, sind MAK Keys. KMS ist zu umständlich und da müssen die Keys auch alle 180 Tage erneuert werden.

Funktioniert die Unattendend auch mit Images? Ich hab bisher immer nur Unattendend Install gelesen.

Ich möchte aber das fertige Image nutzen und nur diese Sachen (CD-Key und DomainJoin) noch hinzufügen.

Hi,

bin noch neu im Thema WDS. Daher mal hier ein paar Fragen.

Folgendes Szenario:

13 laptops sollen mit Win7-ENT installiert werden.

Mein Vorgehen wäre nun:

1. Masterlaptop mit allen Treibern installieren und Sysprep ausführen

2. Image von Masterlaptop mit WinPE und ImageX

3. Bereitstellung über WDS

Nun ein paar Fragen:

1. Kann ich Windows nachher automatisch aktivieren auf diesen Laptops?

2. Kann ich die Rechner automatisch in die Domain aufnehmen?

Jep, die GPO hab ich aktiviert.

Wenn ich den PIN festlege, sagt er mir auch noch er soll zwischen 10 und 20 Zeichen (hab die Minimallänge des PIN´s auf 10 Zeichen gesetzt) lang sein.

Hi,

ich möchte Bitlocker mit dem erweitertem PIN nutzen. Leider funktioniert das nicht so richtig.

Ich habe mehrere ThinkPad T420 mit TPM. GPO ist auch angepasst und somit sollten die Grundvoraussetzungen vorhanden sein.

Wenn ich aber einen PIN mit Buchstaben, zahlen und sonderzeichen wähle, klappt das nicht. Er meckert schon bei der erstmaligen Systemprüfung, dass der PIN nicht stimmt.

Nachdem Windows dann gestartet ist, sagt er mir ich solle einen PIN nur aus zahlen nehmen.

Woran liegt das?

Ich habe im ADSI-Edit die Eigenschaften eines Standard Domänen-Benutzers geöffnet. Dann gibt es da den Reiter Sicherheit.

Und dort haben die "Authentifizierten Benutzer" zwar das Recht "Allgemeine Informationen lesen", aber nicht das Recht "Gruppenmitglidschaft lesen"

Hab im ADSI-Edit nachgeschaut.

Authentifizierte Benutzer haben das Recht "Gruppenmitgliedschaft lesen" nicht.

Der User, dem ich die Delegierung erteilt hab, hat dieses Recht.

Hallo,

 

die Gruppenzugehörigkeit ist bei AD-Usern im Attribut "memberOf", das ist ein gewöhnliches Attribut, auf das im AD _JEDER_ angemeldete User Leserechte hat. Du brauchst also keine speziellen Rechte zu vergeben :)

 

Liste der User-Attribute:

SelfADSI : Attribute für AD User (Windows 2008)

 

Gruß,

Philipp

Hat aber erst funktioniert, nachdem ich die Delegierung eingerichtet hatte.

Ich denke, ich habs schon gefunden.

Über die Delegierung/Objektverwaltung im Active Directory Benutzer und Computer MMC.

Habe dort die Delegierung mit der Option "Liest alle Benutzerinformationen".

Oder gibt es noch einen anderen Weg?

Hi,

wie kann ich die Rechte für einen User setzen, damit er die Gruppenzugehörigkeit für User auslesen kann?

Hintergrund ist der: Ich habe eine Webapplikation auf einem internen Apache mit Kerberos SSO konfiguriert.

Und für die Rechtevergabe werden die AD-Gruppen benutzt. Dafür muss der User, den ich für die Abfrage nutze, diese Rechte haben.

Dieser User soll nur die Gruppenzugehörigkeit auslesen können. Keine Änderungen oder sonstiges machen können!

Active Directory: Windows 2003 Pur Mode, mit 2 Win2k3 DC´s und einem Win2k8R2 DC.

Hat niemand eine Idee?

Hier mal die Config des Linux Servers:

[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
DOMAIN.LOCAL = {
 kdc = dc.domain.local
 admin_server = dc.domain.local
 default_domain = domain.local
}

[domain_realm]
wiki.domain.local = DOMAIN.LOCAL

[appdefaults]
pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
}

Hier ein Auszug aus der Apache Config:

<Directory "/dcroot/wiki">
       # Kerberos Auth
       AuthType Kerberos
       KrbAuthRealms DOMAIN.LOCAL
       KrbServiceName HTTP/wiki.domain.local
       Krb5Keytab /etc/httpd/wiki.keytab
       KrbMethodNegotiate on
       KrbMethodK5Passwd off
       require valid-user
</Directory>

Wenn ich im Apache die KrbMethodK5Passwd auf on stelle, werde ich nach username/passwort gefragt.

Wenn ich diese dann eingebe, klappt der Login auch. Warum funktioniert der automatische Login nicht?

Weder mit Safari, noch mit Firefox.

Hi,

es geht zwar um einen MAC, aber ich hoffe es kann mir trotzdem jemand helfen.

Und zwar geht es um folgendes. Ich habe einen Webserver (Apache) mit einem Wiki (DokuWiki) und Kerberos SSO konfiguriert.

Von Windows klappt das SSO auch ohne Probleme (mit IE und Firefox).

Nur die MAC OS X Clients machen Probleme. Die bringen immer die Fehlermeldung: Authorization Required.

Die MAC´s sind ins ActiveDirectory eingebunden und die User melden sich auch mit einem AD Account an. Im Schlüsselbund kann ich auch das Kerberos Ticket sehen.

