IThome

Naja, bei den offiziellen Trainingsbüchern sind immer Self Assessment Tests dabei ...

Schau mal nach,ob da eine Nvidia Karte in dem Server verbaut ist und ein Dienst Nvidia Driver Helper Service (oder so ähnlich) läuft ...

Auf der VPN-Serverseite muss NAT eingerichtet werden, so dass auf der Clientseite andere Adressen als die der eigenen Range angegeben werden können. Mit einer geeigneten Firewall-Appliance wüsste ich oder mit einem vorgeschalteten VPN-Router wüsste ich, wie man das konfigurieren könnte. Mit einem RRAS alleine wüsste ich das jetzt nicht. Wer oder was terminiert das VPN ? Die einfachste und sauberste Lösung ist die Umstellung der IP-Adressierung ...

XP-Clients ? Ist die Richtlinie "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" aktiviert ? Warum eigentlich eine eigene Vorlage, diese Einstellung gibt es doch ? Ebenso kannst Du auch das Ändern des Hintergrundes verhindern ...

Wie schon gesagt, wenn Du diese Berechtigungen verweigerst und der User ist Besitzer seiner Dateien und Ordner, kann er sich die Berechtigungen zurück geben. Wenn Du den Besitz übernimmst, musst Du die entsprechende Richtlinie setzen, da der Client das Profil sonst gar nicht mehr lädt. Wird bei der Profilübertragung wieder zurück geschrieben, ändern sich unter Umständen aber wieder die Besitzrechte ... Ich glaube, dass bringt nichts und wenn, dann nur Ärger ... Ich muss auch sagen, dass ich diese Problematik nicht kenne. Was genau passiert denn da ?

Du kannst via Richtlinie die zwischengespeicherte Kopie löschen lassen, was allerdings bedeutet, dass beim Anmelden das Profil vom Server gezogen wird. Allerdings kannst Du das Profil durch Ordnerumleitungen "ausdünnen" ... Sehr wichtig bei der Profilverschmelzung ist auch eine gleichlaufende Zeit ... War die Richtlinie, das die Administratoren den ACLs zugefügt werden, schon vor der Erzeugung der Profilordner aktiv oder ist es nachträglich zugefügt worden ? Die Benutzer können allerdings immer die Berechtigungen für ihre Dateien verändern, da nützt diese Richtlinie auch nichts. Das Backupprogramm sollte aber trotzdem sichern können, da beim Backupvorgang auch Dateien gesichert werden können, für die eigentlich keine Berechtigungen vorhanden sind ...

Ja, die gibt es ... https://www.mcseboard.de/windows-forum-ms-backoffice-31/windows-2000-sbs-windows-2003-server-107442.html

Das würde überhaupt nichts bringen, da die Benutzer die Ersteller ihrer Dateien sind und demzufolge immer volle Berechtigung haben oder sich geben können. Die Benutzer arbeiten auch mit einer Kopie des servergespeicherten Profils, nicht mit dem Profil selbst. Wenn sie sich abmelden, wird das lokale Profil mit dem Serverprofil "verschmolzen" (nach gewissen Regeln). Vielleicht solltet Ihr die Richtlinie setzen, dass die Administratoren den Profilordner-ACLs zugefügt werden (das muss passieren, BEVOR vom Client der Profilordner erstellt wird). Oder die User dürfen ihre Profile nicht ändern (.MAN oder Policy) ...

Es ist ja wichtig zu wissen, was letztendlich angewendet wird und woher es kommt ... Deswegen sind hier nur die beiden Tools für die Ergebnisse interessant ... :)

Schau Dir mal die Windows-Hilfe an, da findest Du schon sehr viel zu diesem Thema. Wenn Du weitere Fragen hast, nur her damit. Hier gibt es genügend Leute, die Dir helfen werden :)

Du meinst ohne Firewall Appliance, also den Server zum NAT-Router machen ?

GPEDIT = Group Policy editieren (nicht anzeigen) RSOP = Resultant Set of Policies GPRESULT = Group Policy Result (Ergebnis)

Klar tut sie das, die relevanten Dienste werden nur auf die interne Karte gebunden. Diese Lösung ist allemal besser und sicherer, als den Server direkt via Switch an den Router zu klemmen, das Gelbe vom Ei ist es aber nicht. Deswegen ja auch der Hinweis auf eine leistungsfähige Firewall/VPN Appliance (Application Layer), die aber nicht gerade billig ist ... Die Domäne ist von aussen nicht einfach ansprechbar, sondern nur, wenn ein VPN vorher aufgebaut wurde ...

