Velius

Äh wie? :suspect: Ich glaube, du verwechselst da MÄCHTIG was. Nur weil du einen Account/Gruppe aus den 'Remotedesktopbenutzern' entfernst, wird nicht plötzlich eine GPO angewandt oder nicht, jedenfalls bei weitem nicht default. Vor allem, welchen Artikel sprichst du an? Zum Rest: Folder Redirections und Home Drive sind sowas von verschieden, das glaubst du gar nicht. Das eine benutzt GPOs, das andere nicht - wenn DER Admin noch im CONTAINER (das ist keine OU) Users ist, dann ist klar wieso da nicht klappt. Auf Containern können keine GPOs verlinkt werden - das würde auch das Problem mit dem loop-back erklären. Schieb den Admin doch ein eine neue OU (sollte man sowieso tun) und berichte.;) cheers Velius

Wenn das im AD hinterlegte Homedrive nicht gemapped werden kann sieht das auf dem Angemeldeten Rechner wie folgt aus: ------------- Ereignistyp: Fehler Ereignisquelle: MsGina Ereigniskategorie: Keine Ereigniskennung: 1010 Datum: Zeit: Benutzer: Nicht zutreffend Computer: Beschreibung: Failed to set the user's home directory (Drive P: connected to Share \\server\share). Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search. Daten: 0000: 2e 05 00 00 .... -------------

Du hast doch gesagt, du hast den loop-back Modus für diese GPO eingerichtet, oder? Bist du dir dessen eigentlich bewusst, was der bewirkt?:suspect: Verwende mal die Boardsuche sollten da Unklarheiten herrschen. EDIT: Ok, hab's jetzt... Keine Ahnung, aber da muss etwas im Eventlog stehen, zumindest zum Homedrive Mapping Problem. Etwas mit Event-Typ 'User32' oder so.... Wie gesagt, da muss(!) was im Eventlog stehen. P.S.: Das hat IMHO nix mit der Terminal-Server GPO und dem loop-back zu tun - ist eher reiner Zufall.

Das liegt am loop-back Modus - der zeiht auf alle User, egal in welcher OU. Deswegen gibt's diesen Modus ja auch. Du kannst aber in dieser GPO das 'Lesen' und 'Anwenden' für diese Gruppe 'Administratoren', egal wie sie auch heissen mag, entfernen. Bin nicht ganz sicher ob das mit dem loop-back, da auf Computereben angewandt, zum gewünschten Ergebnis führt. Einfach mal versuchen....

Das ist bei http soweiso der Fall, ausser es wird die Windows Integrierte Authenifizierung verwendet. Das Funkt aber auch nur solange wie der Rechner/Benutzer Domänen Mitglieder sind. Ausserdem funktioniert Kerberos über Proxies usw. nicht - da wird auf das schwächere NTLM zurück gegriffen. Tipp: Selberstelltes Zertifikat bauen oder eines kaufen & https einschalten!:wink2: Ist genau so: Das Passwort selbst ist weiterhin unverschlüsselt aber der Web-Verkehr wird über einen verschlüsselten Kanal (TLS=Transport Layer Security) übermittelt.

Als Filtermethode/Rulebase?:suspect: Keine mir bekannte.:wink2:

Hab nochmals (zum absolut sicher gehen - dass uns hier bloss Niemand den Server zerschiesst:D ) auf meinem SQL 2005 auf dem D:\ gekuckt und da sind ausser 'Administratoren' und 'System' nur noch 'Benutzer'(lokal) und 'Besitzer', alle durchs Band runter vererbt. Besitzer haben die üblichen 'speziellen' Berechtigungen und Benutzer 'Lesen/Ausführen'. Wenn der Server noch relativ neu ist müsste das auch so passen - ausser es wurde ordentlich Gebastelt vorher. Aber da wird dir dann ohne Backup auch nix mehr helfen.:wink2:

Sonst kann man auch auf einem anderen W2K3 D:\ Datenträger nachschauen - das einzige was am c:\ Datenträger etwas spezieller konfiguriert ist, sind die %program files%, %windir%, und die User Profilverzeichnisse.... Gibt's wie erwähnt aber alle nicht auf einem D:\ Drive.:wink2: BTW: System und Administratoren haben Vollzugriff auf dem Drive, das ist mal sicher - alles andere kann man meist knicken bei einem Server. (SQL 2005 müsste ich jetzt aber noch nachsehen).

