IThome

Meinst Du die 2 GB Grenze von PST-Dateien für Outlook 2000/XP ? Man kann die 16 GB Grenze der Datenbanken mit Service Pack 2 für Exchange mit einem Regkey aufheben und auf 75 GB anheben ...

Vielleich hilft´s ... Fehlermeldung "Serverfehler in der Anwendung '/'. Der Zugriff auf den Pfad <Pfad> wurde verweigert" beim Versuch, sich bei Windows SharePoint Services anzumelden

Genau ... :)

Ich wüsste nicht, wie man einem Administrator verbieten kann, eine Freigabe zu erstellen (das ist eine zentrale Aufgabe eines Administrators) ...

Wenn sie keine Freigaben erstellen sollen, dann mache sie zu normalen Benutzern ...

Hab noch editiert, hatte Deinen Beitrag aber nicht gesehen ... :)

Ja, das könnte dann jeder, aber eigentlich sollten die Benutzer die Zeit nicht ändern können. Wenn sie das tun, könnte es passieren, dass sie auf einmal nicht mehr zugreifen dürfen. Denke dran, dass das auch für alle Server gilt (nicht für die DCs). Auf einem DC steht dort auch "Lokaler Dienst", bei einem Member schaue ich gerade (dort steht es aber meiner Meinung nach auch) ... edit: ja, "Lokaler Dienst" wird auch dieses Recht gewährt. Wenn Du das tatsächlich machen willst (warum auch immer), dann erzeuge ein neues GPO, linke es in die Domäne und setze es über die Default Domain Policy. Lass es aber lieber, die Zeit muss synchron laufen, was dann nicht mehr gewährleistet ist ...

Dann gilt es für jeden Rechner der Domäne (ausgenommen die Domänencontroller) und nur für diesen Benutzer, was keine gute Idee ist. Du kannst solch eine Richtlinie aber schon auf Domänenebene linken, solltest aber sicherheitsfiltern (damit es nicht jeden Computer betrifft) und solltest nicht nur den Benutzer eintragen ...

Naja, Dateien, die sich auf dem Fileserver befinden und vom Client gelöscht werden, werden doch nie in den Papierkorb des Clients verschoben ...

Was der TO letztendlich macht, hängt ja auch von der Sicherheitspolicy seiner Firma ab. Mit einem Standardkennwort bleibt sicherlich ein Restrisiko (man kann ja probieren und dann ändern), persönliche Übermittlung eines zufällig ausgewählten Kennwortes, wie auch immer, ist da natürlich der bessere Weg. Ein Zettel am Bildschirm allerdings ist da sicher auch nicht der Weisheit letzter Schluss ... :) Die Frage ist natürlich auch, an wievielen Rechnern bzw. Benutzerprofilen konfiguriert wird, also auch die Kennwörter zurückgesetzt werden. Je mehr das sind, desto eher fällt die Möglichkeit mit einem Standardkennwort unter den Tisch, die mit den Zetteln allerdings auch ...

Wenn die User Euch immer via Handy erreichen können, dann kannste doch auch irgendein Kennwort vergeben. Die Supporter müssen´s nur wissen, alle ... Das wäre natürlich die beste Variante ...

Naja, es könnte sich jemand mit jedem Benutzerkonto anmelden und bei allen das Standardkennwort probieren. Hat er einen erwischt, den Ihr zurückgesetzt habt, kann er das Kennwort in irgendein Kennwort ändern und ist auf der Maschine, das wäre schon möglich. Aber das wäre ja immer möglich, wenn man das Kennwort eines Benutzers zurücksetzt und derjenige sich nicht sofort danach anmeldet (wenn ein Standardkennwort benutzt wird) ...

Ich weiss ehrlich gesagt nicht, was gegen ein Standardkennwort auszusetzen ist, wenn der Haken gesetzt ist, dass man das Kennwort nach der Anmeldung ändern muss. Dieses Kennwort wird doch nur für das Konto vom Administrator gesetzt, dessen Kennwort Ihr zurückgesetzt habt und ist keineswegs für jedes Konto gültig. Und wenn auch noch das Kennwort sofort geändert werden muss und eine History gültig ist, sehe ich da kein Problem (vielleicht bin ich im Moment aber auch blind :D) ...

