IThome

Meinst Du die Sicherheitsfilterung des GPOs, also dass bei vielen Computerkonten innerhalb einer OU nur bestimmte ein gegebenes GPO anwenden ?

Woran hat es gehapert ?

Off-Topic: Die Hosts-Datei wird nicht jedesmal gelesen, bevor der DNS-Server abgefragt wird. Der Inhalt dieser Datei befindet sich im Resolvercache (ohne TTL) und der wird vor der Abfrage eines DNS-Servers befragt ... Die Datei selbst wird bei einem Namensauflösungsvorgang gar nicht explizit gelesen, deren Inhalt schon (der ist ja im Resolvercache) ...

Naja, dann erzeuge Dir eine OU, dort kommt der Computer, an dem sich nur bestimmte Leute anmelden sollen. Dann erzeugst Du Dir ein GPO und bearbeitest das Benutzerrecht "Lokale ANmeldung zulassen". Als Wert definierst Du die "Administratoren" (die müssen sich anmelden dürfen) und die Gruppe der User, die sich noch anmelden dürfen. Dann führst Du GPUPDATE bzw. SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE durch. In der Gruppe der lokalen Administratoren auf dem eingeschränkten Rechner dürfen natürlich nur berechtigte Benutzer Mitglied sein, keine Domänen-Benutzer zum Beispiel ...

, was willste denn jetzt, über das Netzwerk nicht zugreifen dürfen oder das lokale Anmelden einschränken ? Füge die Administratoren und die Domänengruppe dem Benutzerrecht "Lokale Anmeldung zulassen" zu. In der lokalen Administratorengruppe dürfen natürlich die Domänen-Benutzer keine Mitglieder sein ...

Ich bekomme die Meldung, dass der geforderte Anmeldetyp nicht gewährt wird (also hat er das Benutzerrecht nicht). Fang mal mit einem Domänenbenutzer und der Gruppe Administratoren (dort dürfen natürlich nicht die Domänenbenutzer usw. Mitglied sein) an, füge also dem Benutzerrecht auf dem Client diese beiden Einträge zu und starte ihn danach neu. Wenn er wieder bereit ist, melde Dich an einem anderen Client als irgendein Benutzer an, der dort nicht eingetragen wurde und verbinde Dich mit \\<Clientname> ...

Was sagt RSOP.MSC auf diesem Rechner bezüglich der gültigen Benutzerrechteinstellung ?

Du klickst das GPO an, rechts auf Delegierung - unten rechts auf Erweitert ...

Welches Serversystem setzt Du ein ? Hast Du die Gruppenrichtlinienverwaltungskonsole installiert ?

Wer ist denn dort eingetragen ? edit: hier funktioniert es genau so wie erwartet ...

Nein, das beschreibt er nicht. Man muss Hauptbenutzer sein und dieses Benutzerrecht haben ...

So ist es ... vom Netzwerk aus ...

Das ist auch ein Benutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" ...

Naja, das eine geht ohne das andere nicht ... Beschreibung der benötigten Benutzerrechte, um einen lokalen Drucker in Windows XP oder Windows 2000 zu installieren oder zu ändern

Naja, O&O ist schon gut, kostet aber auch extra ... :)

Wieso kann man das Defragmentiertool von XP vergessen ?

Wüsste nicht, wie man das realisieren könnte ... edit: selbst mit dem Benutzerrecht "Laden und Entfernen von Gerätetreibern" ist das Installieren von lokalen Druckern ausgegraut ...

Off-Topic: Da kann ich nicht mitreden, das Teil kenne ich nicht ... :rolleyes:

Auch der Client unterstützt/benutzt u.U. nicht alle Optionen Microsoft Corporation Microsoft Corporation

Wenn der DNS-Server der Monowall keine dynamischen Updates zulässt, dann ist es so. Wenn er dynamische Updates zulässt, benötigen die Clients einen passenden Suffix. Wenn die vorher genannten Punkte erfüllt sind, es aber immer noch eine Single Label DNS-Domäne ist, muss auf den Clients nocht etwas konfiguriert werden, da sich Windows-Clients per Default nicht an solchen Domänen registrieren ... Information about configuring Windows for domains with single-label DNS names Wenn Du einen 2000/2003 Server hast, benutze diesen als DNS-Server, der unterstützt dynamische Updates (es gelten aber die gleichen Voraussetzungen) ...

Wie ist denn die vollständige Fehlermeldung ? Zeitunterschiede ?

Ich habe sowas zwar bis jetzt nur in Testumgebungen gemacht, dort funktionierte es aber problemlos ...

Naja, dann kann er PC2 ja auch nicht auflösen. Diesen Eintrag musst Du schon erstellen. Allerdings würde ich Dir empfehlen, Deine Single Label DNS-Domäne umzubenennen in z.B. DOMAENE.LOCAL, in der der Host MONOWALL existiert. Dann würde der FQDN MONOWALL.DOMAENE.LOCAL heissen. Jetzt trägst Du noch die internen Clients dort ein (PC2...). Den internen Clients kannst Du via DHCP einen Verbindungssuffix zuweisen (DOMAENE.LOCAL) oder einen primären DNS-Suffix konfigurieren (ebenfalls DOMAENE.LOCAL). Diese DOMAENE.LOCAL konfigurierst Du auch auf dem VPN-Client entweder als primären Suffix oder Verbindungssuffix, dann kann er auch interne Namen auflösen ...

Dann ist das ja eine Single Label DNS-Domäne (in diesem Fall aber wohl eher uninteressant, die registrieren sich ja nicht in der Zone). Was für A-Einträge existieren denn noch in dieser Zone ?

Wenn Du z.B. zwei Karten im Server hast und ihn zum NAT-Router machen willst, dann wird die externe Karte nicht registriert und der entsprechende Haken wird entfernt. In diesem Fall musst Du auch keine Zone anlegen. Sind dagegen an beiden Karten Clients angeschlossen, kannst Du beide Karten registrieren lassen, wenn jeder Client die Adresse des Servers in seinem Subnetz anspricht. Du musst aber auch nicht zwingend Reverse-Lookup Zonen anlegen, es funktioniert auch ohne (der Server registriert A-Einträge mit beiden Adressen in der Forward-Zone und das Netmask-Ordering Feature des DNS-Servers sorgt dafür, dass die Clients korrekt geordnete Antworten vom DNS-Server erhalten) ... Also ... Du kannst, musst aber nicht ...