mammon 10 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Hallo, ich bin auf der Suche nach 2 Einstellungen die per GPO zu erledigen sein soolten, finde da aber nix. Umgebung ist eine Schule mit einem SBS2011 und etwa 20 XP-Clients. Nach integrieren der XP-Rechner per „connect-Tool“ in die AD sind die zwar wunderbar integriert (wenn alles klappt) aber halt auch „völlig verbogen“: 1) U.a. wird die XP-Firewall aktiviert und die Konfiguration gesperrt und das leider auch für die lokalen Admins, das ist natürlich kontraproduktiv. Ich bekomme es zwar hin per GP die XP-Firewall ein- oder abzuschalten, die Eisntellungen bleiben jedoch gesperrt. Ich schaffe es nicht es einzustellen dass die FW eingeschaltet ist aber durch lokale Admins konfigurierbar bleibt. 2) Die AD-Anmeldung gelingt nur wenn der SBS (einziger Server) verfügbar ist, sobald die Verbindung weg ist (reboot usw.) hängen die XP-PC in der Anmeldeprozedur und können sich nicht anmelden (höchstens lokal aber das ich natürlich nicht gewünscht und wäre für die User zu kompliziert). Offenbar wurde das vorher vorhandene Caching für diese Funktion deaktiviert. Leider finde ich die korrespondierende Stelle in den Richtlinien nicht. Damit ist der PC quasi nicht benutzbar wenn der SBS nicht "da" ist, also noch nicht mal das lokal installierte Office. :( Ich habe per Boardsuche leider keine pasenden Aw gefunden und bin für helfende Infos/Links dankbar. btw: Vorher war ein W2K3-Server (kein SBS) vorhanden, da war das alles kein Thema und funktionierte tadellos. Greetz mammon Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Umgebung ist eine Schule mit einem SBS2011 und etwa 20 XP-Clients. Nach integrieren der XP-Rechner per „connect-Tool“ in die AD sind die zwar wunderbar integriert (wenn alles klappt) aber halt auch „völlig verbogen“: Die Clients mögen für dich verbogen sein, für den SBS2008 ist das normal. ;) 1) U.a. wird die XP-Firewall aktiviert und die Konfiguration gesperrt und das leider auch für die lokalen Admins, das ist natürlich kontraproduktiv. Weshalb soll ein lokaler Admin an der FW einstellen können? Genau dafür sind GPOs ja da, damit stellt man alles zentral ein. Ich bekomme es zwar hin per GP die XP-Firewall ein- oder abzuschalten, die Eisntellungen bleiben jedoch gesperrt. Ich schaffe es nicht es einzustellen dass die FW eingeschaltet ist aber durch lokale Admins konfigurierbar bleibt. Du sollst die FW nicht ein- oder ausschalten, sondern korrekt konfigurieren. Auch das geht natürlich via GPO. 2) Die AD-Anmeldung gelingt nur wenn der SBS (einziger Server) verfügbar ist, sobald die Verbindung weg ist (reboot usw.) hängen die XP-PC in der Anmeldeprozedur und können sich nicht anmelden (höchstens lokal aber das ich natürlich nicht gewünscht und wäre für die User zu kompliziert). Wer ist der DHCP-Server? Zeig doch mal ein ipconfig /all von einem Client. Wie oft mußt Du den SBS im laufenden Betrieb neu starten? Fehlermeldungen im Eventlog? Offenbar wurde das vorher vorhandene Caching für diese Funktion deaktiviert. Leider finde ich die korrespondierende Stelle in den Richtlinien nicht. Cached Credentials nennt sich das, was Du suchst. Und ich glaub nicht dass es jemand deaktiviert hat. Damit ist der PC quasi nicht benutzbar wenn der SBS nicht "da" ist, also noch nicht mal das lokal installierte Office. :( Das lokale Office darf davon überhaupt nicht betroffen sein. btw: Vorher war ein W2K3-Server (kein SBS) vorhanden, da war das alles kein Thema und funktionierte tadellos. SBS2008 != W2003. ;) Zitieren Link zu diesem Kommentar
