Daim

Servus, so: Yusuf`s Directory - Blog - Profile (lokal/servergespeichert) ;)

Buenos dias, imho sollte das SYSVOL nicht für die Profile missbraucht werden. Das SYSVOL steht für "System Volume" und dort haben die Benutzerprofile nichts verloren. Wenn die Profile repliziert werden sollen, dann käme evtl. DFS in Frage.

Servus, da gibt es einige Möglichkeiten. DSGET, CSVDE, LDIFDE, NET GROUP, Skripts ... Schau mal hier: Yusuf`s Directory - Blog - Active Directory - Abfrage

Das hattest du so bisher aber nicht geschrieben. Das Eingabegebietsschema sollte sich mit dem ADM-Nr. 22 abstellen lassen. Du musst das deutsche Tastatur-Layout auswählen, danach sollte es verschwunden sein. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Aber lies dir meinen vorhin geposteten Link zu ADM-Dateien durch. Es gibt nicht für jedes deiner Wünsche eine ADM. Diese kannst du dir aber auch weitestgehend selber erstellen. Dazu musst du aber (und da trennt sich die Spreu vom Weizen) die richtigen Registry-Einstellungen herausfinden ;). Was die Details-Ansicht betrifft, kannst du folgendermaßen vorgehen: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Du solltest als allgemeine Empfehlung ohnehin diese beiden Richtlinien konfigurieren: Yusuf`s Directory - Blog - Asynchrones Startverhalten beim Windows XP

Weil Profis die GPOs von ihrer XP-Workstation verwalten ;). Mir kommt es so vor, als ob du nicht weißt was du willst. Hast du die Einstell-Möglichkeiten bzgl. IE angeschaut in den Pfaden, die ich bereits genannt habe? Du fängst gerade mit GPOs an und willst direkt zu den ADMs :shock: Was ADMs betrifft, beachte diese Seite. Vorallem das Fett-rot gedruckte: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Servus, hast du denn die Gruppenrichtlinien-Verwaltungskonsole "GPMC" auf einem XP-Client installiert ? Falls nicht, solltest du es spätestens jetzt nachholen, denn damit lässt es sich einfacher mit den GPOs arbeiten. Downloaddetails: Gruppenrichtlinien-Verwaltungskonsole mit SP1 Du kannst mit den GPOs vieles anstellen, auch vieles verkonfigurieren. Deshalb solltest du im Umgang mit den GPOs immer dessen bewußt sein was du tust und ganz besonders, aufschreiben was du konfigurierst. Was genau möchtest du denn im IE oder sonstwo einstellen ? Schau mal unter: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer oder Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer

Servus, um mit ADMT zu arbeiten/migrieren, sind die beiden Vorraussetzungen: - Namensauflösung (DNS/WINS) - Vertrauensstellung Erst danach kann man mit ADMT migrieren. Die SID-History bekommst du z.B. mit Jose angezeigt: Neue Updates für Werding und José - faq-o-matic.net Du kannst natürlich auch mit jedem LDAP-Programm oder per ADSI das Attribut SID-HISTORY abfragen. SID-History

Servus, zusätzlich zu der Info von Dr.Melzer: Du solltest nie ein Tool oder Hotfix bzw. Patch aus einem Forum/Newsgroup anfordern. Wer sagt dir denn, dass es auch wirklich das ist, was es zu sein scheint? Daher installiere nur die Hotfixe/Patches/SPs/Tools die man von den Microsoft-Seiten herunterladen kann.

Natürlich kannst du das! Der Befehl teilt den neuen Speicherort dem Cache des Clients mit.

Servus, wenn der Server auf dem die Offline Dateien aktiviert sind, durch neue Hardware ersetzt wird, müssen die Dateien auf die neue Maschine verschoben und die Offline-Funktionalität aktiviert werden. Als nächsten Schritt, muss dem Client bzw. seinem Cache der neue Server mitgeteilt werden. Dazu wird das „Client-Side Caching Command-Line“ - Tool aus dem Windows Server 2003 Ressource Kit benötigt. Der Befehl dazu lautet: CSCCMD /MOVESHARE:\\Alter-Server\Freigabe \\Neuer-Server\Freigabe Yusuf`s Directory - Blog - Offline Dateien Features and functions in version 1.1 of the Client-Side Caching Command-Line Options command-line tool

Moin, die Ziel-Domäne muss sich für die SID-History im Domänenfunktionsmodus "Windows 2000 pur" oder "Windows Server 2003" befinden.

Das ist dein gutes Recht :) . Das sieht nicht nur so aus... Ja, du hast doch nicht unrecht. Wenn man solch einen Schritt - alleine - mit den hier gegebenen Infos durchzieht, stimmt sowieso einiges nicht. Ich hätte die Info einfach nicht rausgegeben, denn ein "verwirrter" wird danach - imho - noch mehr verwirrt ;). Aber das geht doch schon in Ordnung. Lieber zu viele Infos, als zu wenige.

