IThome

Bei RDP-Terminalservern ist das auch so ... Bei Citrix ... ? Weiss ich leider nicht ...

Auf dem Client GPUPDATE /FORCE

Du kannst es so machen, um es übersichtlicher zu haben, musst es aber nicht. Eine Gruppenrichtlinie auf Domänenebene bewirkt auch, dass Einstellungen verteilt werden, aber eben auf alle Computer der Domäne ... Rechtsklick auf die Domäne - Neu - Organisationseinheit (Du musst mit einem berechtigten Konto angemeldet sein)

Du kannst mit REG.EXE den Key auch gezielt so setzen, wie Du ihn haben willst ...

Ähm, genau das, was ich gesagt habe :D , in Active Directory Benutzer und Computer. Das funktioniert natürlich auch auf Domänenebene, erreicht dann aber alle Computer unterhalb der Domäne. Du hast doch ein Active Directory oder ? Ist das ein Small Business Server ?

Auf dem 2003er musst Du nichts mehr importieren. Erzeuge Dir eine Organisationseinheit, verschiebe dorthin die Computerkonten, erzeuge Dir dort eine Gruppenrichtlinie und stelle unter Computerkonfiguration - Administrative Vorlagen - Netzwerk - Netzwerkverbindungen - Windowsfirewall (ich gehe von XP-SP2 aus) die Dinge unter Standardprofil und Domänenprofil ein, was Du willst ...

Weiss jetzt nicht, ob ich das richtig verstanden hab :rolleyes: , aber auch bei XP kann man schreibend zugreifen ...

Auch wenn sie fast immer falsch sind (Geiz ist geil z.B.) sind wir Dienstleister ja trotzdem immer die Leidtragenden ... :D

Du meinst aus Sicherheitsgründen ? Man kann auch schreibend zugreifen ... @TO Ein paar Möglichkeiten: Gast ist aktiviert auf der 2000 Maschine ohne Kennwort, Benutzer des XP-Clients existiert nicht auf dem 2000er - Gastauthentifizierung, keine Aufforderung Gast ist aktiviert auf der 2000 Maschine ohne Kennwort, Benutzer/Passwort des XP-Clients existiert auf dem 2000er - keine Gastauthentifizierung, keine Aufforderung Gast ist aktiviert auf der 2000 Maschine ohne Kennwort, Benutzer des XP-Clients existiert, Passwort ist anders - Aufforderung Gast ist aktiviert auf der 2000 Maschine mit Kennwort, Benutzer des XP-Clients existiert nicht auf dem 2000er - Aufforderung .....

Ich sach nur : Gastkonto ...

Den Gast aktivieren (ohne Kennwort) und die Freigabe- und NTFS-Berechtigung für die Gruppe "Jeder" konfigurieren ... Die einfache Dateifreigabe mit erzwungener Gastauthentifizierung gibt es bei 2000 nicht ... Ich hoffe, Du weisst, was Du tust ...

Dann führe mal NET CONFIG SERVER /HIDDEN:NO aus (eventuell neu starten), kommst Du dann wieder rauf ?

Was ist´n das jetzt für eine Box ?

Ich würde es auch mit 2 Netzwerkkarten machen. Eine Karte mit dem Modem verbinden, die andere mit dem Switch. Die Karte, die mit dem Switch verbunden ist, in der Bindungsreihenfolge an die erste Stelle. Auf der Modemkarte wenigstens die Haken für den Microsoft-Client und die Dateifreigabe entfernen und die Internetverbindung einrichten und freigeben. Bei der Freigabe wird gefragt, welche Karte die interne Verbindung darstellen soll (benenne die Karten vorher aussagekräfig um, z.B. lokales Netz und Internetzugang, das erleichtert die Auswahl) und diese wird auf 192.168.0.1/24 eingestellt. Auf dem anderen PC stellst Du auf automatisch beziehen.

