Red Sector

Gib mal http://mcseboard.de/ ein oder http://microsoft.com/. Das funktioniert alles. Du kannst eine Domäne auch mit ihrem Namen erreichen. Normalerweise hat jede Zone einen auf sich selbst verweisenden A Eintrag. Bei Windows wird das aber meines Wissens nur bei der ersten Zone gemacht. Der Eintrag kann über die grafische DNS-Konsole NICHT hinzugefügt werden. Ist er also nicht vorhanden, dann bleibt Dir nichts anderes übrig, als die Zonendatei manuell zu bearbeiten (AD-Zonen erst auf Primär schalten). Öffne die entsprechende Zonendatei und füge folgenden Eintrag unter den "Zone records" hinzu: @ 600 A 192.168.0.1 @ steht für "Dieser Eintrag" 600 ist die TTL A = Adresse IP für die IP-Adresse, die Du diesem Eintrag zukommen lassen willst. Und schon kannst Du eine Zone Pingen... RS

Die Fehlermeldung bedeutet, dass Du von einem PC aus mit zwei unterschiedlichen Benutzernamen auf einen anderen PC zugreifen willst. NT kann das nicht. Du musst Dich gleich als Admin mit dem Zielrechner verbinden, ohne vorher den Umweg über ein anderes Konto zu machen. RS

Du machst es, genauso, wie Du es gemacht hast. Die DP wird auf die neue OU vererbt. GPOs auf diese OU werden zusätzlich zur DP angewendet, im Zweifelsfall hat aber die OU-GPO Vorrang. Einige User sollen andere Einstellungen bekommen, also legst Du eine untergeordnete OU an. Hier kannst Du nun wieder eine GPO drauflegen, die dann wieder zusätzlich zu den vererbten GPOs (DP + OU-GPO) gültig wird. Auch die neue GPO hat bei Konflikteinstellungen Vorrang vor den Vererbten Einstellungen. RS

1. Zwangsläufig JA. 2. Nein. Du kannst in den Sicheheitseinstellungen unter Erweitert - Anzeigen/Bearbeiten die betroffenen Objekte festlegen, aber nicht ab welcher Ebene geerbt werden soll. Das ist auch kein Problem, da Du ja jederzeit auf den untergeordneten Verzeichnissen die Rechte neu festlegen kannst. Wenn eine Berechtigung nur für die nächste Unterordner Ebene vererbt werden soll musst Du auf dieser Ebene die Rechte vergeben und darunter wieder blockieren. RS

Die Frage ist erstmal: Hat Dein ISP eine eigene GAMEKNOT.COM Zone, oder hat er eine GAMEKNOT Zone unterhalb von COM? Beides ist Möglich. Im ersten Fall wäre das folgendermaßen: Dein ISP hat keine "COM" Zone eingerichtet, sondern eine GAMEKNOT.COM Zone. Weiterleitungen an den echten COM Server sind hier durchaus möglich! Dein Fehler bei diesem Experiment war, dass Du gleich die komplette DE Zone für Dich reseviert hast... ;) Für den zweiten Fall bräuchte Dein ISP nur eine ganz normale GAMEKNOT Zone, die beim übergeordneten COM DNS registriert wird. RS

Hi Leon2k, also ich würde die Gruppe "Domänen-Benutzer" bei allen Workstations in die Lokale Gruppe der Administratoren aufnehmen. RS

Hallo dongel, wenn Dein DNS über eine DE Domäne verfügt wird er mit Sicherheit keine Weiterleitungen mehr für diese Domäne machen. Alle DNS Server gehen von einem einmaligen Namensraum aus, d. h. dass eine Domäne nur einmal pro Namensraum vorkommen kann. Hat ein Server die Autorität über eine Domäne, so kann es also nach seiner Logik diese Domäne nicht noch einmal geben. Eine Weiterleitung wäre deshalb Sinnlos. Wenn Du Deinen DNS zur Weiterleitung konfigurieren willst musst Du eine nicht xistierende Toplevel Domain verwenden, z. B. "local" oder "home" anstatt "de" oder "com". RS

