Gadget

Hi muss ich gerade mal selber testen... da bei meinem Test die Gruppe "Administratoren" Zugriff auf die Basisordner der Benutzer hatte. Liegt übrigens an folgender Einstellung: http://www.microsoft.com/germany/technet/datenbank/articles/600713.mspx#EGAA (unter oben genannten Link nach Umgeleitete Ordner suchen) Dem Benutzer exklusive Zugriffsrechte für Ordnername erteilen aktivieren oder deaktivieren. => Bei Aktivierung werden die Berechtigungen verändert, bei Einstellung Deaktivierung werden bestehende NTFS Berechtigungen belassen. Melde mich nach einem Test gleich nochmal. LG Gadget

Hi V-Mann, was sagt denn die Ereignisanzeige an den Clients? Evtl. Noch die synchrone Richtlinienverarbeitung erzwingen: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\System\Anmeldung\Beim Neustart immer auf das Netzwerk warten =>aktivieren Wenn das nichts hilft diese Whitepaper Schritt für Schritt durchgehen: Troubleshooting Group Policy in Microsoft® Windows® Server: http://www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2&displaylang=en Besonders die verschiedenen Logfiles auch mal anschauen. (steht alles im Whitepaper) LG Gadget

Hi haidinger, für sowas hat MS extra nen Fileserver-Migrationskitt bereitgestellt. Ist bequemer als Robocopy und erstellt auch noch Migrationsberichte => https://www.mcseboard.de/showthread.php?t=64154 LG Gadget

Hi Warrior, bitte :mad: du weist doch ich hab einen schlechten Kreislauf.... Das waren doch die gleichen Heinis die eine DC-Absicherung durch einen Memberserver empfohlen haben. Die Absicherung durch Images hat MS selbst in meiner letzten MOC-Schulung empfohlen! LG Gadget

Hey... Licht an ... ich hab doch Angst im dunkeln! LG Gadget

Hi deswegen empfiehlt es sich auch zusätzlich zu normalen File-Backuplösungen eine Image-Lösung einzusetzen. Also z.B. Mo-Do. Sicherung mit Veritas u. Freitags Sicherung mit Acronis True Image Server Ein Vollimage beschleunigt die Wiederherstellung aufjedenfall ungemein. - Kommt halt immer drauf an wieviel Downtime man haben darf. LG Gadget

So heute gibts mal wieder Neuigkeiten zum Exc SP2 im Developer Blog: die Neuigkeiten bezüglich den Antispamfunktionen hören sich wirklich interessant an! Exchange 2003 Server Service Pack 2 (SP2) Anti-Spam Framework: http://blogs.technet.com/exchange/archive/2005/07/18/407838.aspx LG Gadget

Hi, heute gibts mal wieder eine unerfreuliche Sicherwarnung: Neustart aus dem Netz dank Windows-Fernwartung: http://www.heise.de/security/news/meldung/61784 Durche eine Sicherheitslücke im Remote-Desktop-Protokoll kann ein Rechner dazu gebracht werden einen Neustart durchzuführen. Solange der Port aber auf Gatewayebene nicht freigegeben ist. Kann die Attacke auch nicht ausgeführt werden. Eine Umstellung auf VPN ist hier anzuraten. LG Gadget

Hi garyp, das Problem dabei ist, dass das uns alle sagen. Welcher Hacker würde auch fragen - hi darf ich dein Netz ausspähen sag mir mal wie das geht ;) Deswegen gibts hier keine Info´s dazu im Board und falls jemand dir, diese hier öffentlich gibt ... bekommt er einen auf den Deckel => BTW: Aber google ist dein Freund! LG Gadget

