Gadget

Danke und tschüss .... wirst bestimmt viele Freunde finden mit diesem Umgang. :mad: Manieren ? Tja auf meine Hilfe brauchst du nicht mehr hoffen. Kohn

@Buzzer ist jetzt schon reichlich OT hier... also bitte nix verwässern :rolleyes: @Millibit Gehts jetzt um nen internen Verteiler oder um ne externen? Welche/r Mailclient bzw. welche Outlook Version wird eingesetzt? LG Gadget

Ahso, du redest von deiner eigenen internen Maildomäne... dachte zuerst an ne Externe ... kann aber leider zu Exchange 5.5 nur wenig sagen was hast habt ihr denn für ne Clientversion? LG Gadget

Hi id_gamer, so gehts => http://www.docoutlook.de/outlook/ol2000/ol2000.htm#73 funktioniert in olk 2k, XP u. 2k3 LG Gadget

Hi was meinst du mit 3000+ Ne Mailadresse kann so nicht zugeordnet werden da die Zustellung nur bis zum zugeteilen Mailserver aufgelöst werden kann (MX Eintrag) und der Alias (in deinem Fall: info) dann nur Intern verteilt wird. http://www.dnsreport.com/tools/mail.ch?domain=Info%40banana.com http://www.dnsstuff.com/tools/lookup.ch?name=banana.com&type=MX LG Gadget

Hi einfach mal wuauclt /detectnow am Client laufen lassen. Wenn das nichts hilf => Diagnose fahren: https://www.mcseboard.de/showpost.php?p=376625&postcount=23 LG Gadget

Hi ShadowByte, mein Vorredner meinte wohl die Lokale Richtlinie => Windows-Taste + R => gpedit.msc BTW: Hier gibts ne Exceltabelle mit allen Gruppenrichtlinieneinträgen die du per ADM´s machen kannst. (Die Registry Einträge stehen auch dabei) http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7821C32F-DA15-438D-8E48-45915CD2BC14 LG Gadget

Hi Setze die Einstellung auf "Deaktiviert" Mehr dazu => http://www.gruppenrichtlinien.de/Grundlagen/Vererbungen_Hierarchien.htm LG Gadget EDIT: Achja und sowas macht man normalerweise nicht in der Default Domain Policy... => Eigene GPO dafür erstellen.

Hi alternative wäre auch das Internet Explorer Administration Kit => http://www.microsoft.com/technet/prodtechnol/ie/ieak/default.mspx halte ich für komfortabler. LG Gadget

Hi, funktioniert über zwei Möglichkeiten. 1. Application Security von Desktopstandard http://nonadmin.editme.com/PolicyMakerApplicationSecurity http://www.desktopstandard.com/PolicyMakerApplicationSecurity.aspx 2. Microsoft Elevated Privileges Application Launcher http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx wobei ich nur Nummer 1 getestet hab. Mehr zum Thema: https://www.mcseboard.de/showthread.php?t=66853 LG Gadget

Hi Oder der Richtlinienergebnissatz per "rsop.msc" Windows-Taste + R => rsop.msc (rsop = resultant set of policies) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/BookofSP1/a940a24d-34c2-471c-89e5-d9f1500374c9.mspx LG Gadget

Hi Hercules, ich führe die CPL´s per Tastatureingabe aus... hab mir deswegen noch keine gedanken darüber gemacht. Hab aber gerade nen Test gemacht und konnte die Systemsteuerung über foldenen Befehl starten: runas /user:domainname\username "control" Scheint aber erst seit XP zu funktionieren. LG Gadget

Hi, mit dem Tool cipher kann man vorzüglich freien Plattenplatz überschreiben lassen und so gelöschte Daten endgültig vernichten. Da ja bekanntermaßen, eine in Windows gelöschte Datei (Papierkorb leeren) nicht endgültig gelöscht ist. Laufwerkbuchstabe reicht auch aus z.B. so: Links zum Thema: http://www.windowsecurity.com/articles/Using-cipherexe.html http://www.harper.no/valery/PermaLink,guid,d696cabe-a8e7-4b23-a2dc-6119e4465844.aspx LG Gadget

Hi Thanquol, im Technet Scriptcenter gibts viele schöne dinge :D http://www.microsoft.com/technet/scriptcenter/findit.mspx und auch das was du suchst: http://www.microsoft.com/technet/scriptcenter/scripts/logs/eventlog/lgevvb01.mspx LG Gadget

Hi arnd, ich weis jetzt nicht welches Virtual CD du meinst... MS hat doch selbst ne Freeware veröffentlicht: MS Virtual CD http://bink.nu/?ArticleID=899 und der ISORecorder http://isorecorder.alexfeinman.com/isorecorder.htm für die Bereitstellung von Virtuellen CD´s LG Gadget

Hi dmetzger Danke guter Tipp .... obwohl ich eher der Typ von Admin bin der den Mediaplayer per "Software Restriction Policies" blocken würde. Die sollen arbeiten und nich Video gucken oder per Interradio mir die Bandbreite für meine Patchdownloads klauen ;) LG Gadget

..........................

