daabm

Client(usr+psw) <-> Radius<->AD(LDAP)<->Kerberos<->Service... Soweit versteh ich den Authentifitierungsschritt. Das ist nicht ganz richtig. Das hat nämlich zwei Varianten: Client(usr+psw) <-> AD(LDAP)<->Kerberos<->Service... (KEIN Zertifikat im Spiel) Client(usr+psw) <-> Zertifikat <-> Radius<->AD(LDAP)<->Kerberos<->Service... Unter technet.microsoft.com findest Du mit geeigneten Suchbegriffen etlichen Einführungen, Anleitungen etc.

Hi Andrew. Sorry - hab wohl einen Teil der Fragen einfach übersehen :( Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?) Besser Du erstellt für Sophos ein eigenes CA-Zertifikat. Und achtest dabei darauf, dass der Private Key exportierbar ist. Grundsätzlich hast Du recht - wer Zertifikate ausstellen (=mit seinem privaten Schlüssel verschlüsseln/signieren) will, braucht ein CA-Zertifikat und eben den privaten Key. Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten? Mit certutil, Befehl? Wenn das im Windows-Store ist: Versuche es zu exportieren. Auf der zweiten Assistentenseite kommt der private Schlüssel... Wenn Du hier nicht "Ja" anwählen kannst, dann ist er nicht exportierbar. Die Zertifikatsvorlage SubCA bringt Dich nur bedingt weiter - Du könntest die bearbeiten und den PK als exportierbar markieren, dann ein neues basierend auf dieser Vorlage ausstellen. PS: Ja, ich "glaube", daß ich gefestigte Kenntnisse habe :D Und die Grundlagen sind wichtig: http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

Ja, ist mir grundsätzlich bekannt. Nein, ich hatte nie Probleme damit (außer SChannel-Enventlogeinträgen, die nicht weiter stören)... Eine ">100"-Grenze ist mir allerdings neu.

Dir fehlen noch Grundlagen zum Public/Private Key Prinzip... Google, Bing und WIkipedia können helfen :cool:

Jedes Zertifikat hat einen privaten Schlüssel, sonst wäre es keines :-) Noch mal die Frage nach "ist der Schlüssel überhaupt exportierbar"... Und wie von Dukel schon geschrieben - ein Root-Zertifikat gibt man nicht inkl. Private Key raus. Niemals und an niemanden. @Dukel. Das Zertifikat selber MUSST Du ja herausgeben, damit es vertrauenswürdig werden kann :cool: Da steckt dann aber nur der Public Key drin, und der heißt so, weil er genau das ist: Öffentlich.

Aha - und in C:\Temp schreibt jeder nach Lust und Laune rein? Stichwort "Trennen von Benutzerdaten"... Das mit "set GWIP=%GWIP: =%" dient nur dazu, führende und folgende Leerzeichen zu entfernen - damit ist die IP wirklich nur noch die IP und kein Text mehr drum herum. Fürs Anpingen allerdings egal :cool:

Es gibt WLAN-Adapter, die stellen die WLAN-Verbindung erst her, wenn der Benutzer angemeldet ist, weil sie die Zugangsdaten im Benutzerprofil speichern. Dämlich, aber wahr. Intel 2200BG war da ein klassisches Beispiel. Da half nur ein Profil erstellen (mit so einem Tool von Intel)...

Dann erübrigen sich wohl weitere Erklärungen dazu :cool:

%temp% gibt es immer und ist immer schreibbar. Da mußt Du nix "reinbekommen". Mein Fehler, da fehlt "tokens"... for /f "tokens=1,* delims=:" %i in ('ipconfig ^| find /i "gateway"' ) do set GWIP=%j & set GWIP=%GWIP: =%

"Schreibzugriffe an Einzelbenutzerstandorte virtualisieren" :D

"Exportieren diese in Excel" ohne GUI?

rem Ordner anlegen cd.. cd.. Kennst Du "cd \"? cd temp ...oder gleich "cd \temp"? Noch besser: "pushd %temp%" - und am Ende dann "popd". rem speichert IPconfig-all Ausgabe in Textdatei Ipconfig -all >c:\temp\Networkinformation\Ipconfig_all.txt Warum Du hier den Pfad noch mal reinschreibst, in den Du oben schon gewechselt bist, weißt nur Du allein :-) echo. | date | find "Aktuell" >> c:\temp\Networkinformation\time.txt echo. | time | find "Aktuell" >> c:\temp\Networkinformation\time.txt Wie wär's stattdessen mit "echo %date% %time%>>xyz.txt"? for /f "tokens=12" %%i in ('ipconfig') do echo %%i for /f "tokens=12" %%i in ('ipconfig^|findstr "Standardgateway"') do echo %%i Warum gibst Du das erst mal auf dem Bildschirm noch aus statt einfach nur das Gateway zu suchen? for /f "tokens=12" %%i in ('ipconfig^|findstr "Standardgateway"') do set Gateway=%%i Wie schon geschrieben: Funktioniert garantiert nur auf einem deutschen System... Da es i.d.R. aber nur eine Zeile mit "gateway" gibt, wäre folgendes wohl die bessere Lösung - wenn es denn ein Batch sein muß: for /f "delims=:" %i in ('ipconfig ^| find /i "gateway"' ) do set GWIP=%j & set GWIP=%GWIP: =% Geht in deutsch und englisch und liefert in %GWIP% die gefundene IP-Adresse ohne Leerzeichen zurück. Für Batchverwendung dann bitte %%i und %%j statt %i und %j. Und wenn es immer deutsch ist und ggf. mehrere Interfaces mit Gateway gibt, dann halt doch "standardgateway" statt nur "gateway". Was willst Du mit dem ganzen Konstrukt eigentlich erreichen? Also "was ist die Aufgabe"?

