IThome

Das kannst Du mit NTDSUTIL machen ... How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003

Das kannst Du mit Loose Wildcarding machen ... Microsoft Corporation Beispiel Google : eine Zone google.de erstellen, einen Host * erstellen und für diesen Host die bestimmte IP eintragen. Loose Wildcarding in der Registry definieren und den DNS-Server neu starten ...

Also entweder - Gast aktiviert ohne Kennwort, "Restrictanonymous" auf 0, der Benutzername, mit dem sich der zugreifende Benutzer an seinem Rechner anmeldet, existiert NICHT auf dem freigebenden Rechner oder - Benutzername und Kennwort existieren auf beiden Rechnern In den anderen Fällen - Benutzername existiert auf beiden Rechnern, aber Kennwort ist unterschiedlich, Gast ist deaktiviert - Benutzername existiert auf beiden Rechnern, aber Kennwort ist unterschiedlich, Gast ist aktiv ohne Kennwort - Benutzername existiert nur auf einem Rechner, Gast ist deaktiviert - Benutzername existiert nur auf einem Rechner, Gast ist aktiviert mit Kennwort - Benutzername existiert nur auf einem Rechner, "Restrictanonymous" steht auf 1, Gast ist aktiviert ohne Kennwort bekommst Du entweder eine Anmeldemaske oder wirst sofort verweigert ...

Das kann man also nicht separat im Client definieren ?

Überprüfe nach dem erneuten Aktivieren des RRAS, ob Filter aktiviert sind (sehr wahrscheinlich) ... Hat der Server eine Karte oder 2 ? Benutzt Du die benutzerdefinierte Konfiguration ?

Ups, den habe ich ja noch gar nicht gesehen, werde ich gleich mal laden und probieren ... edit: hm, meine alten SPDs lassen sich nicht importieren. Ausserdem ist die "Art der Gültigkeit" ausgegraut und in Phase 1 und 2 zwar zeitmässig einstellbar, aber die Menge steht fest auf 5000 :suspect: (wo stellt man denn ein, dass man Dauer und kBytes einstellen kann ? Ich will jetzt nicht alle Konfigurationen verändern).

Dann sind alle mit gleichen Konten angemeldet oder der Gast ist aktiv. Bei XP ist die einfache Dateifreigabe eingeführt worden, die eine Gastauthentifizierung erzwingt, bei 2000 jedoch gibt es sowas noch nicht. Sind die Konten synchron, also auf der freigebenden Maschine sind die gleichen Credentials angelegt wie auf der Maschine, an der sich der zugreifende Benutzer angemeldet hat, dann erfolgt eine Netzwerkanmeldung (Logon Type 3). Stimmen die Credentials nicht überein und ist der Gast nicht aktiviert, dann wird nach Benutzerdaten gefragt. Stimmen die Credentials nicht überein und ist der Gast aktiviert, dann wird Gastauthentifizierung durchgeführt (vorausgesetzt, der Gast hat die entsprechenden Benutzerrechte, um das tun zu dürfen). Den Gaststatus kann man mit FSMGMT.MSC auf der freigebenden Maschine überprüfen. In keinem Fall kommt es zu einer anonymen Anmeldung (wir reden hier von Zugriffen auf freigegebene Drucker oder Ordner). Nach einer erfolgreichen Gastauthentifizierung kann der Benutzer die Freigaben noch sehen, wird bei fehlerhaften Berechtigung (z.B. Jeder) aber augenblicklich verweigert. CONTROL USERPASSWORDS2 funktioniert, wie ich gerade sehe, bei 2000 Clients noch nicht. Bei XP Professional Clients dagegen kannst Du dort Credentials für den Zugriff auf Ressourcen hinterlegen. edit: etwas genauer ... Existiert der Benutzer auf beiden Rechnern und ist auch das Kennwort gleich (Gast aktiv oder nicht), dann wird eine Netzwerkanmeldung durchgeführt. Existiert der Benutzer, aber das Kennwort ist unterschiedlich, wird nach Anmeldedaten gefragt (Gast aktiv oder nicht). Existiert das Benutzerkonto nur auf einem Rechner und der Gast ist aktiv, wird eine Gastauthentifizierung durchgeführt. Existiert das Konto nur auf einem Rechner, der Gast ist aktiv und "RestrictAnonymous" steht auf 1, wird sofort verweigert.