Hat jemand eine Idee?

Schalte IPv6 auf dem Mac aus und probiere das hier:

 

the following solved the problem for me:

created a simple configuration file for SMB requests "nsmb.conf" in /etc

content:

[default]

minauth=none

streams=no

soft=yes

notify_off=yes

domain=<your windows domain>

port445=no_netbios

[<your smb server1>]

addr=<ip address of the "your smb server"

 

From the settings "minauth=none" seems to have the most impact.

For more details on nsmb.conf use your favorite search engine or go to "Terminal" > man nsmb.conf

Ok, habs eingestellt und werde es mal testen.

Vielen Dank schonmal.

Ok,

danke für den Input. So wie es aussieht war zum einen Skript auf dem Webserver fehlerhaft (hat immer an die IP geschickt) und zum anderen klappt der Weckruf nur, wenn der Rechner runtergefahren wurde.

Aus dem Standby geht es nicht. Wunder mich aber schon. Es handelt sich um ein ThinkPad und eine ThinkStation. Da sollte man meinen, dass die das auch können.

Im übrigen klappt der Weckruf auch nicht, wenn der Rechner hart ausgeschaltet wurde.

Hi,

wir haben bei uns ca. 20 MAC´s, die bisher auf einem Apple OS X Server ihre Files ablegen. Da dieser nun schon etwas älter ist, wollen wir ihn abschaffen.

Eigentlich wollte ich die Daten auf einen Win2k8 R2 Fileserver umziehen. Aber schon beim testen fällt auf, dass er öfters deutlich zu lange braucht einen Ordner zu öffnen.

Oder dass er mit Dateiberechtigungen nicht klar kommt. Zum Beispiel kann der User auf einmal keine Dateien löschen/überschreiben, obwohl er die nötigen Rechte hat.

Für eine Produktivumgebung ist das nicht gerade optimal.

Gibt´s da irgendwie Abhilfe dagegen?

Haben Andere auch solche Probleme?

Die MAC Clients laufen alle mit OS X 10.6.x

Hi,

folgendes Problem. Und zwar soll ein Win7 Rechner über WOL gestartet werden können.

Dsa ganze noch aus dem VPN raus. Da das schon etwas komplizierter ist, habe ich auf einem internen WebServer ein Skript hinterlegt, mit dem sich der Rechner starten lässt.

Das funktioniert soweit, wenn der Rechner an war und ich ihn innerhalb von ca. 30 Minuten wieder starte. Wenn der Rechner aber länger aus ist, startet er dann nicht.

Liegt das evntl. an den Netzwerk Switchen?

Wir haben mehrere 3COM 4200G und 4500G.

Also größenmäßig geht es um ca 75 User mit Laptops/MAC´s (mit Kaspersky AV).

Blackberry Geräte sind es 6.

Datenmenge auf dem Fileserver beträgt so um die 2 TB wobei das noch wachsen kann.

Danke schonmal für die Antworten.

Also der Postifx ist nicht das Problem. Da kann ich auch die E-Mail Adressen aus dem AD exportieren und auf dem Postfix Server in eine MySQL DB importieren.

AD LDS hätte sich da nur angeboten, wie Nils auch schon gesagt hat, weil man die Attribute definieren kann, die exportiert werden sollen. Im Falle von Postifx also die E-Mail Adressen.

Den AD FS halte ich für etwas übertrieben. Und soweit ich das verstanden habe, ist der ja auch für externe Partner, Lieferanten,.. gedacht und auch nicht ohne weiteres für jede Webanwendung geeignet (Microsoft spricht hauptsächlich von SharePoint).

Und da es sich bei uns auch nicht um eine selbstentwickelte Anwendung handelt, kann man da auch den Code nicht anpassen.

Unsere internen User sollen sich in dieser Webanwendung authentifizieren können (mittels LDAP oder SSO). Das soll nicht nur von Intern sondern auch von extern möglich sein.

Also ist wohl mal wieder der Königsweg zwischen Nutzen und Sicherheit gefragt.

Hi,

für einen Spamfilter (Postfix in DMZ) brauche ich eine aktuelle userliste mit e-mail Adressen. Das wollte ich mit AD LDS realisieren.

Zum zweiten wollten wir eventuell einen Webservice in der DMZ installieren. Dieser bietet auch die Möglichkeit sich an LDAP zu authentifizieren. Nur sollen ja natürlich nicht die Passwörter in der DMZ liegen.

Kann man das über den AD LDS mit der LDAP Proxy Funktion machen oder kann man das anders machen oder sollte man das gar nicht machen?

OK, danke schonmal.

Technisch habe ich schon die Möglichkeit viele Dienste zu trennen, da wir mit VMware arbeiten.

Nur möchte ich nicht, dass das ausartet und für jeden Dienst eine virtuelle Maschine erstellt wird.

Daher wollte ich nur mal wissen, wo es Sinn macht die Dienste zu trennen.

Hi,

bin grade etwas am umstrukturieren der Serverlandschaft. Dabei wollte ich nun ein paar Server erneuern.

Welche Dienste kann ich auf einem Windows Server 2008 R2 gemeinsam laufen lassen?

Konkret geht es um diese Dienste: RDS, WSUS, Printserver, Fileserver, WDS, Blackberry Express Server, Kaspersky Verwaltungsserver.

Was davon sollte nicht gemeinsam laufen?