BlueIcE

Hi Leutz,

 

hab meinen 801er mal wieder aus dem Schrank gekramt und lustig los configuriert ;-)

 

Ziel ist es eine möglichst sichere Routerconfig zu erstellen.

Es soll nicht möglich sein den Router zu pingen bzw. auf interne PC´s zuzugreifen.

 

Als Provider setze ich mal zum testen Arcor Call by Call ein.

 

meine Config:

 

Current configuration : 2706 bytes

!

version 12.2

no service single-slot-reload-enable

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname IcE-Cisco-801

!

boot system flash c800-y6-mw.122-1.bin

logging rate-limit console 10 except errors

enable secret 5 xxxxxxxxxxxxxx

!

ip subnet-zero

no ip source-route

ip dhcp excluded-address 192.168.6.200

!

ip dhcp pool IcEpool

network 192.168.6.0 255.255.255.0

dns-server 145.253.2.11

default-router 192.168.6.200

!

ip name-server 145.253.2.11

no ip finger

no ip dhcp-client network-discovery

isdn switch-type basic-net3

isdn voice-call-failure 0

!

!

!

interface Ethernet0

description connected to Ethernet IcE

ip address 192.168.6.200 255.255.255.0

no ip redirects

no ip proxy-arp

ip nat inside

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

shutdown

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

ppp authentication pap callin

ppp multilink

!

interface Dialer1

description connected to Arcor

ip address negotiated

ip access-group 121 in

no ip proxy-arp

ip nat outside

encapsulation ppp

dialer pool 1

dialer remote-name Cisco1

dialer idle-timeout 360

dialer string 01920780 class DialClass

dialer hold-queue 10

dialer-group 1

compress mppc

no cdp enable

ppp authentication pap callin

ppp pap sent-username acror password 7 151B0518013825213C

!

ip nat inside source list 18 interface Dialer1 overload

ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

map-class dialer DialClass

access-list 18 permit 192.168.6.0 0.0.0.255

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit udp any any eq domain

access-list 121 permit tcp any any eq smtp

access-list 121 permit tcp any any eq pop3

access-list 121 permit tcp any any eq www

access-list 121 permit tcp any any eq 443

access-list 121 permit tcp any any eq ftp

access-list 121 permit icmp any any echo

access-list 121 permit udp any eq domain any

dialer-list 1 protocol ip permit

no cdp run

!

line con 0

exec-timeout 0 0

password 7 xxxx

logging synchronous

login

transport input none

stopbits 1

line vty 0 4

exec-timeout 0 0

password 7 xxxx

logging synchronous

login

!

no rcapi server

!

!

end

 

 

so Ihr seit gefragt....

Der router wählt an, hält 20 sec die Verbindung und geht wieder auf down.

ah... profilePath könnte mein freund sein, dennoch blicke ich in dem Script noch nicht so ganz durch!

So, ein zweiter Anlauf mit der richtigen Grundlage....

 

Noch mal kurz mein Problem...

Ich muss die Angeabe wo meine Terminal Server Profile abgelegt sind ändern... bei all meinen Usern!

 

Dies möchte ich mit einem Script machen.

Ein Recht gutes habe ich schon gefunden, ich weiss nur nicht welche Variable ich statt homeDirectory eintragen muss um den Pfad zum Terminal Server profil zu ändern.

Ach und bevor ich es vergesse, den Homepath muss ich auch ändern. (vom Terminal Server)

 

Volgendes Script ist anzupassen...

 

http://www.kaczenski.de/it-service/homepath.htm

 

Hoffe hier ist einer der das checkt!!! :D

Oops, ja klar das man User in Containern (OU´s) moven kann.

 

Ich hab schon weiter gedacht.

Sollte ich den \\servername umbenennen muss ich ja auch den Eintrag in der AD unter Terminal Services Profile bei Profile Path auch ändern.

 

Das kann doch nicht sein das man das überall per Hand machen muss?! Kann man da wenigstens \\servername\TSEProf\%username% eintragen? (2000er DC)

 

Mein anderes Prob ist, das ich ja meine Profilordner jetzt wieder mit Freigaben und Berechtigungen belegen muss.

Ich brauche also ein Script oder irgendwas, das mir die Userordner automatisch frei gibt und dem User ein Recht für seinen Ordner gibt.

 

Habe ich also ein Pfad \\servername\TSEProf\User\

sollte ..\User\ freigegeben und für "User" freigegeben werden.

Habe gehört das man die User e.v. auch irgendwie in der AD per drag & drop moven kann?

Also das alle auf einmal ein anderen Server eingetragen bekommen???

 

Wie?

okay, jetzt kenn ich mich aber dennoch nicht so gut aus, das ich damit ein Script schreiben könnte das die oben genannte Funktion hat.

hätte das Vielleicht in MS- Backoffice gehört?!

 

naja.. ich hab das hier mit der Suche gefunden:

http://www.mcseboard.de/showthread.php?s=&threadid=25395&highlight=freigabe+per+script

 

Aber ist die subincl.exe im 2003 ressource Kit??

 

Bitte helft mir!! Sonst sitz ich einen Tag nur da und klopfe Freigaben rein...

