TimS

Dann kommt ein Student, steckt einen USB-Stick mit portablem Webbrowser rein und umgeht den Proxy. Ich werde wirklich für diese Anwendung ein paar extra PCs aufstellen und gut ist.

Vielen Dank für Eure Anregungen! Um das ganze zu präzesieren: Computerraum einer Bibliothek an einer Universität. Die Benutzer melden sich an und werden über einen Radius-Server authentifiziert. Ein altertümliches Tool (pGina) übernimmt das. Kein Active Dircetory. Ich darf nur Mitglieder der Uni ins Internet lassen. Problem ist eine Software die nur als ein Benutzer pro PC ausgeführt werden darf. Habe lange mit dem Hersteller verhandelt. Es ist nur erlaubt einen lokalen Nutzer einzurichten pro PC und der darf dann die Software ausführen. Dieser Nutzer darf aber nicht ins Internet, da ich ja nicht weiß wer da vor dem PC sitzt. Daher möchte ich für den Benutzer, der diese Software ausführt einfach den Internetzugang sperren. Daher dachte ich wäre es am einfachsten für einen lokalen Benutzer am PC einfach den LAN-Adapter dauerhaft zu deaktivieren. Dann kann jeder der will sich vor den PC setzen und die Software nutzen kommt aber nicht ins Internet.

Hallo, ich bin immer noch an der Sache dran, das in unserem Computerraum alle Benutzer mit Account das Internet nutzen dürfen, ein bestimmter Benutzer aber nicht. Der Benutzer, der das Internet nicht nutzen darf hat an unserer Uni keine Benutzerkennung. Er darf aber - weil es eine öffentlich Bibliothek ist - trotzdem in den Computerraum und die PCs nutzen mit einem bestimmten Programm. Jetzt hat ein Kollege überlegt - nachdem alle Möglichkeiten mit Proxy und Firewall zu kompliziert scheinen - ein Dualbootsystem mit 2 Windows 10 einzurichten. Einmal mit Internet für die authentifizierten Benutzer und einmal ein Windows in dem das Netzwerk deaktiviert ist. Ich finde das aber zu aufwendig. Es sind Dell Optiplex 3070 und die werden über die Systemwiederherstellung von Dell installiert. Ich habe gar kein Win10 Image oder Datenträger. Ich dachte vielleicht kann man unter Win10 einfach einen Benutzer OHNE Passwort einrichten für den der LAN-Adapter aber deaktiviert ist. Geht das und wenn ja wie? Ich kriege das irgendwie nicht hin. Ich habe dem Benutzer Admin-Rechte gegeben und den Netzwerkadapter deaktiviert. Dann die Rechte wieder entzogen. Nach dem Neustart ist der LAN-Adapter aber wieder aktiviert. Hat jemand eine Idee?

Ist es möglich die Windows Defender Firewall für einzelne, lokale Benutzer einzurichten? Ich möchte einem Benutzer den kompletten Internetzugang verbieten. Alle anderen Benutzer dürfen ins Internet.

Super, danke für die Info! Weisst Du wie das geht alle Anfragen des Browsers *und* der Software an den Proxy (10.0.0.1:8080) zu senden?

Hallo, wir möchten in einem öffentlich zugänglichen Computerraum PCs für die Nutzung durch Studenten aufstellen. Die Software, die genutzt werden soll darf nur von einem einzigen, lokalen Benutzer ausgeführt werden. Daher müssen wir den Internetzugang auf diesen PCs für die Benutzer blockieren da wir keinem Nutzer erlauben dürfen das Internet zu nutzen der sich nicht vorher authentifiziert hat. Die Software muss aber zu einem Lizenzserver Kontakt aufnehmen und wir möchten den Studenten erlauben auf den Webmailer der Uni zuzugreifen um sich ggf. Dateien zu schicken die auf diesem Computer mit dem speziellen Programm erstellt wurden. An anderer Stelle haben wir sogenannte Recherche-PCs. Diese können mit einem Webbrowser nur auf bestimmte URLs zugreifen. Das wird über einen Proxy-Server geregelt. Ich suche jetzt eine Möglichkeit die Windows PCs dicht zu machen. Es gibt ja die Möglichkeit über die lokalen Gruppenrichtlinien einen Proxy vorzugeben und die Möglichkeit diese Einstellung zu ändern zu sperren. Was ist aber wenn sich ein Student per E-Mail z.B. die portable Version eines Webbrowser zuschickt und diesen dann herunterlädt? Kann ich irgendwie unter Windows 10 Firewall-Regeln festlegen, die für alle Benutzer gelten und die nicht geändert werden können. Diese Regeln sollten allen Internetverkehr sperren und alle Anfragen an http und https an den Proxy weiterleiten. Geht das? Danke für eure Hilfe!

