IThome

Sein Passwort kann er selbst doch ändern, ohne die Schlüssel unbrauchbar zu machen. Oder ist das Kennwort von diesem User von einem Administrator zurückgesetzt worden ? EFS, Credentials, and Private Keys from Certificates Are Unavailable After a Password Is Reset

Sie kann sich mit dem Benutzernamen in ihrer Domäne anmelden und sich dann mit einem anderen Benutzernamen mit den Ressourcen der alten Domäne verbinden. Unter CONTROL USERPASSWORDS2 z.B. kann man diese Credentials speichern ...

Off-Topic: Und wenn dem so ist, ist das wirklich geschickt gemacht worden, Hut ab ... ;) :D

Genauer gesagt gilt bei Freigabe- und NTFS-Berechtigungen, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist und das ist, wie Gysinma1 schon geschrieben hat, die Freigabeberechtigung ...

Könnte es sein, dass sich Deine User nicht richtig abmelden, sondern nur trennen ? Wenn ich mich recht erinnere, hatten wir hier vor nicht allzu langer Zeit genau dieses Problem ...

Du bist recht zufrieden, hast sie aber noch nicht getestet ? Findest Du, dass sie toll aussieht ? :D

Windows setzt eine Reihenfolge, die nach gewissen Regeln erfolgt (wie z.B. Verweigern kommt vor Erlauben oder ein explizites Erlauben kommt vor einem geerbten Verweigern). Diese Reihenfolge wird nach unten vererbt (zu sehen in den erweiterten Sicherheitseinstellungen, sonst würde ja in jeder Ebene eine Neuanordnung erfolgen). Unterbrichst Du allerdings im untersten Ordner die Vererbung, wird die Reihenfolge nach den Standardregeln neu gesetzt (Verweigern kommt vor Erlauben) und die Gruppe darf nicht mehr zugreifen ...

Verständnisprobleme ?

Du hast recht, er darf. Schau mal in die erweiterten Sicherheitseinstellungen des mittleren Ordners. Der Eintrag für das Erlauben steht oberhalb des Eintrages für das Verweigern (weil ein explizites Erlauben vor einem geerbten Verweigern steht), wird also vorher gelesen, er darf. Genau so wird es in den untersten Ordner vererbt, erlauben steht in den erweiterten Sicherheitseinstellungen also vor dem Verweigern, da darf er also auch. In diesem Fall ist also die Reihenfolge, die nach unten vererbt wird, entscheidend ...

Ziemlich, so konfiguriert man es zwar nicht, aber von der theoretischen Seite her müsste es so sein ...

Häh ??? Genau dort stellt man es ein, muss aber nicht die Default Domain Policy sein. Wenn ein anderes GPO benutzt wird, was ebenso auf Domänenebene gelinkt ist, muss es in der Priorität höher stehen als die Default Policy ...

Nein, dort ist erlaubt und verweigert für diese Gruppe, beides geerbt, Verweigern kommt in diesem Fall vor Erlauben ...

Die haben auf C:\SOFTWARE\SYMANTEC Zugriff, da ein explizites Erlauben ein ererbtes Verweigern überschreibt. Ob sie nun wirklich zugreifen können (im Parentfolder dürfen sie nicht lesen) hängt vom Benutzerrecht "Auslassen der durchsuchenden Überprüfung" ab ...

Da muss ich Dir leider Recht geben , ich kenne sowas auch ... Kostengründe. In diesem Fall dürfte es leider schwer werden, daraus eine stabil laufende Umgebung zu "zaubern" ...

NETSH INT IP RESET C:\RESETLOG.TXT NETSH WINSOCK RESET CATALOG How to reset "Internet Protocol (TCP/IP)" in Windows Server 2003 Ist aber schon ein wenig fraglich, ob das was bringen wird. Die Netzwerkfunktion ist im Grunde ja vorhanden ... Hmmm, merkwürdige Sache ... Wie sieht es aus beim Zugriff via \\127.0.0.1\Freigabe ?

Nur auf dem TS, nur der hat diese Probleme. Der Zugriff von ihm auf andere und zu ihm ist ja normal ...

Was genau hast Du eingestellt ? Hast Du nur den Haken bei "Diese Richtlinieneinstellung definieren" entfernt ?

Obwohl ich das auf Servern ungerne mache, hast Du mal den Stack bzw. Winsock zurückgesetzt (natürlich nur nach einer vollständigen Sicherung oder Image) ?

Ein Namensauflösungsproblem wird es nicht sein. Ist da ein Virenscanner auf dem TS installiert, dessen Echtzeitscanner auch Netzwerklaufwerke scannt ?

Ich habe da eben was überlesen. Das Problem tritt ausschliesslich auf, wenn Du lokal auf eine Freigabe zugreifst, die sich auf dem TS befindet ?

Das ist jetzt nur gedacht, damit Du eine saubere Grundkonfiguration hast ... Der 192.168.0.250 ist ein DC, der einen DNS-Server ausführt ? Es treten aber grundsätzlich keine Namensauflösungsprobleme auf (kannst Du mit NETDIAG aus den Supporttools auf dem DC testen) ?

Naja, ich sag´ da auch nichts weiter zu ... SBS-Server und XP-Home oder XP-Prof und nicht in der Domäne :shock: ... Ich sehe es ebenso wie Günther, XP-Prof oder Vista Business rauf, rein in die Domäne und gut is. Wenn nicht, hat man wenigstens eine unterstütze Basis, um den Fehler zu finden ... Der Artikel sagt aus "nach der Anbindung des Clients an die SBS-Domäne" , was mit einem Vista Home Premium schwierig werden dürfte ...

Die 192.168.0.250 ist ein DNS-Server, der auf einem DC läuft ? Der TS ist doch wenigstens Memberserver, wenn nicht sogar DC ? Einen Server konfigurierst Du mit einer dynamischen IP ? Wenn das ein Domänenmember oder DC ist, haben die externen DNS-Server nichts in der Konfiguration von TCP/IP verloren. Das ist das, was in der Ausgabe von IPCONFIG auffällig ist ...

Sag´ mal, hast Du PPTP aktiviert ? Sobald PPTP aktiviert ist, funktioniert das nicht mehr. Mit IPSEC Clients dagegen gibt es ohne Adresse keine Probleme (mit dem "Trick" weiter oben). Dann bleibt wahrscheinlich nur der Weg über Dyndns (erfüllt zwar keinen Zweck, lässt Dich aber auch PPTP nutzen) ... Wir haben auch Kunden, die SDSL Anschlüsse haben, allerdings haben die Zugangsrouter und die Firebox verbindet sich nicht via PPPoE ...

Die beiden Domänen sind per LAN-LAN VPN "physikalisch" miteinander verbunden, haben logisch aber nichts miteinander zu tun ? Trotz der schon bestehenden VPN-Verbindung wird zusätzlich ein PPTP-Tunnel aufgebaut ? Der Client der fremden Domäne soll sich bei der interaktiven Anmeldung schon per VPN mit dem SBS verbinden (wozu das denn ?) . Ehrlich gesagt verstehe ich den Sinn dieses Konstruktes nicht (wenn ich das Geschriebene überhaupt richtig verstanden habe) ... Wenn sie schon physikalischen Zugriff auf den Server hat , warum greift sie nicht direkt zu ? Credentials für den Zugriff auf fremde Ressourcen kann man speichern ...