Hi Ihurano, wichtig! Dein vorgehen muss vorher mit der Personalvertretung abgestimmt werden. Sonst kanns mächtig Ärger geben. Erstmal musst du die Überwachung per Überwachungsrichtlinie (wird meistens in der Default Domain Policy gesetzt) aktivieren. Also folgende Schritte sind notwendig: 1. Überwachungsrichtlinie "Objektzugriffsversuche überwachen" aktivieren: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/50fdb7bc-7dae-4dcd-8591-382aeff2ea79.mspx 2. Überwachung in den Eigenschaften des Ordners aktivieren: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/d9fea7ea-61e5-43b1-98cd-b02a09f10156.mspx LG Gadget

Hi Urmel, du nimmst mir die Worte aus dem Mund .... über Dropmyrights wollte ich auch noch was schreiben. :D Dropmyrights dreht den Spieß um und versucht erhöhte Sicherheit durch verringerung der Rechte einzelner Anwendungen zu erzielen. Ein Ansatz der imho erhöhtem Sicherheitsbedürfnis nicht ganz gerecht wird. Es ist aber natürlich immer noch besser als mit Adminrechten zur surfen und zu mailen und könnte vielleicht eine Lösung für Anwendungen auf Servern sein, die auch mit Weniger rechten laufen. Meiner Meinung nach sollte man wirklich nur mit Adminrechten arbeiten wenn alle anderen Möglichkeiten ausgeschöpft sind. EDIT: Achja noch ein kleiner Hinweis auf eine Toolbar für den IE. Umso mehr man mit der Sekundären Anmeldung arbeitet umso öfter möchte man gerne wissen unter welchem Kontext eine geöffnete Anwendung gerade läuft. Aaron Margosis hat für den IE eine Toolbar geschrieben die, dieses Problem löst: Aaron Margosis' Weblog: PrivBar -- An IE/Explorer toolbar to show current privilege level LG Gadget

Hi Kerstel, hast du meine Lösungsansatz schon getestet? http://www.mcseboard.de/showpost.php?p=392486&postcount=9 die wahrscheinlichkeit, dass dadurch dein Problem gelöst wird ist sehr hoch. LG Gadget

Hi qmaestroq, doch stand schon hier => http://www.mcseboard.de/showthread.php?t=58548&page=2&pp=10 LG Gadget

Hi lacher, für professionelle Visio-Netzwerkdiagramme bleibt dir imho ein griff ins Geldsackerl nicht erspart... Die Demo hatte von Netzoom hatte ich schon mal im Test bietet wirklich alles was du brauchst=> http://www.visiostencils.com/products/index.php?mid=4 LG Gadget

Hi Necron, danke... Zwecks Bequemlichkeit... hm ...bequemer ist es eigentlich nur solange keine Malware im System rumgefuhrwerkt hat. Wenn was passiert und du dein System neu aufsetzen musst, ist die Arbeit mit einem LUA-Account (Least-Privileged User Account) bequemer und sicherer. Ich muss dir aber recht geben, dass bei 2k/XP/2k3 System die Integration und das Handling diesbezüglich noch nicht perfekt ist. In Longhorn wird sich die Arbeit mit einem LUA-Account aber höchstwahrscheinlich bedeutend einfacher gestalten und auch zum Standard werden. LUA in Longhorn (part 1): http://www.windowsitpro.com/Windows/Article/ArticleID/46906/46906.html LUA in Longhorn (part 2): http://emea.windowsitpro.com/Article/ArticleID/47022/47022.html Mehr zum Thema LUA (empfehlungen vom MS): Using a Least-Privileged User Account: http://www.microsoft.com/technet/security/secnews/articles/lpuseacc.mspx LG Gadget

Hi, stimmt nicht! Seit W2k3 SP1 gibts die Funktion auch in der Windows-Server-Welt. => http://www.mcseboard.de/showthread.php?threadid=60382 LG Gadget