Sears!

 

Habe ein großes Problen!

Mein Server, der die Userprofile für meine Terminal Server und einen Speziellen Share der auf LW "C:\" verbunden wird, hat die Krätsche gemacht. (war W2k Server)

 

Die Profilverzeichnisse sind kein Problem, die kann ich einfach so vom Band wiederherstellen.

Nur... wie bekome ich meine Shares wieder auf die "Homefolder"?

Kann ich das per Script machen? So ala der Ordner heisst z.B. \user1 und das Script macht mir automatisch ein Share draus und gibt dem "user1" vollschub drauf!?

 

Big THX

 

IcE

Hammerfett!!! Big THX!!! :D

Sears,

 

hat von euch einer ne Ahnung wie ich es schaffe auf allen meinen Domänen Computern mein LOKALES Admin Passwort mal zu änder?!

Zum einen ist es schon recht ausgelutscht und zum andern hab ich keine lust zu "sneakern" und es zu ändern (300PC´s) ;-).

 

THX

 

IcE

?? was ist denn ICCM ??

genau sowas suche ich auch!

 

Kannst du mal einen Link posten?!

 

Gibt das einen "für Vorgesetzte" akzeptablen Ausdruck?!

 

THX

Sears,

 

hab gerade von einer netten Firma einen etoken von Aladdin zum testen bekommen.

 

Hab damit schon wer erfahrungen gemacht?!

Geht mit dem Ding noch mehr ausser Winlogon und Websignon?!

Wie kann ich das Teil mit Novell Client benutzen?!

 

Greetz

und als Packet über Software in AD verteilen lassen?!

netgear bridge...

 

zum Bleistift....

 

Greetz

schau mal unter Verwaltung - Terminaldienste nach.

Da sollte es eine RDP-TCP Verbindung geben in dessen Eigenschaften du die entsprechenden User zur Anmeldung freigeben solltest.

 

 

Greetz

gib mal in der cmd.line packetname.exe /? oder packetname.exe /help ein.

 

So sollte er alle Variablen ausspucken.

Ich meine hier könntest du fündig werden ;-).

Bei den Hotfixes ging das zimindest immer...

 

Greetz

...und wieder ein Stück weiter...

 

Unter CD:\\FILES\SETUP\

 

sieht die Setup.ini seeehr interressant aus!

Da kann man einen Product-Key eintragen unt die Transforms Datei eintragen!

 

Ich werde das mal genauer untersuchen....

 

 

Schade das ich hier ein Alleinunterhalter bin...

so, bin jetzt ... mal wieder auf die ORK Tools gestosen...

 

Dumm ist nur das ich hier zwar ein "MST" file mit meinen changes erstellen kann, allerdings fange ich damit nichts an in meiner AD.

 

Das müsste ich starten um meine mods zu aktivieren:

 

setup.exe TRANSFORMS=C:\office\meinfile.MST /qb-

 

...nicht so der Hit...

Sears,

 

ich würde gerne das Office 2003 über die AD verteilen.

Wie muss ich das angehen?

Ich kenne mich in der AD aus und habe auch schon mehrere Packete darüber verteilt.

Die Frage ist wie muss ich die Office Version bearbeiten, damit dich sie automatisch verteilen kann?

 

Wir haben einen Open- Vertag.... wie kann ich loggen wer sich das Packet gezogen hat???

 

Greetz

Ist aber end´s geil das Teil!

Das einarbeiten lohnt sich...

Fang vielleicht mal an das Netzwer nach Devices zu durchsuchen.

Schau dir dann mal an was du für die einzelnen Maschinen alles einstelleln kannst und mach ein kleines Layout.

 

Wenn du das hast schau dir mal die Alert Funktionen näher an.

 

So könnte ich jetzt noch ewig schreiben... aber probier lieber selber mal aus!

 

Greetz

Sears,

 

hab schon ein bisserl gesucht, aber nix gefunden...

 

Hat einer von euch nen Tip, wie ich meinen Domänen Usern eine "Sperrung der Arbeitsstation" nach X Minuten aufdrücken kann?

 

 

THX IcE

Das muss doch auch einfacher gehen???

Sears,

 

hab hier W2K Terminal Server mit Office 2K drauf.

Nun möchte ich Office so einstellen, das User1 nur Komponenten von Office 2K Standart bekommt und User2 alle Komponenten des Proffessionals.

 

Wie mache ich das am besten über die Active Directory?

 

THX & Greetz!

Sears,

 

folgendes Problem...

 

Ich hab eine AD die ich "primär" für meine Terminal Server verwende um den Usern möglichst wenig Möglichkeiten zu geben mein System zu beschädigen.

 

Jetzt würde ich meine User gerne auch mit den lokalen Computern in die Domain bringen, um z.B. das Einspielen von Software oder um Proxy Einstellungen zentral tätigen zu können.

 

Wie stelle ich das an?

Wenn ich Sie einfach so reinhänge haben sie so gut wie keine Rechte da die Gr.Ri. ja auf den Terminal Server ausgerichtet sind.

 

Und jedem User zwei Usernamen & PW geben hab ich auch nicht wirklich Bock. :suspect:

 

THX for Help!!!