Auf dem eben überprüften SBS steht der Kontigenteintrag der Administratoren auf unbegrenzt und ist nicht änderbar (nur die Warnschwelle ist änderbar) und löschbar. Gleiches Verhalten zeigt sich auf einem Standardserver 2003. Hab ich noch nie gehört oder gesehen, dass Kontingente irgendwo auch für Administratoren gelten ...

Für Administratoren gibt es keine Kontingentbeschränkungen ...

Ich persönlich benutze die Anwendungsmöglichkeit , nämlich das Beispiel aus Deinem Buch. Die Standardberechtigungen für ein Rootlaufwerk sind übrigens fast genauso eingestellt, der User darf allerdings in der Root nur Unterordner und keine Dateien erstellen, auf dem Ordner hat er dann Vollzugriff, was aber nicht auf weitere Unterordner vererbt wird. Mit dem Ersteller-Besitzer in Freigaben hast Du Recht , mir fällt ebenfalls kein Grund ein, die Ersteller-Besitzer als Berechtigung in eine Freigabe aufzunehmen ...

Versuch mal ... =NORMAL Mit NETSH INT TCP SET GLOBAL ? sieht man, was einstellbar ist ...

Steht in der Anleitung, die Grizzly gepostet hast ... :)

Verstecke ihn lieber nur (denn das ist ja nur das, was Du willst) ... Vielleicht hast Du Anwendungen, die auf NetBIOS angewiesen sind ...

Erstmal vorab, die Lösung dieser Aufgabe ist mit diesen beiden Vorschlägen nicht zu erreichen. Auch hier gilt, dass jemand erstmal Berechtigungen haben muss, um dem Ordner bzw. der Freigabe etwas zufügen zu können, bevor die Berechtigungen des Ersteller-Besitzers greifen. Auf der Freigabe allein kann man sowas gar nicht konfigurieren. Das klappt nur in Verbindung mit den NTFS-Berechtigungen (bedenke, dass bei Zusammenwirken von Freigabe- und NTFS-Berechtigungen die am meisten einschränkende die effektive Berechtigung ist). Auf folgende Weise kannst Du das Ziel erreichen, was in der Frage gefordert ist. Freigabeberechtigung: Authentifizierte Benutzer - Ändern NTFS-Berechtigung Authentifizierte Benutzer Lesen - "Dateien erstellen/Daten schreiben" - "Ordner erstellen/Daten anhängen" Ersteller-Besitzer Ändern Was macht jetzt eigentlich der Ersteller-Besitzer ? Fangen wir mal anders an. Angenommen, Du hast einen Ordner, in dem GRUPPEA - Ändern und die Benutzer - Lesen , beides für Diesen Ordner, Unterordner und Dateien, haben. Jetzt erzeugt ein Mitglied der GRUPPEA eine Datei. In der Berechtigung der Datei steht jetzt GRUPPEA - Ändern und Benutzer - Lesen. Die Berechtigung, die im Ordner angegeben wurde, wird also auf Objekte unterhalb dieses Ordners vererbt. Beim Ersteller-Besitzer verhält es sich etwas anders. Zusätzlich zu den Berechtigungen im obigen Beispiel kommen jetzt noch die Ersteller-Besitzer - Vollzugriff dazu. Wenn jetzt ein Mitglied der GRUPPEA eine Datei in diesem Ordner erstellt, ist er beim Erstellen auch ein Ersteller-Besitzer. In den Berechtigungen des Ordners ist festgelegt, dass Berechtigungen des Ersteller-Besitzers (in diesem Fall das Mitglied der GRUPPEA) nach unten vererbt werden sollen. Also wird, wie von Dir beschrieben, Ersteller-Besitzer durch die SID des Mitgliedes der GRUPPEA ersetzt, Ersteller-Besitzer ist also ein Platzhalter und taucht in der Berechtigung der Datei nicht mehr auf. Also steht in der Berechtigung der Datei zusätzlich zu GRUPPEA und Benutzer auch das Mitglied der GRUPPEA mit Vollzugriff. Also bekommt man niemals eine Berechtigung durch "Ersteller-Besitzer" selbst, sondern nur durch das, was durch das Ersetzen des Ersteller-Besitzers in einem vererbten Eintrag angewendet wird.

