perren

Regkeys gesetzt, Server neu gestartet, Client neu gestartet: Immer noch Passwortabfrage,

Danke Zahni, ich werde das testen. Stichworte? Falls es Gründe sind, die bspw. schwer absehbare technische- oder Berechtigungsfallen zur Folge haben, interessiert mich das. Soziale Dinge oder GMP/Revisionsbezogene Sachen jetzt weniger.

Danke, leider hilft es nicht. Nach 2 Minuten Wartezeit erscheint mir wieder das Anmeldefenster :( Ich habe mal die Erklärung zu der lokalen Richtlinie hier reinkopiert.

Mit Workgroups habe ich in der Beziehung keine Erfahrung... Deiner Anmerkung entnehme ich, dass Windows immer versucht, einen nicht eindeutigen Benutzernamen vorrangibg mit "ZIEL\Benutzername" zu ergänzen? (Mit Ziel=Workgroup oder Domainname). Danke...

?!? Ich meine, es ist mir unverständlich, dass jemand mit anderer SID, also ein völlig anderer Nutzer, aber gleichem Passwort, auf dieselbe Ressource zugreifen kann. So doof kann Windows aber eigentlich nicht sein ;) Meine Vermutung ist aber, dass ich in dem Moment, wo ich alles auf dem Share machen durfte, in Wirklichkeit nicht als der lokale Administrator, sondern als der Domänenadmin unterwegs war. Also Windows intern den Administrator auf contoso\administrator ergänzt hat. Alles Vermutungen.

Hallo, ich will erreichen, dass XP-Clients, die nicht Mitglied der Domäne sind, auf ein Share zugreifen können, ohne Benutzername und Passwort zu haben. Ich dachte, diese Spezialidentität "ANONYMOUS-ANMELDUNG" sei dafür das Mittel der Wahl. Also habe ich sowohl auf das Share als auch in der ACL dieses mit Lesen berechtigt. Trotzdem erscheint beim Client ein Passwortdialog beim Aufruf der Freigabe: Warum? Danke Michael EDIT: Es gibt dann noch die lokale Sicherheitsrichtlinie "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" auf dem Client, jedoch nützt es auch nichts. Nach gefühlten 2 Minuten Bedenkzeit (wo kommen bloß die verfluchten Netzwerktimeouts immer her) meldet sich wieder ein Anmeldefenster. EDIT2: Thema ist aus Versehen falsch gewählt. Es geht um W2K8R2

Ja! Ist meine Testumgebung, wo alle dasselbe Passwort haben... Aber die User haben doch andere SIDs, das wäre ja irgendwie der Hammer. Oder? EDIT: Auf jeden Fall löst Deine Frage das Problem, danke schon mal.

Hallo, wie kann das nur sein? Ich finde die Quelle einer Berechtigung nicht. Server01: W2K8R2 - c:\homes\ mit Userverzeichnissen darunter - c:\homes\ ist als "homes" freigegeben. Gleich zu den ACLs: Die Vererbung aus c:\ wurde gestoppt und nicht dort hineingenommen. Ab c:\homes\ habe ich jetzt zu Testzwecken nur noch Domänen-Administratoren berechtigt und dies hineinvererbt. Domänen-Admins haben nur "CN=Administrator,CN=Users,DC=contoso,DC=com" als Member. XP-Client: - Anmeldung als lokaler Administrator -definitiv! - \\server01\homes\ ->> der lokale Administrator kann da schalten und walten wie er will?! Er kann sogar alles löschen. - Der lokale Administrator ist Mitglied der lokalen Gruppe "Administratoren" - mehr nicht. Vielleicht kann mir jemand den richtigen Weg weisen :) Oder habe ich etwas nicht verstanden? Danke, Michael

Und die Benutzereigenschaft "Basisverzeichnis" beim Benutzerobjekt kann ich wiederum erst setzen, wenn das Verzeichnis angelegt ist :( - zumindest in der GUI. Wie es mit dsmod aussieht, weiß ich gerade nicht... Ich glaube, ich suche wieder Netware ;) Da ist es so, dass ich einen User anlege, darin den Weg zum übergeordneten Homeverzeichnis weise, und es legt dann einen Unterordner für den User an, samt korrekten Berechtigungen.