Hi Voosjey, zuerst mal hängt sowas natürlich vom Geld ab und dann muss man sich über die Möglichkeiten im klaren wie kann ich sowas bewerkstelligen kann und welche Verfügbarkeitsrate gewünscht ist (Availability Environment Classification = AEC) http://de.wikipedia.org/wiki/Hochverf%C3%BCgbarkeit Da die ganze geschichte aber nicht so einfach ist solltest du falls du sowas wirklich implementieren willst einen guten Consultant beauftragen um dir ein Konzept erstellen zu lassen. 1. Möglichkeit MS Cluster: http://www.microsoft.com/germany/technet/datenbank/articles/600103.mspx http://www.microsoft.com/germany/technet/datenbank/articles/600241.mspx http://www.msexchange.org/tutorials/Implementing-Two-Node-Cluster-Windows-2003-Enterprise.html 2. Möglichkeit Drittherstellerprodukt Beispiel (wurde im IT-Administrator 12/04 gut bewertet): http://www.prosoft.de/produkte/hochverfuegbarkeit/neverfailforexchange/ http://www.it-administrator.de/suche/index.php?we_objectID=13352&pid=0 3. Möglichkeit Hardwarecluster (wobei ich da mal ein gutes Produkt von meinem Systemhaus empfohlen bekam, aber den Link nicht mehr zur Hand hab, die System waren für unsere Umgebung auch ein bisserl zu Teuer) LG Gadget

Wie kann ich Programmverknüpfungen einrichten die standardmäßig unter anderem Benutzerkontext laufen: 1. Eigenschaften der Verknüpfung aufrufen: http://www.kohnonline.de/images/runas-gui-04.jpg 2. Erweiterte Eigenschaften der Verknüpfung aufrufen u. bei "unter anderen Anmeldeinformationen ausführen" einen Haken setzen: http://www.kohnonline.de/images/runas-gui-05.jpg Wie kann ich den Explorer per runas aufrufen? Wenn man den Befehl: runas /user:computername\Benutzername "explorer.exe" so aufruft wird man ein langes Gesicht machen weil nichts passiert. Also welche Alternativen bieten sich uns: 1. Den Internet Explorer zu Dateiverwaltung verwenden (Verwendung von Privbar von Aaron Margosis würde ich empfehlen) 2. Als Administrator (oder den Benutzer den man angeben will bei Verwendung von Runas) anmelden u. Explorer starten / Extras / Ordneroptionen / Ansicht / Ordnerfenster in eigenem Prozess starten anhaken Nun kann man sich wieder mit seinem LUA Benutzer anmelden und die Verwendung des Explorers mittels runas sollte funktionieren. (Es kann öfters mal vorkommen, dass man die Ansicht aktualisieren muss, da der Explorer nicht ursprünglich dafür entwickelt wurde per Runas gestartet zu werden.) LG Gadget

Hi Roidanton, um nur die installierten Programme zu "moven" kenne ich kein Tool... ist auch ein bisserl schwierig mit den ganzen Registryeinträgen die mitgenommen werden müssten, da sonst die meisten Programme nicht laufen würden. Was sich aber seit Jahren bewährt hat ist eine 1 zu 1 kopie des PC´s zu erstellen sogenannte Images. Man kann ein einmal erstelltes Image auf beliebig viele PC´s übertragen. Sollte aber bei Computern in einem Netzwerk nicht vergessen die SID zu ändern z.B. mti Ghostwalker oder Newsid von http://www.sysinternals.com Ein Problem bei der Imaging-Technik bleibt aber immer bestehen bei Computern mit völlig verschiedener Hardware funktioniert die Imageing-Technik imho nicht. Ich gehe daher dazu über alle Applikationen per Gruppenrichtlinie zu verteilen (MSI-Pakete) und die Workstation per RIS zu installieren. Somit kann der Aufwand beim Desktopdeployment auch bei einer heterogenen Netzwerkumgebung minimiert werden. Software mit der ich arbeite und zufrieden bin: - Symantec Ghost Multicast Edition 8 - True Image Server 8 für Home-PC´s reicht aber die Homeversion von TrueImage aus: http://www.acronis.de/homecomputing/products/trueimage/ LG Gadget

Hi gerade deswegen bin ich ja auch für täglich - weil sich Objekte im AD verändern oder ablaufen. LG Gadget

Hi Reiner, natürlich gibts verschiedene Erfahrungen aber nur um deine Strategie zu verstehen was machst du denn wenn ein Computeraccount-Objekt aus versehen im AD gelöscht wurde, spielst du dann dein Image zurück? LG Gadget