@klausk: Das sollte eigentlich nicht notwendig sein, da die beiden PCs die Route schon kennen, sie haben ja eine direkte Verbindung zum 10er Netz. Du musst nur dafür sorgen, dass die 10er Route die bevorzute Route zwischen den beiden PCs ist. Dazu musst Du der 10er Adresse eine bessere Metric geben als der 192er Adresse. z.B.: route delete 192.168.0.0 (um die 192er Route zu löschen) dann route -p add 192.168.0.0 mask 255.255.255.0 192.168.0.X metric 2 (fügt die Route wieder hinzu, aber mit einer schlechteren Metric). Das ganze auf beiden Rechnern machen und das "X" dann noch durch die jeweilige Rechneradresse austauschen. Die beiden PCs sollten jetzt immer die bessere Route wählen wenn sie die Wahl haben. Da die 10er Adresse immer noch eine Metric von 1 hat, ist im Zweifelsfall diese Route die bessere. RS

Du hast das ziemlich Lehrbuchmäßig gelöst! Alle anderen Lösungen wären zweitklassig. Gehen würde u. a. folgendes: - Der OU DomainUsers die Spezialpolicy zuweisen. - In den Rechten Der Gruppenrichtlinie (nicht der OU!) nimmst Du der Gruppe "Authentifizierte Benutzer" das Recht "Gruppenrichtlinie übernehmen" weg und fügst es Deinem SpezialUser hinzu. Fertig. Die neue Gruppenrichtlinie wird jetzt für diesen Benutzer gefiltert. RS PS: Dann sind wir ja gerade gar nicht so weit auseinander :D

Nein. Deinem Gerät ist das egal. Das schlimmste, was passieren kann ist, dass die Daten auf der Memory-Card beschädigt werden. Das kann aber nur bei Schreibvorgängen auf das Gerät vorkommen, wenn sich noch Daten im Windows-Cache befinden die noch nicht auf das Gerät geschrieben wurden (also wenige Sekunden nach einem Schreibvorgang). Solange Du nur Daten ausliest kann nichts passieren. Die Hardware wird in keinem Fall beschädigt. RS

Windows verschiebt Ordner rekursiv, d. h. dass erst der Inhalt eines Ordners verschoben wird, bevor der eigentliche Ordner drankommt. Befindet sich in einem Ordner ein weiterer Ordner, dann wird erst dessen Inhalt verschoben usw. Dein Hauptordner wird also als letztes verschoben. Das Problem lässt sich nicht lösen, solange der Inhalt eines Ordners gelöscht werden kann. RS

Ein paar Lautsprecher in jeden Raum und das ganze zentral über eine Anlage steuern wäre doch einfacher, oder? RS

Genau das sind Gruppenrichtlinien. Du musst GPEDIT.MSC ausführen, dann kannst Du unter Benutzerkonfiguration - Administrative Vorlagen - System den Punkt "Nur zugelassene Windows-Anwendungen ausführen" aktivieren. Das gilt dann aber für alle Benutzer! Benutzerabhängig geht das nur in einer Domäne. Die Alternative wäre eine Regelung über NTFS. Nimm dem Benutzer, der ein Programm nicht ausführen darf, die Rechte auf das entsprechende Programmverzeichnis. RS

Und hier noch einige praktische Erfahrungen meinerseits mit Auslagerungsdateien: 1. Feste Größe einstellen. Anfangs- und Endgröße sollten fest sein. Das hängt weniger mit der Fragmentierung zusammen, die beim Erweitern der Datei zwangläufig entsteht, sondern damit, dass erst einmal neuer Speicherplatz für die Ad auf der Festplatte zugewiesen werden muss. Das sind einige zusätzliche Kopfbewegungen auf der Platte. Wenn der Speicher nicht mehr gebraucht wird muss diese Zuweisung wieder rückgängig gemacht werden. Das wird blockweise gemacht und kostet viel Zeit. Diese Aktionen entfallen bei einer festen Größe. 2. Verschieben auf eine andere Festplatte. Im Gegensatz zu dem was im MS Dokument steht sollte man die Ad nicht einfach auf eine andere Partition, sondern auf eine andere Platte verschieben. Durch das Verschieben auf eine andere Partition derselben Platte wird das genaue Gegenteil erreicht: Es wird langsamer. Das kann man sich auch leicht vorstellen, wenn man sich die Festplattengeometrie einer partitionierten Festplatte vor Augen hält. Anstatt Auslagerung und Datenzugriffe auf einer Partition erledigen zu können muss der Schreib-Lesekopf nun ständig zwischen den Partitionen hin und her springen. Bei einer zweiten Festplatte kann die Ad parallel zu den Daten genutzt werden. Den Rest hat Haraldino recht gut erklärt. 3 Weniger ist mehr. Die Empfehlung von 1,5 x RAM ist für mich nicht Nachvollziehbar und praktisch auch nicht haltbar. Warum soll ich bei 1 GB RAM noch eine Ad mit 1,5 GB haben? Warum muss eine Workstation mit 4 GB RAM eine 6 GB Ad haben? Das macht keinen Sinn. Im Gegenteil: Je mehr RAM desto weniger Auslagerungsdatei braucht man. Die Größe der Ad sollte sich daran orientieren, was man tatsächlich beim Arbeiten braucht und nicht an seltsamen Formeln. Wenn man genug Speicher hat schaltet man die Auslagerung (ab XP) am besten ganz ab. 4. Speicherabbild. Wenn die Ad kleiner als das eingebaute RAM ist oder wenn sie auf einer anderen Platte/Partition liegt kann keine Memory.dmp Datei geschrieben werden. Hört sich nach einem Nachteil an, ist aber eigentlich ein Vorteil, weil sowiso kaum jemand diese Datei auswertet und sie belegt nur Platz auf der Platte. Um es mal kurz zusammenzufassen: Das besagte MS-Optimierungsdokument steht in genauem Gegensatz zu meinen praktischen Erfahrungen. In meinen Augen ist es absolut wertlos! Gruß RS