Wenn Du einen ganz genauen Blick auf Chrome wirfst wirst Du feststellen, dass das ein Browser ist :) meinjanur, Michael

Hallo Zahni, danke für die Antwort, Ich stelle mir gerade die Situation "100 Leute anlegen mit Basisverzeichnis" vor. Muss ich tatsächlich vor der Nutzererstellung: über ein Skript nicht nur alle Basisverzeichnisse anlegen, sondern diese auch individuell berechtigen? Klar.

Hallo, und vielen Dank für Deine Gegenfragen. Das Buch "Konfigurieren von Windows Server 2008 Active Directory - Original Microsoft Training für Examen 70-640, m. 2 CD-ROMs: Praktisches Selbststudium und Prüfungsvorbereitung [Gebundene Ausgabe]" verlangt das Setzen von Basisverzeichnissen in einer Übungsaufgabe. Stimmt, er kann es. Macht man ("man" im Sinne von best practice) bestimmt nicht so, oder? (Also 1000 User, 1000 Shares ;)) Ich war der Meinung, das Basisverzeichnis im Userobjekt bilde sich direkt auf %homepath% auf dem Client ab. Na ja, da gehts darum, dass dsadd nicht wie erwartet funktioniert. Um hier im 70-640-Buch weiterzukommen habe ich nun halt Hand angelegt. Ein "Homes"-Verzeichnis angelegt, freigegeben, die User-Verzeichnisse von Hand angelegt, diese berechtigt und dann das "Basisverzeichnis" in den Userobjekten gesetzt. Gerade der Punkt "Verzeichnisse von Hand anlegen und berechtigen" macht mich stutzig. Für mehrere Nutzer müsste man das ja dann skripten.

Hallo, 70-640 verlangt von mir, mittels GUI den Basisordner für 3 User zu befüllen. Basisordner, das ist doch der, wohin "%homedir% auf dem Client zeigt, richtig? "\\server01\%username%\documents". Da fehlt mir schon mal ein Freigabename. Nun, ich könnte ja c:\users\ auf dem Server als "users" freigeben und dann das Basisverzeichnis auf \\server01\users\%username%\documents zeigen lassen. Ich glaube aber, so ein Basisverzeichnis nimmt man nicht, um es auf etwas im Client- oder Serverseitigen %userprofile% zeigen zu lassen, sondern einen anderen Netzlaufwerk, oder? "Documents" aber muss doch auch erstmal existieren, bevor ich das als Basisverzeichnis beim User eintragen kann und jetzt frage ich mich natürlich, ob ich irgendwas grundsätzlich nicht ganz verstanden habe. Denn angenommen, ich wollte mittels Batch einen ganzen Haufen User mit diesem Attribut anlegen, müsste ich vorher ja die Basisverzeichnisse erstmal anlegen, richtig? Ich hoffe ich rede nicht zu wirr :) Ist das folgende Korrekt? - Basisverzeichnis = %homedir% - == das, wo halt Applikationen idR per Default hinschreiben - wg. Backup usw. wählt man Netzlaufwerk - in der Form \\server\share[\folder] - muss vor dem User anlegen da sein Danke! EDIT: Ich glaube, statt %homedir% meine ich %homepath%.

Danke für den Hinweis. DNS ist auch ein Thema, in das man sich gut einarbeiten sollte; ich werde mir mal das MS-Press-Buch zu 70-642 auch kaufen und es mit zu Rate ziehen. Ich kann mir dann ja immer noch überlegen, ob ich erst 640 oder 642 prüfen lassen will.

Kannst Du das begründen? Ich dachte, 70-640 sei relativ unabhängig davon...

4 Bänke gibts öfter, klar. Ich meinte es so: "hoffentlich wird es ... Speicherriegel mit 8 GB oder mehr geben". Also ein Modul mit 8 GB...

