IThome

Off-Topic: Genau Edgar, das Leben ist kein Ponyhof ... :D

Hey Cat, das freut mich aber sehr, dass der Nachwuchs jetzt da ist, herzlichen Glückwunsch. Naja, Internet brauchst Du jetzt ja auch nicht, in der freien Zeit wirst Du wahrscheinlich lieber etwas schlafen und nicht surfen ... :D Gruss Sven

Wenn es ein DC ist, werden diese Berechtigungen nicht in der lokalen Gruppenrichtlinie geändert, sondern in einer Richtlinie in der Domain Controllers OU. Du sprichst doch von einer interaktiven Anmeldung am Server oder ?

DSRM OU=<Name der OU>,DC=<DOMAIN>,DC=<LOCAL> -subtree -exclude -noprompt löscht alles in der OU, die OU selbst bleibt erhalten ... DSQUERY CONTACT OU=<Name der OU>,DC=<Domain>,DC=<Local>|DSRM -noprompt löscht Kontakte in der OU, die OU und alle anderen Objekte bleiben erhalten DSQUERY CONTACT OU=<Name der OU>,DC=<Domain>,DC=<Local>|DSRM -subtree -noprompt löscht Kontakte in der OU und allen darunter liegenden OUs, die OUs selbst und alle anderen Objekte bleiben erhalten

Wer meldet sich denn nun lokal an, Harald oder Gerhard ? Diese Benutzer/Kennwort Kombination, mit der er sich lokal anmeldet, sollte genau so in der Domäne angelegt und auf die Ressourcen berechtigt werden, die auch Harald (der Domänenbenutzer) nutzt. Dann kann er auch zugreifen. Ach übrigens, Benutzernamen kann man auch umbenennen ...

Ich mache sowas, um es möglichst genau hinzubekommen, mit mindestens 4 virtuellen Maschinen: 1 * XP als VPN-Client - 192.168.1.2/24 Gateway 192.168.1.1 1 * 2003 Server mit 2 Karten als RRAS/NAT - 192.168.1.1/24 (privat) und 192.168.2.1 (öffentlich) 1 * 2003 Server mit 2 Karten als RRAS/NAT - 192.168.2.2/24 (öffentlich) und 192.168.3.1/24 (privat) 1 * 2003 Server als RRAS/VPN-Server - 192.168.3.2/24 Gateway 192.168.3.1 Du kannst in das 3er Netz natürlich auch noch ein weiteres Gerät platzieren, einen Fileserver oder Webserver z.B., um den Zugang zu testen. Wenn Du LAN-LAN VPN testen willst, würde ich in das 1er Netz zusätzlich zum XP-Client noch einen RRAS/VPN installieren. Ber der fetten Maschine kein Problem, diese Anzahl an Servern bekomme ich sogar auf meinem Notebook gleichzeitig zum Laufen ...

An welchen Server leitet er weiter ? Macht er Root-Auflösung ?

Alle nicht, nur die konfigurierten ...

... oder es geht nur bei denen, die sich das zweite Mal anmelden (dann ist der Drucker schon verbunden)

Starten, anhalten und unterbrechen reicht nicht, er muss auch "Lesen" können (habe ich weiter oben auch schon geschrieben) ... Also in der Sicherheitsvorlage auch "Lesen" anhaken und erneut anwenden ...

Um etwas freigeben zu können muss der User aber auch gewisse Privilegien haben. Ein normaler Benutzer darf das nicht ...

Ich glaub, das ist der Router ...

Wozu UDP 500, er hat die L2TP-Ports alle abgeschaltet ...

------------------------------------------- Donnerstag, 13. Dezember 2007 18:15:18 ----Konfigurationsmodul wurde erfolgreich initialisiert.---- ----Konfigurationsvorlageninformationen werden gelesen... ----Benutzerrechte werden konfiguriert... Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen. ----Gruppenmitgliedschaft wird konfiguriert... Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen. ----Registrierungsschlüssel werden konfiguriert... Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen. ----Dateisicherheit wird konfiguriert... Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen. ----Allgemeine Diensteinstellungen werden konfiguriert... Konfigurieren von Spooler. Konfiguration allgemeiner Diensteinstellungen wurde erfolgreich abgeschlossen. ----Verfügbare Anlagenmodule werden konfiguriert... Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen. ----Sicherheitsrichtlinien werden konfiguriert... Konfigurieren der Kennwortinformationen. Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen. Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen. Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen. ----Verfügbare Anlagenmodule werden konfiguriert... Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen. ----Konfigurationsmodul wird deinitialisiert... Sieht man nicht viel ... Welche Berechtigungen hat der User für den Dienst, was hast Du in der Sicherheitsvorlage definiert ? Hast Du nach dem eventuellen Ändern der Vorlage eine neue Datenbank erstellt und dann die geänderte Vorlage zugefügt, bevor Du angewendet hast ?