Ok, dann würde ich ein Rechteproblem erst mal ausschließen, wenn Du den Haken "mit höchsten Priviliegen" gesetzt hast. Was will der Task denn ausführen? Ein Programm mit GUI? Dann hast Du gerade verloren - das geht nur, wenn der Benutzer auch angemeldet ist. Tasks, die in eigenen Sessions laufen, können kein GUI anzeigen. Was sagen eigentlich die üblichen Eventlogs? (System, Anwendung und Taskplaner)

Vereinfacht ausgedrückt: Ein "Segment" ist in der Tat Layer 2 - und wenn Du zwei Segmente verbinden willst, mußt Du entweder einen Switch dazwischenstecken (damit wird es zu einem Segment) oder einen Router, der Beinchen in beiden Segmenten hat (dazu brauchen die Segmente dann unterschiedliche IP-Netze) :cool:

...eine etwas genauere Beschreibung von "klappt" wäre für andere Leser möglicherweise hilfreich :cool:

Jungs, das hammer doch fast identisch schon hier diskutiert:: http://www.mcseboard.de/topic/200133-ip-adresse-in-batch-variable-%C3%BCbernehmen/ Wir sollten "Suche" mehr pushen... PS:: Laß das bleiben mit dem tokens=12, besser ist ein intelligentes delims...

Du willst in HKLM schreiben? Darf ein Benutzer nicht... Is' halt so :cry: Ein Tipp noch: reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM if %errorlevel%==1 (goto RUN) else (goto END) kannst Du ersetzen durch reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM || goto :Run goto :EOF Geht schneller...

@lefg, er lernt. Er arbeitet grad die Prüfungsbücher durch, und das ist das einzige mir bekannte Szenario, wo tatsächlich jemand noch diesen Konstrukten arbeitet :cry: "Weil es geht"...

Unter welchem Account läuft der nicht funktionierende Task?

dreswi, kennst Du schon das code-Tag? Und ansonsten: Deinem "Skript" (es ist kein Skript, es ist "nur" ein Batch ) mangelt es vollständig an Logging... Wenn Du das als Batch lassen willst, dann beschäftige Dich mal mit >> und 2>&1 und dem "trivialen" echo %date% %time%>>Logdatei.txt Ansonsten erinnern mich die Kommentare darin stark an eine Vorlage von irgendwo (gruppenrichtlinien.de?), die ich in menen Trainings gerne als Beispiel für schlechte Anmeldeskripts verwendet habe. Nix für ungut... Noch ein paar praktische Hinweise: Die ganzen REM-Zeilen ohne Inhalt können raus. Jede Zeile verursacht Laufzeitverlängerungen, die bei CMDs erheblich sind, wenn sie über langsamen Verbindungen ausgeführt werden. Du rufst con2prt (und anderes) immer von einem UNC-Pfad auf. Extrem suboptimal... %logonserver% kann ggf. auch mal auf einen "ungünstigen" Server zeigen. DFSN wäre die zeitgemäße Alternative. Statt goto :Ende kannst Du jederzeit und überall goto :EOF verwenden, dann brauchst Du erstens kein Label mehr und zweitens muß das Batch-Processing nicht mehr nach dem Label suchen. Sorry, ich weiß, daß das jetzt für Dich hart klingt, aber das Skript ist in meinen Augen schlecht geschrieben und hat in dieser Form heutzutage keine Daseinsberechtigung mehr... Entweder VBS/PS1 oder intensiv mit den Möglchkeiten von Batch beschäftigen, die es durchaus gibt.

...doch, es spuckt eine Hilfe aus :cool: BTW: Anmeldeskripts bei Benutzern mit Adminstrator-Zugehörigkeit laufen mit dem elevated Token, also tatsächlich als Admin. Ist auch immer wieder ein lustiger "Nicht-Fehler", wenn der Admin per Anmeldeskript Netzlaufwerke verbinden will und von EnableLinkedConnections noch nichts gehört hat. Aber das gehört jetzt nicht hierher, wir bewegen uns momentan noch auf einer anderen Ebene.

Na, wenn ich ein Class B hätte, dann würde ich nicht mehr arbeiten :D :D :D

Ich wiederhol mich ja gerne... Hat schon mal jemand das Security Eventlog dieses Servers analysiert? Geht völlig schmerzfrei im laufenden Betrieb.

Nemix, das geht eh nicht. Stichwort "Forest Root Domain"... Neu machen - ggf. mit Trust - kann eine Möglichkeit sein, aber dann muß der TO (oder sein "direkter Kollege") auch bereit sein, alte Zöpfe abzuschneiden. Und nach den bisherigen Äußerungen hier habe ich daran extreme Zweifel. Und dann bleibt nur "Schaufel nehmen und ausmisten" :D

...und wenn es "Enterprise" werden soll, gibt es Lösungen wie CyberArk.