Es geht darum, dass eine Benutzerrichtlinie angewendet werden soll, wenn sich in dessen Reichweite keine Benutzerobjekte befinden. Loopbackverarbeitung wird in der Computerkonfiguration definiert und gilt für Rechner. Durch diese Einstellung wird die Abarbeitung der Richtlinien verändert. Ist der Computer einmal in diesen "Modus" versetzt worden, können natürlich auch weitere GPOs, die den Benutzteil einstellen, in dieser OU gelinkt sein. Weiterhin gibt es im Loopbackmodus die Möglichkeit, Ersetzen oder Zusammenführen zu definieren. Die GPOs mit Benutzerrichtlinien kann man selbstverständlich weiterhin sicherheitsfiltern ...

Wenn Du /FORCE durchführst, werden alle auch schon angewendeten GPOs erneut angewendet und nicht nur die geänderten. Benutze stattdessen GPUDATE ohne /FORCE ...

irgendwiesprichstdumirausderseele ... :D

Eben ...

GPUPDATE /FORCE und danach RSOP.MSC ergibt, dass die Richtlinien angewendet werden ? Eventuell auch ein Problem mit der Slow Link Detection auf den XP-Maschinen (das Verhalten von Vista hat sich da grundlegend verändert) ? Network Location Awareness

Hm, da steht "must", was aber nicht richtig sein kann und auch von Microsoft selbst so nicht gemacht wird (SBS) ...

... was Daim ja auch schon geschrieben hat ;)

Warum eigentlich in der Default Domain Policy ? Ich habe gelernt, dass man die Default Policys so lassen soll, wie sie sind. Einerseits aus Wiederherstellungsgründen (DCGPOFIX, RECREATEDEFPOL) und andererseits der Übersichtlichkeit halber. Microsoft macht es mit dem SBS auch vor. Dort werden extra Richtlinien erstellt, die über der Default Domain Policy platziert werden ... Aber wahrscheinlich gibt es dazu so viele Meinungen, wie es Leute gibt ... :D Ach ja, zusätzlich darf in der Domain Controllers OU die Vererbung nicht deaktiviert sein, denn die sollen die Richtlinie ja schliesslich anwenden ... edit: allerdings habe ich jetzt einen Artikel gefunden, der beschreibt, dass manche Dinge in der Default Policy gesetzt werden sollen ... Microsoft Corporation. Allerdings steht dort auch, dass bestimmte Policies dort gesetzt werden müssen. Wie man am Beispiel des SBS sehen kann, kann diese Aussage nicht richtig sein ...

Net Share ... /d /y

Naja, ich habe für fast alle Prüfungen nur ein Buch benötigt, viele andere sicherlich auch. Also ... Versuch macht klug ...

IMHO ist das Ändern des IP-Bereiches nicht möglich ...

Hängt eventuell mit der Gültigkeitsdauer des Kerberostickets zusammen. In diesem Falle sollte eine Ab- und Anmeldung aber schon helfen. Und es würden auch Meldungen in der Ereignisanzeige stehen. Oder musst Du den Rechner wirklich neu starten ? Die Rechner wechseln vielleicht in den Stromsparmodus ?

HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/TCPIP/PARAMETERS "DisableDhcpMediaSense" - REG_DWORD auf 1 Danach neu starten ...

Setze "DisableDhcpMediaSense" auf 1

Beim PING einen bestimmten DNS-Server angeben ? Das kann man mit NSLOOKUP machen ...

Hm, wie soll eine Benutzerrichtlinie, die nur angewendet werden soll, wenn sich der Benutzer auf bestimmten Rechner anmeldet, ohne Loopbackverarbeitung verarbeitet werden ?

Schau mal in der Terminaldienstekonfiguration, welche Karte gebunden ist. Falls Du dort etwas änderst, starte danach den Rechner neu ...

Soll der Internetzugang bei bestehender VPN-Verbindung durch den Tunnel erfolgen ? Per Default wird dem Client mindestens der DNS-Server zugewiesen, den der RRAS selbst bei sich eingetragen hat. Ist der statische Pool nicht aus dem IP-Bereich des internen Netzes des RRAS, muss der Internetrouter (sofern vorhanden) eine Route in das Netz des VPN-Clients über den RRAS bekommen (falls der RRAS selbst den Internetzugang herstellt oder der Pool sich im internen Bereich des RRAS befindet, musst Du das nicht machen). Eventuell bestehende Filter auf einem vorhandenen Internetrouter müssen ebenfalls bedacht werden. Soll der Internetzugang nicht durch den Tunnel erfolgen, musst Du im VPN-Client nur den Haken "Standardgateway für das Remotenetzwerk verwenden" entfernen.