mammon 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 Hi Sunny61, danke für die granularen Antworten... :) Weshalb soll ein lokaler Admin an der FW einstellen können? Genau dafür sind GPOs ja da, damit stellt man alles zentral ein. - Nun z.B. weil der lokale Admin ICH bin und hast DU dir noch nie "den Ast" abgeschnitten auf dem du sitzt? Ich sperre mich ungern selbst aus. - Wichtigster Grund: Weil die Schulleitung das so will! :cool: - reicht doch völlig als Grund ... Du sollst die FW nicht ein- oder ausschalten, sondern korrekt konfigurieren. Auch das geht natürlich via GPO. Jupp, das bekomm ich wohl auch hin. Die Frage ist doch nur wie stelle ich (eine GPO) ein dass der lokale Admin nicht ausgesperrt bleibt und die FW LOKAL am PC konfigurieren kann? Wer ist der DHCP-Server? Zeig doch mal ein ipconfig /all von einem Client. Wie oft mußt Du den SBS im laufenden Betrieb neu starten? Fehlermeldungen im Eventlog?...lokale Office darf davon überhaupt nicht betroffen sein. Shit, ich war die letzten Tage doch ganz klar zu lange vor der Blechdose, SORRY! Du hast natürlich völlig recht, es sind nicht die Credentials, es war nur der (dann nicht mehr vorhandene) DHCP der die ewige Wartezeit verursacht. Erklärung für andere Leser: Die XP-Clients hatten vorher feste IPs, zur Integration in die neue AD habe ich die auf DHCP umgestellt -auch weil das connecttool dann zuverlässiger läuft. Damit bekommen die Clients wenn der SBS offline ist natürlich keine IP/DNS/Gateway zugewiesen und suchen sich 'nen Wolf. SBS2008 != W2003 Es ist ein SBS2011 ... :wink2: Danke herzlichst (für den Denkanstoß zu Teil2) mammon Zitieren Link zu diesem Kommentar
NorbertFe 1.834 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 - Nun z.B. weil der lokale Admin ICH bin und hast DU dir noch nie "den Ast" abgeschnitten auf dem du sitzt? Ich sperre mich ungern selbst aus. Wenn du lokaler Admin bist, kannst du dir den Ast wohl nicht abschneiden, da dich lokal die Firewall ja nicht behindert. ;) Und wenn du remote was "abschneidest", kannst du es ja korrekt konfigurieren. - Wichtigster Grund: Weil die Schulleitung das so will! :cool: - reicht doch völlig als Grund ... In einer Schule? Eher nicht. Aber wenn du meinst. Jupp, das bekomm ich wohl auch hin. Die Frage ist doch nur wie stelle ich (eine GPO) ein dass der lokale Admin nicht ausgesperrt bleibt und die FW LOKAL am PC konfigurieren kann? Ist eine FIrewall was computerbezogenes oder was benutzerbezogenes? Diese Frage solltest du dir als erstes mal auf der Zunge zergehen lassen. ;) Und wenn du nicht weißt, was wo wie per GPO konfiguriert ist, dann schau dir die GPOs halt auf dem SBS an, oder starte am Client einfach mal ein rsop. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 - Nun z.B. weil der lokale Admin ICH bin und hast DU dir noch nie "den Ast" abgeschnitten auf dem du sitzt? Ich sperre mich ungern selbst aus. Mit dem Domain Admin kann ich das wieder grade biegen. Und notfalls per GPO, dann hab ich es auch Remote wieder hingekriegt. - Wichtigster Grund: Weil die Schulleitung das so will! :cool: - reicht doch völlig als Grund ... Mit gehts da wie Norbert, glaub ich nicht, die wissen nicht was Sache ist. Und weshalb sollte ein Schulleiter sich als lokaler Admin anmelden können? Es ist ein SBS2011 ... :wink2: Stimmt, hatte ich überlesen. ;) Danke herzlichst (für den Denkanstoß zu Teil2) Bitte, gern geschehen. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.