Wieso hat sich die Nutzung von LUA (Least-privileged User Accounts) immer noch nicht durchgesetzt? Das liegt wohl daran, dass viele Programmierer immer noch nicht das Konzept hinter Microsofts Multiusersystem verstanden haben. Die Registry ist in Computereinstellungen (Hive Key Local Machine) und Benutzereinstellungen getrennt (Hive Key Current User) getrennt. Viele Programme wollen aber immer noch Benutzereinstellungen unter HKLM schreiben oder den Programmstatus unter %programfiles% statt unter %appdata% abspeichern, was dem Sicherheitskonzept von MS völlig widerspricht. Eine Auflistung verschiedener Anwendungen (sind natürlich nicht alle) die nicht korrekt mit einem LUA laufen hat unter anderem Susan Bradley (SBS MVP) erstellt: http://www.threatcode.com/ einen KB Artikel dazu gibt’s auch: http://support.microsoft.com/default.aspx?scid=kb;en-us;307091 Um eine gesicherte Umgebung aufzubauen sollte man versuchen die Benutzung solcher Software zu minimieren oder auf das Drittherstellerprodukt von Desktopstandard „Application Security“ zurückgreifen, welches übrigens bei der Verwaltung per Lokaler Richtlinie kostenlos ist. Mit Application Security kann man per Gruppenrichtlinie einer Anwendung Berechtigungen zuweisen, d.h. man weist ihr die Berechtigung zu die sie benötigt. http://nonadmin.editme.com/PolicyMakerApplicationSecurity Wie kann ich Software installieren während ich einen LUA benutze? Normalerweise würde die Verwendung von Runas kein Problem, darstellen doch leider kommt es häufig wie oben beschrieben vor das Programme unter HKLM u. HKCU schreiben wollen. Wenn wir jetzt aber ein Programm per Runas als Administrator installieren so können die Einträge nicht im richtigen Benutzerprofil gemacht werden und der Start schlägt evtl. fehl. Also was bleibt uns übrig unser LUA muss kurzzeitig Administratorrechte erhalten. Wenn wir das per GUI machen hat dies erst eine Auswirkung nach An/Abmeldung was die praktische Arbeit zu Tortur machen würde. Doch Gott sei Dank hat Aaron Margosis ein kleines Batch-Skript veröffentlich welches dieses lästige Problem umgeht: Makemeadmin.cmd http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx Makemeadmin.cmd öffnet eine Kommandozeile unter dem aktuell angemeldeten Benutzer unter Administratorrechten. Was bringt uns das: Alle Prozesse die aus der Kommandozeile gestartet werden haben Zugriff auf HKLM u. HKCU. Wir können also daraus wunderbar Anwendungen installieren die solche Rechte benötigen. (Auch MSI-Pakete funktionieren einwandfrei) Ist die Verwendung eines Benutzers mit Hauptbenutzerrechten nicht Sicher genug? Nein auf keinen Fall! Ein Hauptbenutzer besitzt soviel Rechte das er sich bzw. eine Malware sich erhöhte Rechte (Adminberechtigungen) beschafft und so das System kompromittiert. MS hat dazu einen KB veröffentlicht: KB825069: A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP http://support.microsoft.com/default.aspx?scid=kb;en-us;825069 Wo bekomme ich noch mehr Info zur Arbeit mit einem LUA? In Zukunft werde ich alle Ressourcen die ich zum Thema LUA finde hier abpseichern: http://www.furl.net/members/kohn/lua RSS gibts auch: http://www.furl.net/members/Gadget/rss.xml?topic=lua und wer sich für das Thema Security interessiert sollte sich unbedingt auch Aaron´s Technet Webcast von der TechED 2005 reinziehen: TechNet Webcast: Tips and Tricks to Running Windows with Least Privilege (Level 300) LG Gadget

Hi matangi, Benutzergruppenrichtlinien greifen auch direkt am Server das hat nichts mit der Berechtigung zu tun. Die Anmeldung am Server ist aber nicht jedem Benutzer erlaubt. Wer sich anmelden kann wird über folgende Richtlinie gesteuert: Default Domain Controllers Policy Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten / Lokal anmelden zulassen und wenn du nun willst das sich alle User in deiner Testdomäne auf dem 2k3 Server anmelden können musst nur die Gruppe "Domänenbenutzer" hinzfügen. BTW: Ich würde dir empfehlen in deiner virtuellen Testumgebung auch noch Clients mit aufzunehmen sonst lässt sichs einfach nicht richtig testen. LG Gadget

Hi Lucky, grundlegendes gibts hier: http://de.wikipedia.org/wiki/Domain_Name_System#DynDNS folgendes ist zu klären um Remote auf deinen Server zuzugreifen: Hast du einen Router der Dynamisches DNS unterstütz? Welche Anwendungen sollen Remote zur Verfügung stehen? Wenn das geklärt ist solltest du den bzw. die Assistenten des SBS dazu nutzen die Anwendungen "Remote freizugeben." Serververwaltungskonsole / Aufgabenliste / Punkt 3 RAS konfigurieren. Danach müssen am Router die Ports also z.B. für PPTP VPN 1723 => http://de.wikipedia.org/wiki/PPTP "geforwarded" also umgeleitet werden auf die IP-Adresse des SBS => http://de.wikipedia.org/wiki/Port_Forwarding BTW: Ich rate dir VPN zu verwenden und keine Anwendungen wie den Remotedekstop direkt frei zugeben, außer vielleicht Outlook Web Access per SSL. Stöber dich auch mal bisserl durch meine Links da findest du auch einiges zum Thema: http://www.mcseboard.de/showthread.php?t=52537 LG Gadget