Du hast keine Kerberosmeldungen ?

Ups, auf einem 2000er gibt es diese Gruppe noch nicht. Diese Gruppe bzw. die Mitglieder dieser Gruppe (es kann auch eine Gruppe sein, in der die Benutzer zusätzlich Mitglied sind) müssen das Benutzerrecht "Lokale Anmeldung" auf dem TS haben. Ebenso muss in der Terminaldienstekonfiguration im RDP-TCP Thread diese Gruppe oder Mitglieder dieser Gruppe (auch durch zusätzliche Mitgliedschaft in einer anderen Gruppe) berechtigt sein.

Das kann er, hat er aber auch schon geschrieben ... ;)

rundll32 printui.dll,PrintUIEntry /in /n"\\Server\Drucker" rundll32 printui.dll,PrintUIEntry /y /n"\\Server\Drucker"

Eigentlich nicht ... Ich habe es gerade in Deiner Konfiguration getestet, es klappt einwandfrei ... Ich habe also auf dem Server mit Hilfe einer Sicherheitsvorlage und der Sicherheitskonfiguration- und Analyse dem Spoolerdienst für den Benutzer SRV\Test die Berechtigung Lesen und Starten... des Dienstes gegeben. Dann habe ich mich auf einem XP-Rechner mit einem User angemeldet, den es auf dem Server nicht gibt. Dort habe ich RUNAS /USER:SRV\Test /NETONLY CMD.EXE ausgeführt, in der CMD dann SVCUTIL SRV\Spooler STOP bzw. SVCUTIL SRV\Spooler START ... edit: aha, wenn ein normaler Benutzer angemeldet ist, der RUNAS ... ausführt, wird verweigert. Ist der gleiche Benutzer lokaler Administrator auf der XP-Maschine, dann klappt es ... edit2: Kommando zurück, ich hab mich nur verschrieben, es klappt auch mit einem normalen Benutzer ...

UDP 500 ist IKE und wird für IPSec bzw. L2TP/IPSec benötigt, das hat mit PPTP überhaupt nichts zu tun. Also leitest Du im Router TCP 1723 zur 192.168.1.4 und gibst im VPN-Client die Dyndns-Adresse des Routers an ?

Erlaube in der Sicherheitsvorlage zusätzlich zum Starten, Stoppen und Anhalten das Lesen ...

Ich suche auch schon länger nach einer Möglichkeit, habe aber noch keine gefunden. Es scheint nicht zu funktionieren ...

Oder VPN-Passthrough, PPTP-Passthrough oder ähnlich. Eventuell auch ein Firmwareupdate des Routers. Vielleicht liegt es auch an der Clientseite, weil der kein Outbound-PPTP machen darf. Wie ist die interne Adresse des Routers und wie lautet die Umleitung auf dem Router ? Nach GRE würde ich jetzt noch nicht suchen, da die Fehlermeldung darauf schliessen lässt, dass der Server gar nicht erreichbar ist. GRE kommt erst nach dem Initialaufbau zum Tragen ...

Das Verhalten ist normal und IMHO nicht änderbar, in meinen Augen nicht praktikabel ...

TCP 1723 ist nicht alles, was man für PPTP benötigt. Wichtig ist IP-Protokoll 47 (GRE), was der Netgear passieren lassen muss. Suche in seiner Konfiguration mal nach einem Punkt der VPN-Passthrough oder ähnlich heisst. Alternativ kannst Du auch mal die IP-Adresse des Servers als DMZ-Host (oder wie auch immer das bei dem Netgear heisst) konfigurieren und testen (NUR TESTEN!). Ein weiterer Knackpunkt ist eine eventuelle Dyndns-Konfiguration. Ist die angesprochene Adresse, die von Dyndns zurückgeliefert wird, überhaupt die derzeit gültige ? Bei fester, öffentlicher IP-Adresse spielt das natürlich keine Rolle ...