Falsch verstanden denke ich, das Verhalten ist vollkommen normal ... Er ist erst Ersteller-Besitzer, wenn er die Datei erstellt und dann wird sein Konto zur ACL der erzeugten Datei mit der Berechtigung, die dem "Ersteller-Besitzer" gewährt wurde, zugefügt. Da er aber keine Berechtigung hat, in diesen Ordner zu schreiben (Authentifizierte Benutzer - Lesen), kann er demzufolge auch gar nicht zum Ersteller-Besitzer werden. Würde die Gruppe Authentifizierte Benutzer die spezielle Berechtigung "Dateien erstellen/Daten schreiben" bzw. "Ordner erstellen/Daten anhängen" haben, könnte er zufügen, würde also zum Ersteller-Besitzer werden können. In der Berechtigung der Datei würde dann sein Name mit der Berechtigung Ändern stehen (angewendet durch die Parent-Berechtigung Ersteller-Besitzer - Ändern). Die komplette Berechtigung dieser Datei wäre dann Administrator - Ändern, geerbt und Authentifizierte Benutzer - <Berechtigung wie im Parent>, geerbt). Ob in den Berechtigungen der Datei, speziell beim Erzeugen eines Objektes durch den Administrator, nur der Administrator (also der Objektersteller) steht oder die Gruppe der Administratoren, hängt von der Gruppenrichtlinie "Systemobjekte: Standardbenutzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden" ab. Per Default ist es auf einer XP-Maschine der Objektersteller (also der Administrator) und auf einem Server die Gruppe Administratoren. Ersteller-Besitzer bezeichnet auch keine Gruppe, Ersteller-Gruppe bezieht sich auf eine solche, nämlich auf die primäre Gruppe des Benutzers (per Default Domänen-Benutzer). Ist die Ersteller-Gruppe berechtigt und erzeugt ein User eine Datei in diesem Ordner, wird seine primäre Gruppe berechtigt, also in der Regel die Domänenbenutzer ... Entscheidend für das Bearbeiten der schon vorhandenen Datei, also die, die vorher schon da war und die Berechtigungen NICHT durch die Anwendung der Berechtigung des Ersteller-Besitzers bekommen hat, ist ihre derzeitige Berechtigung. Ich denke, dass der Administrator nur Lesen-Berechtigung hat. Bei Anlegen eines Ordners verhält sich das Ganze ein wenig anders, da, abhängig von dem Bereich, der für die Ersteller-Besitzer gilt, auch die Ersteller-Besitzer zu der ACL des Ordners zugefügt werden, zusätzlich zum Namen des Benutzers, der erstellt hat und den Authentifizierten Benutzern. Bei Dateien tauchen die Ersteller-Besitzer in der ACL nicht mehr auf (wozu auch, die Datei ist schon erstellt worden und man kann unter ihr nichts mehr erstellen, im Gegensatz zu einem Ordner, wo man weitere Objekte erstellen kann) ...

Deaktiviere mal ICS, die dazugehörige Karte und die Firewall. 1. Gast aktiv (abgesichert NET USER GAST /ACTIVE:YES) 2. Regkey "ForceGuest" auf 1 3. Regkey "Restrictanonymous" auf 0 Viel mehr gibt´s da eigentlich nicht, zumindest fällt mir im Moment nicht mehr ein, ist ja auch schon spät :D

Wenn Du nichts definierst, dann werden die lokalen Richtlinien der Clients angewendet. Falls Du die nicht angepasst hast, sollte alles wieder Default sein ...

Wenn sie Mitglied der Remotedesktopbenutzer sind und die das Anmelderecht haben, dann sollte das in der Tat funktionieren ... Wer konfiguriert denn sowas in der Default Domain Policy ???