Die GUI ist aber nicht immer die schnellste Methode Programme unter anderem Benutzerkontext ausführen. Der Befehl „runas“ ist öfters die schnellere Lösung da man seine Desktop-Verknüpfungen einfach so umschreiben kann, dass diese über „runas“ laufen. Syntax: Windows-Taste + R => runas /user:Computer/Domänenname \Administrator “cmd” Beispiel 1 (Lokaler Administrator): Windows-Taste + R => runas /user:workstation1\Administrator “cmd” Beispiel 2 (Domänen – Administrator von nwtraders): Windows-Taste + R => runas /user:nwtraders\Administrator “cmd” Interessant wird es aber erst wenn wir alle Administrativen Tätigkeiten darüber ausführen können, also auch die Domänenverwaltung. Wie man eine XP-Workstation grundsätzlich mit den nötigen MMC´s zur Domänenverwaltung ausstattet habe ich hier beschrieben: http://www.mcseboard.de/showthread.php?threadid=64276 Hier ein kurzer Überblick über Möglichkeiten mit runas: MSC-Konsolen: Active Directory Benutzer und Computer: runas /user:Domänenname\Administrator “mmc dsa.msc” Active Directory Standorte und Dienste: runas /user:Domänenname \Administrator “mmc dssite.msc” DNS Management: runas /user:Domänenname \Administrator “mmc dnsmgmt.msc” Eine kleine Liste der Standard-MSC´s gibt’s hier: http://www.ilopia.com/FAQ/Q50.aspx Systemsteuerungs-Anwendungen (CPL-Dateien) runas /user:Computername\Administrator "rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl" runas /user:Computername\Administrator "rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl" BTW: Diesen Artikel werde ich in den nächsten Tagen noch erweitern und auch noch alternative Möglichkeiten zu “runas” und “Ausführen als” zeigen. Weitere Informationen zur "Sekundären Anmeldung": http://support.microsoft.com/?kbid=225035 http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prdp_log_gvra.asp http://www.petri.co.il/run_control_panel_applets_as_another_user.htm http://www.petri.co.il/run_ad_tools_as_another_user.htm LG Gadget

Wie können wir nun unsere Administratortätigkeiten trotzdem durchführen? Durch Verwendung des sekundären Anmeldedienstes von 2k/XP/2k3 um einen Prozess unter anderem Benutzerkontext ausführen. Bevor wir den Dienst nutzen können muss dieser natürlich gestartet sein. Dies kontrollieren wir kurz über folgende Eingabe: Windows-Taste + R => services.msc Dort suchen wir nach dem Dienst „Sekundäre Anmeldung“ der sollte gestartet sein und der Starttyp sollte auf „Automatisch“ gesetzt sein. Wie können wir nun die Sekundäre Anmeldung verwenden? Zuerst bietet sich die GUI von 2k/XP/2k3 an. Sie bietet eine integrierte Funktion mit der man Prozesse unter anderem Benutzerkontext ausführen kann. Beispiel wir sind als Benutzer angemeldet und möchten die Kommandozeile als Administrator starten. Dazu öffnen wir das Startmenü klicken mit der rechten Maustaste auf die Kommandozeile und klicken im erscheinenden Kontextmenü auf „Ausführen als“ nun geben wir den Benutzernamen und das Passwort des Admins ein und dann auf OK. Mit welchem Benutzer die Kommandozeile jetzt läuft können wir auch im Taskmanager kontrollieren. http://www.kohnonline.de/images/runas-gui-01.JPG http://www.kohnonline.de/images/runas-gui-02.JPG Dazu bitte Windows-Taste + R => taskmgr http://www.kohnonline.de/images/runas-gui-03.JPG