Keine Sorge, Du bist nicht allein, passiert mir auch immer wieder ... :D

, Du hast die Gruppe in den Freigabeberechtigungen zugefügt ? Oder auch in den NTFS-Berechtigungen ? Der Administrator hat sich auch einmal ab- und angemeldet ? Zugriff über den Explorer lokal ? Oder von einem anderen Platz übers Netzwerk ?

Das war nur ein Vorschlag, dass Du die Loopbackverarbeitung aktivieren könntest, damit jeder, der sich an diesem Rechner anmeldet, eingeschränkt wird (obwohl es schwierig ist, wenn der Computer sich nicht in einer OU befindet). Willst Du dem speziellen User das Benutzerrecht gewähren, die Zeit zu verändern, musst Du auf Domänenebene ein GPO erstellen, welches in der Computerkonfiguration das Benutzerrecht so anpasst, dass zusätzlich zu den per Default angegebenen Gruppen dieser User dort eingetragen wird. Damit nicht jeder Computer unterhalb der Domäne (also auch alle, die sich im Container Computer befinden) diese Richtlinie anwendet, ersetzt Du in der Sicherheitsfilterung des GPOs die Authentifizierten Benutzer gegen das Computerkonto des betreffenden Rechners und konfigurierst Lesen und Gruppenrichtlinie übernehmen auf erlauben. Wenn der Benutzer sich in einer eigenen OU befindet und im dort gelinkten GPO Einschränkungen in der Benutzerkonfiguration vorgenommen werden, gilt das natürlich nur für diesen Benutzer (allerdings überall, wo er sich anmeldet), denn sonst befindet sich ja kein anderes Benutzerobjekt in der Reichweite dieser Richtlinie ... Es ist auf jeden Fall einfacher zu handhaben, wenn dieser Computer in einer eigenen OU steckt (insbesondere die Loopbackverarbeitung, sofern gewünscht) ...

Wieso kann der Administrator nicht von der Richtlinie betroffen sein ? Von welcher Richtlinie überhaupt ? Die Loopbackverarbeitung benutzt man, um Benutzerrichtlinien nur auf bestimmten Computern azuwenden und nicht auf jedem Computer (wie bei Terminalservern z.B., obwohl es natürlich nicht auf Terminalserver beschränkt ist) ... :)

Der Benutzer benötigt das Benutzerrecht die Uhrzeit verändern zu dürfen und das ist eine Computereinstellung. Hat er dieses Recht ? Der Computer muss sich nicht in einer OU befinden, er muss sich nur in Reichweite des GPOs befinden ...

Genau das wird in dem Artikel beschrieben (DFÜ-Modem oder PPPoE) :suspect: Der TO hat den Fehler behoben ohne den Artikel, da bei ihm die Telefoniedienste nicht gestartet waren (ein weiterer Ansatz)

http://www.exchangepop3.com/help/menu.control.html

Du kannst auch eine Richtlinie auf Domänenebene erstellen und in der Sicherheitsfilterung definieren, dass sie nur von dem betreffenden Computerkonto übernommen wird und nicht von den Authentifizierten Benutzern ... Warum Du allerdings keine OUs für die Computerkonten erstellst, weiss ich nicht (muss ja irgendeinen Grund haben) ... Eventuell wäre auch Loopbackverarbeitung eine Option, so dass nur auf diesem Computer sehr einschränkende Einstellungen für alle oder gewisse Benutzer angewendet werden ...

Schau mal hier ... https://www.mcseboard.de/windows-forum-lan-wan-32/dfu-problem-99278.html?highlight=ausgegraut

Öhm, doch, natürlich kann man auch auf einen Laoptop via RDP. Und man kann sich verbinden, wenn man nicht mit einem "fremden" PC darauf zugreift (was auch immer ein fremder PC ist) ?

Okay, dann werde ich Euch löchern ... :D

Vielleicht wäre das SSL-Gateway von Watchguard etwas für Dich, das ist bezahlbar (was aber nicht heisst, das es billig ist :D)