Hallo, wir möchten die Software Accordance im Computerraum der Bibliothek so nutzen das sich jeder Student mit seinem Benutzeraccount anmeldet dann aber ein fertiges Standartprofil bekommt. Das mit dem Profil funktioniert. Beim ersten Start von Accordance muss man sich anmelden scheinbar auf dem Firmenserver. Im Profil, das ich als Vorlage verwenden klappt das auch. Testweise habe ich auch den Acrobat Reader installiert. Melde ich mich aber als Student an wird zwar das Standardprofil geladen die Software Accordance tut aber so als hätte sie alle Einstellungen vergessen. Ich muss alle Angaben wie beim ersten Programmstart inkl Anmeldung auf dem Firmenserver neu machen. Hat jemand eine Idee warum das so ist. Genauso verhält es sich mit Edge und Chrome. Im Standardprofil Stelle ich ein Startseite ein. Jeder Benutzer muss sich aber in Edge wieder durch diverse Fragen klicken. Einstezngen wie bestimmte Ordner auf dem Desktop oder das Bildschirmhintergrund Bild werden übernommen. Muss ich vielleicht Nandatory Profile beim Kopieren des Standartprofil anklicken? Vielen Dank für eure Hilfe!

Hallo, wir haben eine Kiste Notebooks bestellt und jeder Mitarbeiter bekommt eins. Wollte die Geräte ins frisch installierte AD aufnehmen. Datenschutzbeauftragter war gegen Azure oder Juristische Jumpcloud. Getestet habe ich es. Wenn die Erstanmeldung vor Ort im AD dann geht die Anmeldung auch im Homeoffice. Nach 14 Tagen ist das gedachte Passwort aber weg. Jetzt habe ich überlegt einen ganz billigen Router zu kaufen der einen VPN-Tunnel aufbaut. Dieser Router ist im Heimnetz der Mitarbeitenden. Könnte das klappen und was für einen Router könnte ich nehmen? Vielen Dank!

Wenn man das hier liest: https://digiphant.de/macht-ein-eigener-exchange-server-on-premises-noch-sinn/ scheint es bald keine Server mehr in den Firmen zu geben. Wahrscheinlich nur noch in Universitäten.

Danke für den Tipp! Ein Kollege schrieb mir gerade: vergiss das mit dem eigenen Exchange Server! Die meisten Firmen setzten wie Microsoft es wünscht auf Office 365. Es würde sich für einen zukünftigen Job nicht lohnen den Umgang mit einem Exchange Server zu lernen. Was meint Ihr?

Hallo, hat jemand eine einfache, kosten- und wartungsgünstige Idee für folgende Aufgabe: wir haben in unserer Bibliothek 10 Arbeitsplätze an denen nur eine Webseite mit einem Onlinejatalog aufgerufen werden soll. Dafür haben wir derzeit 10 PCs. Ginge das noch wie in den 70er Jahren mit dummen Terminals? Jetzt nicht so teure Terminal PCs sondern ein Server mit 10x Bildschirm, Tastatur und Maus?

Hallo, da wir keine Roaming-Profiles unter Win10 verwenden möchte ich fragen ob jemand eine Idee hat wie ich die lokal gespeicherten Profile von Chrome, Firefox, Thunderbird am besten sichere? Mit dem Dateiversionsverlauf finde ich keine Möglichkeit nur die Profilordner zu sichern. Oder würdet Ihr das über eine Ordnerweiterleitung machen? Danke für eure Hilfe!

Hallo, wir möchten neu installierte PCs direkt ganz schnell updaten und auf den neusten Stand bringen. Gibt es die Möglichkeit die Windows Updates irgendwo runterzuladen um ein Offline-Update zu machen? Kann man irgendwo - ohne WSUS - einstellen das die Updates nur beim Runterfahren des PCs gemacht werden? Danke für eure Hilfe!

Hallo, ich versuche auf einem Domain-Controller die Kennwortrichtlinie zu ändern. Es erscheint die Fehlermeldung die Datei GptTmpl wäre nicht vorhanden. Ist sie aber im Ordner \\domainname\sysvol\domainname\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit. Auch auf den beiden DCs \\dc1\... und \\dc2\... Hat jemand eine Idee wo ich den Fehler finden könnte? Vielen Dank!

Danke für eure ausführlichen Antworten! DNS ist die heilige Kuh unseres "Mr. DNS". Das Herzstück das alles am Leben hält. Wenn ich über IPAM was falsch Einträge: Pech für unsere Fakultät und Institute. Aber ich möchte nichts gegen die Kollegen sagen. Wenn ich freundlich und mehrfach Nachfrage wird mir immer geholfen. Ist halt eine Entscheidung aus den 70er wie ich verstehe. IBM Server AIX, Kerberos, AFS... dann irgendwann Linux Server und bei den Mitarbeitern im Rechenzentrum Apple Arbeitsplätze(???). Microsoft wird nicht unterstützt. Daraufhin hat sich die Verwaltung und die Kliniken jeweils eine eigene IT aufgebaut. Es geht weiter mit der Softwareverteilung: ich bastele da was mit OPSI und demnächst dem WSUS während die Uni und Landesbibliothek eine teure Software kauft ich mich aber nicht an die Lizenzen ranhängen darf. Umso mehr bin ich froh das wir jetzt unser eigenes AD aufbauen können. Hab mich gerade bei IT NRW für eine Schulung angemeldet :)

Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD.

