IThome

Mir fällt da Watchguard mit aktiviertem Webblocker ein ...

Poste erstmal IPCONFIG /ALL des Clients bei bestehender Verbindung. Wird die Verbindung mit einem speziellen Client hergestellt ? IPSec ? Warum soll er das Gateway der internen Clients bekommen, für das weitere Routing ist eigentlich das VPN-Gateway zuständig.

Die Laufwerksbuchstaben werden nicht permanent verbunden, sind also nach dem Anmelden nicht mehr gespeichert und werden neu verbunden ...

Ich habe sowas ähnliches mal im Zusammenhang mit SMB-Signierung gesehen und auch mit eingeschaltetem Opportunistic Locking auf dem Server. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Configuring opportunistic locking in Windows Bevor Du in dieser Richtung irgendwas ausprobierst, prüfe erstmal den Virenscanner auf dem Server und Client (vielleicht mal testweise kurz abschalten) ...

Es geht hier doch um den lokalen Ordner "Dokumente und Einstellungen" oder ?

... und das "IF EXIST S: GOTO ENDE ELSE" kannst Du Dir im Grunde auch sparen, wenn Du den Schalter /PERSISTENT:NO benutzt

Eine sicherheitsgefilterte Gruppenrichtlinie, in der die Authentifizierten Benutzer entfernt werden, dafür aber die Gruppe mit den Computerkonten und eine Gruppe mit den Benutzern berechtigt wird (Lesen und Gruppenrichtlinie übernehmen). Im Computerteil wird der Loopback eingestellt, im Benutzerteil der Bildschirmschoner. Du kannst auch 2 Richtlinien benutzen: In der ersten wird Loopback im Computerteil konfiguriert, die Gruppe Authentifizierte Benutzer entfernt und die Gruppe mit den Computern berechtigt. In der zweiten wird der Benutzerteil konfiguriert und die Sicherheitseinstellungen des GPOs bleiben auf Standard. Gelinkt wird in die OU der Computer ...

Kannst Du sie sehen, wenn Du auf dem Server FSMGMT.MSC eingibst und unter "Geöffnete Dateien" auswählst ?

Bei eingeschalteter einfacher Dateifreigabe müssen die Benutzerkonten nicht gleich sein (das ist die Standardeinstellung). Bei abgeschalteter einfacher Dateifreigabe kann man bei gleich angelegten Benutzerkonten auch ohne Kennwort zugreifen. Dafür muss allerdings eine Sicherheitsoption angepasst werden. Generell ist der Betrieb ohne Kennwort natürlich nicht zu empfehlen, geht aber ...

Off-Topic: Genau, Sätze mit mehr als einem Punkt sind ja auch nicht aussagiger... :D

Du meinst das Kommandozeilentool NETSH ?!

Auch wenn der Thread uralt ist ... diese Aussage ist falsch. Auch unter Vista kann man mit RUNAS die Privilegien anheben. Ist allerdings die UAC eingeschaltet, wird von RUNAS kein Elevation Prompt angezeigt, was letztendlich RUNAS nicht das machen lässt, was man von ihm erwartet. Mit abgeschalteter UAC funktioniert RUNAS wie gewohnt, da kein Elevation Prompt erfolgen muss ...

Poste mal bitte IPCONFIG /ALL bei hergestellter Verbindung ...

Auch nach einer bestimmten Zeit nicht (etwa 30 Sekunden) oder gar nicht mehr zu öffnen ?

Deswegen kam die Frage nach den Logs des Routers, ob da was ankommt ... ;)

Der genaue Wortlaut wäre wichtig ... Man kann das Verhalten des DNS-Clients so verändern, das negative Antworten den Cache schneller verlassen. Probiere aber erstmal auf einer Maschine aus, ob es etwas bringt, den Dienst "DNS-Client" abzuschalten ...

So wie ich es verstanden habe, funktioniert die Verbindung zu TCP Port 21 (was ja im passiven wie im aktivven Modus so gemacht wird) schon nicht ?! Es wird also grundsätzlich jede Verbindung zu jedem FTP-Server abwiesen ? Was sagt denn das Firewall-Log des Routers oder was auch immer da steht ? Kommt da überhaupt eine Anfrage an ?

Zum Beispiel hier ... Download details: Windows XP Security Guide (XP) http://www.microsoft.com/downloads/details.aspx?FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en (2000) http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx (2003)

Dann nimm die lokale Richtlinie ... Das lässt sich aber umgehen, wenn man weiss, wo man es ändern kann ... Noch besser aber nimmst Du dem Benutzer die Administrator-Privilegien (wie von Zahni vorgeschlagen) ...

... via Gruppenrichtlinie die Einstellungen vorgeben ?!

Die Clients horchen alle auf 5000 TCP Ports ? :shock:

Es gibt die Möglichkeit, Berechtigungen via GPO zu setzen (vor kurzem hatten wir hier im Board solch eine Anfrage) ...

Z.B. über eine Reservierung im DHCP und etwas anderen Optionen (ohne Gateway). Die Schnittstellenmetrik kann man in den Eigenschaften der jeweiligen LAN-Verbindung abschalten und manuell die gewünschte Metrik eintragen.

Naja, man könnte ja auch die automatische Metrik abschalten und direkt anpassen oder einfach nur ein Default Gateway benutzen ... ;)

Wie auch immer ... :)