Aloha, das würde jetzt zu weit gehen. Der Cheffe weiß bestimmt nicht (von was er selbst spricht), dass was du hier schreibst (was richtig ist). Das würde hier höchstens für noch mehr Verwirrung führen ;-). So sieht es aus!

Boahh... ein Hesse ;). Nein. Ich meine: eine völlig andere/getrennte Gesamtstruktur für die Entwickler. Also z.B. lautet die Domäne für die Produktion "Firma.de" und die Domäne für die Entwickler "Entwickler.de". Sie haben erstmal nichts miteinander zu tun. Wenn sich dann aber beide Forests im Gesamtstrukturfunktionsmodus "Windows Server 2003" befinden, kann man eine Gesamtstrukturvertrauensstellung schaffen. Siehe: Yusuf`s Directory - Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen Wenn es geht, wie oben erwähnt, komplett trennen und lediglich eine Vertrauensstellung schaffen. Wenn das aber nicht gewünscht ist, dann eben eine untergeordnete Domäne mit den geringsten Rechten an die Entwickler. Das ist nicht weiter tragisch. Erschwert dann aber eine gute Hilfestellung zu geben, wenn das Ziel nicht klar definiert ist.

Buenos dias, immer diese Politiker, machen nichts nur als Ärger ;). Eine eigene Gesamtstruktur für die Entwickler ist wohl nicht gewünscht? Ich würde das auf alle Fälle favorisieren! Komplett getrennt von der produktiven Umgebung. Ich denke an das Szenario, dass ein wild gewordener Entwickler, der zufällig auch noch Organisations-Admin Rechte hat und auf den "Knopf" drückt. Garnicht auszudenken was alles passieren könnte. Natürlich müssen die Entwickler ihre entwickelten Produkte, in der produktiven Umgebung testen. Ich würde aber bevorzugen, den Entwicklern eine eigene Testumgebung zu erstellen und zwar basierend auf der produktiven Umgebung. Somit können sie keinen Schaden in der Produktiven Umgebung erstellen. Mit dem Tool UMove - Move or copy Active Directory for backup or recovery kann man ein/eine Clone/Kopie der produktiven Umgebung erstellen. Wenn sie doch ein Teil der produktiven Umgebung sein sollen, lässt sich dieses ebenfalls realisieren. Es kommt auf die Anforderung an und daran, dass die Entwickler nicht mit zu vielen Rechten in der Domäne arbeiten. Was versteht er genau darunter? Meint er die Option "Domänenstruktur in einer bestehenden Gesamtstruktur"? Wenn er das meint, kann ich es sogar (etwas) nachvollziehen. Er möchte eben nicht, dass die Entwickler/IT nicht in der produktiven Struktur enthalten sind. Aber dann würde ich es anders aufziehen wie bereits oben erwähnt. Wenn es hier lediglich um die Entwickler geht, dann sollte man sich überlegen ob man diese nicht komplett ausgliedert (sofern dies die Ansprüche erlauben würden). Dem stimme ich 100%ig zu. Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte. Dadurch entstehen hohe Hardware- sowie Lizenzkosten. Jeder DC muss physikalisch geschützt sein. Jede Domäne muss gesichert werden (Backup). Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Mir mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (das Verhalten ändert sich in Windows Server 2008). Wie wäre es mit VLANs... Klar, man kann das ganze anders aufziehen. Ich würde es - wenn möglich - komplett trennen. Fakt ist, wegen den Entwicklern ein neues/anderes Design oder gar, den Entwicklern eine eigene Domäne hinzustellen, halte ich für maßlos übertrieben!

Leider nicht so ohne weiteres. Entweder so, oder einen geplanten Task der die shutdown.exe ausführt (mit entsprechend benötigten Rechten). Die Gefahr des Datenverlustes ist natürlich bei beiden varianten gegeben.

Servus, der Benutzer wird nicht automatisch am Client abgemeldet. Es werden höchstens (mit eingestellter GPO) die bestehenden SMB-Verbindungen gekappt. Siehe: Yusuf`s Directory - Blog - Anmeldezeiten Die GPO die von jose erwähnt wurde, bewirkt genau das von mir beschriebene Verhalten. Es erfolgt KEINE Zwangs-Abmeldung!

Ja, dass solltest du. Warum nicht bzw. gibt es dafür einen besonderen Grund, dass Ihr mit Zonen-Dateien arbeitet? Die Speicherung der DNS-Informationen im AD, ist aus Sicherheitsgründen immer zu bevorzugen. Gerade auch wegen der "Nur sicheren" DNS-Updates der Clients. Am Samstag "sollte" ich einen sechser im Lotto haben ;). Bitte verifizieren! GC = Global Catalog = globaler Katalog. Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) OK.