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist – und wie man es besser macht! Jedem sollte klar sein das ein Windows System das mit einem Benutzer verwendet wird, der in der Gruppe der „Lokalen Administratoren“ (schlimmer noch „Domänenadmin“) ist, ein offenes Scheunentor darstellt. Viren, Trojaner, Spyware wird damit der Weg bereitet sich ungestört auszubreiten. Dieses komische verhalten würde ich mit einem offenen Haus vergleichen. Du kaufst dir die teuerste und beste Alarmanlage die es gibt. Lässt Gitterstäbe an die Fenster montieren und lässt ein Sicherheitsschloss einbauen… du musst schnell weg hast keine Zeit und bum du lässt die Türe offen stehen. Horrende ausgaben und es hat alles nichts genützt … dein Haus wurde ausgeraubt. Gerade wenn man Systemadministrator ist hat man eine hohe Verantwortung zu tragen und sollte seine Arbeitsumgebung entsprechend sicher gestalten um sich seine Firma und seine Mitarbeiter zu schützen. Es ist auch unverständlich wenn ständig über die Sicherheitsmängel von Windows gemeckert wird, aber die grundlegenden Sicherheitsregeln nicht eingehalten werden. In einer Unix/Linux-Umgebung würde niemals jemand auf die Idee kommen ständig als „root“ zu arbeiten. Wieso interessiert das keinen in der Windowswelt? Was kann passieren wenn ein Virus ein bekanntes Sicherheitsloch ausnützt: Um so weniger Rechte unser Benutzeraccount innehat umso weniger kann auch ein Schädling am System anrichten. Deswegen sollte klargestellt sein, dass wir nur Mitglied der Gruppe Benutzer sein sollten. Jetzt müssen wir uns aber überlegen was wir dann noch für Änderungsrechte am System haben. Grob gesagt wenig ziemlich wenig… aber so sollte es ja sein! Keine Softwareinstallation, Kontenverwaltung usw. Details siehe hier: http://www.grurili.de/Grundlagen/Wer_darf_was.htm

Zum Thema hier noch ne Anleitung: Microsoft.de/Technet: Leitfaden zum Durchsetzen der Richtlinien für sichere Kennwörter: http://www.microsoft.com/germany/technet/datenbank/articles/600541.mspx LG Gadget

Hi Parkesel, Momentan holst du die E-Mail anscheinend mittels Pop3 über das Tool (pop2Exchange) ab. Das Tool verbindet sich jetzt nun mit dem Pop3 Server und frägt pro eingerichtetes Postfach: Hallo Pop3 Server hast du E-Mail für mich. => http://www.sbspraxis.de/exchange/ex03005/ex03005.html Falls E-Mail vorhanden wird diese heruntergeladen und afaik in einem temporären Verzeichnis abgelegt. Wenn der download beendet ist sendet "Pop2Exchange" die E-Mail per SMTP an den internen Mailserver (deinen Exchange) Beim Versand wird direkt eine Verbindung zum SMTP aufgebaut und die E-Mail wird zum nächsten Server geschoben: http://www.sbspraxis.de/exchange/ex03003/ex03003.html Normalweiser wird der SMTP dem Exchange per SMTP Connector bekanntgegeben: http://www.sbspraxis.de/exchange/ex03009/ex03009.html LG Gadget

Hi Bavaria, schau mal hier: https://www.mcseboard.de/showthread.php?t=65327 LG Gadget

Hi Parkesel u. willkommen an Board, ich habe gerade versucht den Kern deiner Frage zu finden bin aber aufgrund mangelnder Übersichtlichkeit daran gescheitert. Was willst du konkret wissen. Vorweg ein paar hinweise: - Exchange kann man nicht über nacht lernen. - Exchange bedarf guter Vorbereitung bevor installiert werden sollte - Wenn man sich nicht mit Exchange auskennt sollte man sich lieber hilfe ins haus holen. BTW: Meine ersten Adressen wenn ich was zu Exchange suche: http://www.msexchange.org/ http://www.msexchangefaq.de/ http://blogs.technet.com/exchange/default.aspx http://hellomate.typepad.com/ LG Gadget

Hi Adnan1981, hast du denn die Festplatte schon gecheckt ob se nicht wirklich defekt is? Bei der Ultimate Boot CD sind eigentlich alle nötigen HD-Tests der verschiedenen Hersteller dabei: http://www.ultimatebootcd.com/ LG Gadget

Hi Mr.Toby, unbedingt die gleiche!.... Aus Kompatiblitätsgründen immer die beste Lösung. An der Ausfallwahrscheinlichkeit ändert sich bei identischen Platten auch nix... LG Gadget