Was heißt "mit zweitem PC getestet"? Auch von außen? Oder hast Du da vom LAN aus angegriffen? Du musst schon Details vom Router hier angeben, NATed er korrekt zum Server? Was sagt evt. Telnet von innen und von außen? Ausserdem würde ich den Dienst nicht an das externe Interface hängen, sondern da openssl/ein VPN dazwischenpacken (nicht ganz trivial).

Danke Euch. Ein Faß aufzumachen ist hier nicht nötig. Es hätte ja sein können, dass es allgemein zugängliche und vielleicht leicht anonymisierte Listen bei MS gibt, deswegen meine Frage. Wenn es aber um Mitbewerber und sozusagen "Amtsanmaßung" ginge, wäre die Sache eine andere :D

So isses, ist nicht in meinem "Portfolio" ;)

Ach ja, adminpak, ich entsinne mich :) Danke, Yusuf.

Dass es anders geht, ist mir schon klar. In der Prüfungsvorbereitung habe ich aber sozusagen "akademisches Interesse", dass etwas funktioniert.

Hallo, ich habe gelegentlich mit jemandem zu tun, der von einer bekannten deutschen Firma, sagen wir mal "abgestellt" wurde, kurz vor der Rente. Er hat primär keine IT-Aufgaben, nervt mich aber immer mit irgendwelchem pseudoschlauen Quatsch. In seinen Ausdrucken ist immer ein MCSE-Logo, jedoch (und ich bin normalerweise nicht mißgünstig! Habe schon viele fähige Leute kennengelernt, weit weg vom Klischee "Turnschuhadmin") hat er meiner Meinung nach zumindest eine komische Vorstellung von den Dingen. Will für Trafficsteuerung und Contentfilterung Zonealarm auf Clients installieren (also wenn WWW filtern mache ich natürlich wenn überhaupt auf dem Squid); steht total auf ccleaner und so Tuning-Zeugs. Also das ist echt nicht mein Umgang. Vielleicht bin ich ja auch altmodisch, aber mein Ansatz ist immer "so nah an der Hardware wie möglich, so wenig komplex wie möglich, so viele Bordmittel wie möglich". Ob und was Zertifikate bedeuten, ist natürlich höchst unterschiedlich, soviel ist klar. Jetzt interessiert mich aber schon, ob sich nachvollziehen lässt, ob jemand tatsächlich Zertifikate bekommen hat. Lässt es sich nachvollziehen?-) Danke Micha

Ich bin beinahe schockiert, aber nicht verwundert... Liegts am Exchange-Server, dass die Mindestanforderungen so hoch sind? Ich habe ja eine Testumgebung mit Win2K8 R2 in einer VM; dieser kommt (zunächst mal) so mit einem GB RAM aus. Sehr ernüchternd, die Mindestanforderungen. Hoffentlich wirds in Zukunft noch Speicherriegel für Notebooks mit 8 oder mehr GBs geben (ich habe nur zwei Bänke) :)

Hallo, prinzipiell müsste es doch möglich sein, o.g. Befehle auf einem Client zu starten, wenn sie vorhanden wären. Man könnte bspw. ja auf die Idee kommen, Erzeugung von irgendwelchen Queries über das AD zu delegieren. Man will ja vielleicht nicht, dass jemand, der die Aufgabe bekommt, aber an einem Client sitzt, entsprechend einer Rechte Userobjekte einzeln in der mmc aufruft und von Hand aufschreibt ;) Was ist hier eigentlich best practise? Verlangen solche Vorhaben unbedingt eine interaktive/Remote-Desktop-Anmeldung auf dem Server? Auch einen Denkfehler meinerseits schließe ich nicht aus. Danke! Micha

Gerade beim Scripting ist das doch interessant. Man kann ja mit dsquery einen Haufen User finden und mit einer Pipe zum Beispiel in dsmod reinbringen. Stellt Euch vor, Ihr wolltet zum Beispiel für alle User einer OU die E-Mailadresse ändern und bräuchtet sowas wie $username$@neuemaildomain. Ja @Dunkelmann, bei %username% hätte ich auch gedacht, dass der User des aktuellen Kontextes genommen wird. Komischerweise aber nicht. Ich bin in einer Powershell und wie beschrieben steht als Ergebnis dann im Userobjekt in der GUI auch %username% so da drin.