FULL ACK ;)

Aloha, das stimmt... aber man kann die standortübergreifende Änderungsbenachrichtigung einstellen. Der Nachteil: Ein höheres Replikationsaufkommen über Standortgrenzen hinweg. Siehe: Yusuf`s Directory - Blog - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren

Aloha, also erstmal etwas zu der Netzwerkumgebung, die hier garnicht relevant ist. Die Netzwerkumgebung basiert auf NetBIOS - Namensauflösungen und fällt unter den Begriff des "Browsing". Diese baut sich über den Computersuchdienst sowie NetBIOS-Broadcasts auf. Weiteres kannst du hier nach lesen, bin gerade einwenig Schreibfaul ;) Beschreibung des Microsoft-Computersuchdienstes Informationen zu Suchdienstoperationen Daher muss z.B. für die Netzwerkumgebung das NetBIOS over TCP/IP in den erweiterten LAN - Einstellungen des Servers aktiviert sein. Das solltest du bzgl. WINS lesen: Brauche ich noch WINS, wenn ich ein AD betreibe? - faq-o-matic.net Dein Problem was du hast, gerade dieses verzögerte Verhalten liegt mit hoher Wahrscheinlichkeit am DNS. Ist auf den DCs das DNS installiert und ist die FLZ AD-integriert gespeichert? Steht in den TCP/IP-Einstellungen der DCs eine echte IP-Adresse als "Bevorzugter DNS-Server" drin? Sind alle DCs auch GCs? Wann war der kalte Krieg? Installiere dir die Windows Support Tools und führe folgendes aus: DCDIAG /v.

Aloha, ja, dass geht. Das Werkzeug das dazu zu verwenden wäre, lautet ADMT. Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Ich vermute aber, dass du deine bestehende Domäne zu einer SBS-Domäne migrieren möchtest, dann schau mal hier: http://www.mcseboard.de/windows-forum-allgemein-28/2k-2k3-ads-114862.html#post709103

Ich werde über den Fehler 13568 die Tage auch mal was schreiben ;). Der Fehler hat es glatt verdient, in einen Artikel verewigt zu werden.

Servus, brauchst du nicht. Du kannst die neue Maschine mit beiden R2 CDs installieren und direkt mit DCPROMO zum "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzufügen. Vorher musst du natürlich das ADPREP von der weiten CD ausführen, so wie es enzo bereits erwähnt hat. Dazu führst du das ADPREP von der zweietn CD mit dem Schalter /FORESTPERP auf dem 2000er Schema-Master aus und mit dem Schalter /DOMAINPREP auf dem 2000er Infrastruktur-Master. Danach kannst du den R2 als DC hinzufügen. Würdest du vorher das ADPREP nicht ausführen, würde an entsprechender Stelle beim ausführen von DCPROMO eine Fehlermeldung erscheinen und dich genau darauf hinweisen. Danach kannst du aber immer noch jederzeit das ADPREP ausführen. Es würde also nichts "kaputt" gehen. Genau, dass ist ein wichtiger Punkt den viele vergessen und zu nervös sond. Korrekt. Achte dabei auf die Artikel in dem Link von enzo, worauf verlinkt wird. Du soltlest auf allen DCs das DNS installieren und die FLZ AD-integriert speichern. Alle DCs sollten ebenfalls auch GCs sein. Denke auch an das EFS-Zertifikat. Das findest du alles in den Artikeln. Daran ist nichts schlimmes. Es kann nichts kaputt gehen. Die FSMO-Rollen haben mit dem AD "nichts" zu tun. Bedeutet, wenn die Rollen nicht verfügbar sind oder sich nicht verschieben lassen, dann nimmt davon das AD keinen Schaden. Im schlimmsten Fall kannst du den Schema-Master - warum auch immer - nicht übertragen. Dann kann man diese Rolle immer noch "mit Gewalt" verschieben. Denn was wäre den nwenn der DC der die Rolle innehat crasht? Die Rollen müssen trotzdem verfügbar sein ,denn ansonsten gibt es in naher Zukunft Probleme. Daher hat man auch dann die möglichkeit, die Rollen eben mit Gewalt zu verschieben. Stichwort dazu lautet: NTDSUTIL - SEIZE Wenn sich die Rolle Ordnungsgemäß übertragen lässt (was zu erwarten wäre), ist nichts zu befürchten. Danach kannst du in Ruhe die "alten" DCs aus der Domäne nehmen. Falls sich die Rolle nicht "einfach" übertragen lässt, heißt die Devise "mit Gewalt" verschieben. Dann muss aber der ursprungsträger nicht mehr online sein und DARF auch nicht mehr online gehen. Siehe: Wie kann ich Betriebsmasterrollen offline übertragen? - faq-o-matic.net

Schon komisch. Das stimmt, die Ausgabe sieht sogar sehr gut aus. Es ist alles vorhanden und es wird alles repliziert. Evtl. ist das FRSDiag eine etwas ältere Version und "verfälscht" das ganze. Lass mal ein DCDIAG /v sowie NetDIAG /v laufen, wenn diese beiden Ausgaben keine Fehler melden, dann ist alles in Butter. Aber achte darauf, dass die installierten Support Tools auch zum OS passen (mit Service Pack). Denn ansonsten kann die Ausgabe der Support Tools täuschen. Siehe: Windows Server 2003 mit SP1 Download details: Windows Server 2003 Service Pack 1 32-bit Support Tools Windows Server 2003 mit SP2 Download details: Windows Server 2003 Service Pack 2 32-bit Support Tools