Davor ist ja noch der Router ... Also 2mal NAT ...

Entweder mit RSOP.MSC (XP/2003) oder GPRESULT (Ressource Kit) ...

Der Benutzer muss Besitzer dieser Ordner sein oder das Prüfen des Besitztums muss via Gruppenrichtlinie ausgeschaltet werden. Anderenfalls wird der Client dieses Profil nicht laden. Aus welchem Grund sollte man dem Client in seinem Benutzerprofil nicht die vollen Berechtigungen geben ? Ist es nicht erwünscht, dass Änderungen vollzogen werden, benutzt man ein Mandatory Profile oder unterbindet via Gruppenrichtlinie, dass Änderungen am servergespeicherten Profil vorgenommen werden ...

Das erste sollte eine vernünftige Firewall-Appliance sein, wenn Du von aussen auf den Server willst und dazu noch mit FTP. Wenn das Budget es nicht zulässt, solltest Du wenigstens zwei Karten in den Server bauen und ihn zum NAT-Router mit Basisfirewall machen.

Nun ja, so kann das nicht klappen. Entweder änderst Du den Netzbereich im Clientnetzwerk oder Du musst mit NAT arbeiten ...

Ich rede von dem Ordner, der freigegeben wird und da reicht Ändern, damit das Profilverzeichnis angelegt werden kann. Den Unterordner (der den Namen des Clients z.B. hat), in denen das eigentliche Profil liegt, erzeugt der Client selbst und das mit den richtigen Berechtigungen. Oder wovon sprichst Du ?

Wie ist denn die Adressrange des Clientnetzwerkes, auch 192.168.0.0 ?

Ein Netzlaufwerk wird einem Benutzer zugewiesen, also Benutzerkonfiguration. Lokales Anmelden ist zwar ein Benutzerrecht, wird aber einem Computer zugewiesen. Man konfiguriert den Computer, wer sich an ihm anmelden kann, also Computerkonfiguration ...

Allerdings ist mir das mit dem Drucker, der einer OU zugewiesen wird usw. ... nicht ganz klar, da weiss ich nicht so recht, was gemeint ist ... :rolleyes:

Mit der Gruppenrichtlinieverwaltungskonsole kann man das, die läuft aber nicht auf 2000 Rechnern. Du kannst sie aber auf einer XP-Maschine installieren und von dort konfigurieren (es stehen dann auch die XP ADM-Vorlagen zur verfügung). Wenn Du das tust und danach mal auf der 2000 Maschine die Richtlinie aufrufst, wirst Du einen Fehler bekommen, den Du mit folgendem Patch beheben kannst Fehlermeldung "Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten" bei dem Versuch, Gruppenrichtlinienobjekte in Windows Server 2003, Windows XP Professional oder Windows 2000 zu ändern oder anzuzeigen Richtlinien werden vererbt, von oben nach unten. Also werden die Einstellungen einer Richtlinie einer höheren OU an die Objekte in den unteren OUs vererbt. Wird in der unteren OU eine Richtlinie angewendet, die die gleiche Einstellung einer höheren Richtlinie andersartig einstellt, gilt diese Einstellung (näher am Objekt). Es gelten Ausnahmen wie "Erzwungen" und "Vererbung deaktiviert". Weiterhin können in einer OU auch mehrere Richtlinien existieren, wobei die oben stehende die höchste Priorität hat. Gruppenrichtlinien wirken sich nicht auf "Gruppen" aus (man kann mit Gruppen sicherheitsfiltern), sie wirken sich auf Computerobjekte oder Benutzerobjekte in der Reichweite der Richtlinie aus (Spezialfall:Loopbackverarbeitung). Einstellungen in der Computerkonfiguration wirken sich auf Computerobjekte aus, Einstellungen in der Benutzerkonfiguration auf Benutzerobjekte ...

Ähm, Arbeitsgruppe - 200 Clients ?

Mit welcher IP denn sonst ? Natürlich mit seiner IP. Der VPN-Server routet in das Netz, er kennt es ja auch durch seine interne IP-Adresse. Ist das ein Windows VPN-Server ?