Hi Kuck mal hier: How to restore the default NTFS permissions for Windows 2000 Das müsste auch für W2K3 klappen, kann aber sein, dass man eine andere Sicherheitsvorlage verwenden muss, kann aber jetzt nicht genau sagen welche. Einfach melden falls....:wink2: Gruss Velius

'Jet' ist eine Datenbank Engine von Microsoft. Viele 'interne' Dienste Wie DHCP, WINS, usw. arbeiten mit dieser Engine, auch der Exchange Server.... EDIT: Mehr infos gibt's hier zum Beispiel -> Microsoft Jet Engine - Wikipedia Gute Einstellung!:thumb1:

Es gibt Firewalls die DNS auflösen aber gefiltert wird generell nach IPs. Das Konzept würde sich auch völlig ändern mit SIcherheitsrelevanten Dingen wie Address Spoofing, denn der DNS Name bleibt meist gleich während die IP z.B. bei einem wie von dir erwähnten DHCP-Client von einem komplett anderen Subnetz kommen könnte... Allerdings bleibt es dir offen nach Subnetzen oder IP Ranges (z.B.: IP 1 - 20) zu filtern.

Ghost macht das nicht automatisch. Das dazu passende Tool von Symantec heisst Ghostwalker und muss man explizit ausführen lassen.

Was war eigentlich der Sinn hinter der NIC im LAN? Das Magament Interface für das Host OS?

Also es gibt Exploits, die das Einschleusen von Code über den Guest auf den Host ermöglichen, aber keinen 'permanenten Kanal', also über den Guest den Host vernsteuern geht nicht. Schon gar nicht mit generischem Code wenn der Host keine IP Bindung auf der NIC hat, die dem Internet zugewandt ist. So kann der Hacker zwar immer wieder Code auf dem System einschleusen, gewinnt aber nie die Kontrolle darüber. Am ehesten ist ein Crash des Host-Systems vorstellbar. Aber anyhow: Wenn du es beobachtest und regelmäsig die Updates einspielst wäre es vertetbar denke ich.

Das musst du selbst einschätzen, wie hoch das Risiko einzustuffen ist. Aber wie ist das denn im Detail konfiguriert auf der Debian - hat die NIC auf dem Host OS echt keine IP Bindung? Dann könnte es rein nur vom Host her nahezu unmöglich sein einzubrechen - wäre dann vergleichbar mit ner Insel in der Luft ohne Brücken.:wink2: Einzig ein Ausbrechen vom Guest auf den Host wäre dann vorstellbar - kenn aber auch keine Exploits die das direkt erlauben würden - also die Kontrolle des Hosts gewinnen über den Guest.

Versteh jetzt die Diskussion um VMware im speziellen nicht ganz - das Riskio ist realistisch betrachtet dasselbe wenn die Dinger phsysisch laufen. Im Gegenteil, für den Hacker ist es wohl einfacher nur ein System zu Kidnappen. Der Killer an dieser Konfiguration ist definitv die NIC ins LAN und die DMZ! Damit wird der Sinn der DMZ, und ich meine nichtmal dass jedes System da zwei NICs haben sollte, ausgehebelt. Grund: Wieso eine DMZ haben wenn es ein System gibt, welche beide Zonen ohne Filterung verschwimmen lässt? Das ist wie ein Schloss mit ner riesen Mauer aber ohne Burgtor.:wink2: Ein System mit jeweils mehreren NICs in verschiedenen Sicherheitszonen muss zwangsläufig immer einer Art Firewall sein!

@grizzly Kuck mal den Link an: Ich kann's nicht mehr 100% bestätigen aber eine NT 4.0 Domain nimmt das nicht so ernst wie ein AD.

Hi und Willkommen Hier gibt's ne Antwort zu: https://www.mcseboard.de/windows-forum-allgemein-28/zwei-gleiche-systeme-erstellen-60214.html#post353012 Gruss Velius

Hier hat's auch noch was: How to create a scheduled task with vbs?

Hier gäb's noch einige VBS Code-Schnipsel: 15 Seconds : Programming the Task Scheduler Damit kannst du mit VBS einen Scheduled Task erstellen. Sag mal, ob's dich weitergebracht hat. cheers Velius

Loginscript für den Computer (GPO) konfigurieren und einen 'AT' Begfehl absetzen.:wink2: Gruss Velius P.S.: Ok, da gibt's ein Problem mit der Leerlaufzeit..... Mal drüber grübeln.

Yupp:thumb1: :) Off-Topic: Ich würd mal an den Zitaten arbeiten, die wirken immer igendwie so halbfertig:D

@grizzly Ok, hätte man finden können - trotzdem wird nichts über Integrität oder Stärke erwähnt. Aber wir beginnen langsam sowas von Haare zu spalten.:rolleyes: :cool: Ich glaub das hat sich jetzt erledigt.;) :p

Hi Converter brauchst du nicht - nur ne Windows CD & HDD Controller Treiber & Rep. Installation.:wink2: Gruss Velius