Umso mehr freut es mich das ich das mit euren Hinweisen und Infos aus dem Netz doch hinbekommen habe. Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen

Vorweg: es funktioniert jetzt :) Problem war tatsächlich die Firewall. Ob DNS läuft lässt sich ja mit dcdiag testdns testen. Bei der Suche nach der Fehlermeldung mit dem RPC-Server bin ich dann auf diese Webseite gestossen: Firewall Ports Required to Join AD Domain - AventisTech habe das HRZ gebeten zu gucken ob in der Firewall irgendwas zwischen DC und Client geblockt wird. Die haben dann die Ports tcp 67, tcp 49674 udp 123 als geblockt gefunden und freigeschaltet. Jetzt kann ich Clients der Domain hinzufügen und mit Domain-Benutzern anmelden. Mir wurde gesagt dass das HRZ ja eben dafür da sei nichts zu delegieren. Jeder Dienst der delegiert wird kann für Störungen sorgen. Dann würde unser ganze Instituts-Netz ausfallen. So wie es jetzt ist können die Clients weiterarbeiten auch wenn die DCs mal komplett ausfallen. Die Clients bekommen ihre IP per DHCP vom HRZ und DNS auch. Anmelden können sich die Benutzer da die Passwörter angeblich gecacht werden. Hat sich ein Benutzer einmal angemeldet würde das Kennwort lokal hinterlegt.

Keine Chance - leider. Zu wenig Personal, kein Interesse, keine Notwendigkeit... Daher die Frage ob jemand eine Link kennt wo etwas über Active Directory und Fehlersuche zu finden ist und Active Diretory ohne DNS auf dem DC.

Das ist bestimmt sehr interessant! Bei uns ist es so das ein AD vom Rechenzentrum nicht unterstützt wird. Ich kann über ein Webinterface für die Subdomain unseres Instituts die Host und SRV Records eintragen und hoffen es klappt. Bin mittlerweile so weit das es wohl an der Firewall liegt. Die beiden DCs sind der Domain ohne Probleme beigetreten und replizieren sich. Beide sind in selben Subnetz (virtuelle Maschinen). Die Clients in einem anderen Netz

Guten Morgen! Vielen Dank für die ausführliche Antwort! Ich kriege das schon hin, koste es was es wolle :)

Dann muss ich das Projekt eben begraben. Wir haben keine Möglichkeit einen eigenen DNS-Server zu betreiben. DHCP macht auch das HRZ. Ich kann mir nur nicht vorstellen das der BIND von unserem HRZ nicht das kann was der Microsoft DNS macht. Fragt sich nur wie.

Das habe ich ja verstanden! Es geht bei uns an der Universität aber nicht. Und ich möchte trotzdem ein AD nutzen. Ich frage mich nur WARUM sich nicht herausfinden lässt WO der Fehler ist. Irgendwo müsste es doch eine Logdatei geben - wie unter Linux - wo genau drin steht was da schief läuft während der Client in die Domain aufgenommen wird??? Und wenn das nicht geht? Es wird doch sicher grosse Netze geben wo eben der DC nicht auch der DNS-Server ist.

Nein, die DCs sind ja gar keine DNS-Server. Ich verstehe das nicht. Wenn dcdiag KEINE Fehler meldet. Was soll diese Fehlermeldung mit dem RPC? Was ist Windows, Active Directory das man einen Fehler nicht finden kann. Verstehe ich nicht.

Hallo, ich habe jetzt mit verschiedenen Tests das Active Directory und den DNS-Server und die Replikation überprüft. Alles fehlerfrei. Es hatte auch scheinbar gar nichts mit dem ausgfallenen DC1 zu tun. Wenn ich einen Client in die Domain aufnehme und ich dann nach einem Neustart mit einem Domain-Benutzer anmelde erscheint folgende Fehlermeldung: https://ibb.co/fX1xYYd Der Client wird in die Domain aufgenommen: Willkommen dannach https://ibb.co/SrNsnxV Fehler beim Ändern des DNS-Namens... RPC-Server nicht verfügbar und bei der Anmeldung an den Client https://ibb.co/34PQnv7 Sicherheitsdatenbank auf dem Server enthält kein Computerkonto Hat jemand eine Idee an welcher Stelle ich den Fehler suchen könnte? Vielen Dank!