Fangen wir mal vorne an: Um welches Betriebssystem handelt es sich? Hast Du Ahnung von NTFS-Rechten? Kennst Du Gruppenrichtlinien? RS

Sieht nach einem Problem mit Deinem RRAS aus. Hast Du ihn mal deaktiviert und dann neu aktiviert? RS

Hallo webbies, so wie Du das hier Beschreibst handelt es sich wahrscheinlich um einen Arbeitsgruppen-PC. - Lege ein neues Benutzerkonto an - Sorge dafür, dass sich Dein Dad mit diesem Konto anmeldet - Setze auf C: die NTFS-Berechtigung für Jeder auf Lesen und nimm die Administratoren mit Vollzugriff rein. - Den Rest kann man über lokale Gruppenrichtlinien anpassen Bei den Berechtigungen kannst Du natürlich so vorgehen, wie Du es für richtig hälst (nur nichts Verweigern!). Gruß RS

@günterf: Man lässt seine Glaskugel nicht vom Tisch fallen, die kann dabei kaputt gehen! Ich helfe mal mit meiner Kugel aus: *MagischeBeschwörungsgestenmach...* *AngestrengtInDieKugelGuck...* Ich sehe ein Ereignisprotokoll... auf einem Domänencontroller... er ist der PDC Emulator... ist das richtig? RS

Was hast Du angebaut (wachsen die Nummern irgendwo :) )? Was willst Du wissen? Ich verstehe Deine Frage nicht ganz... RS

@banshi: Wohl wahr. Bei einigen Dingen schon. Ich glaube man nennt das "Ansichtssache". Es gibt aber auch Probleme, deren Lösung nicht Ansichtssache ist. Das hier scheint mir ein solches zu sein. Kein Sicherheitsexperte würde ausgerechnet die Workstations doppelt verkabeln und sich davon zusätzliche Sicheheit versprechen. Wo soll die auch herkommen? Das hier sieht nach dem Werk eines Marketingexperten aus - und der wollte Netzwerkequipment verkaufen. RS

Nein, Du hast Recht. APIPA Adressen sind laut RFC 3330 offiziell private Adressen. Ich hatte noch die alte RFC 1918 im Kopf, da war diese Adresse noch nicht dabei. Danke für den Hinweis. :) RS

:D Netwerktechnisch gesehen macht das für mich überhaupt keinen Sinn (vor allem, dass alle WKs zwei Karten haben) und von der Verwaltung her ist eine Arbeitsgruppe ja wohl auch nicht der Inbegriff von Sicherheit. Ich schätze da war ein echter Spezialist am Werk. RS

Weil die meisten anderen unterschiedlich Netzadressen auf den Karten liegen haben? RS

Du brauchst NAT WEIL Du private Adressen benutzt. Du kommst zwar damit raus weil ja die Zieladresse eine öffentliche Adresse ist, aber Dein Ziel kann nicht antworten weil die Antwort an eine Privatadresse gehen würde und die werden im Internet blockiert. RS PS: 169.254.x.x ist keine Privatadresse!

Du musst hier zwischen Quell- und Zielport unterscheiden. Der Zielport ist derjenige, zu dem Du HIN willst - also Port 80, 25, 110 etc. Natürlich sind diese Ports bei Dir zu, schließlich hast Du keinen Web- und Mailserver laufen. Dein Browser verbindet sich mit einem zufälligen Quellport (ab 1024 aufwärts) zu Port 80 an einem Webserver. RS