IThome

In welcher Gruppenrichtlinie bzw. wo ?

In den Eigenschaften des Benutzers im Active Directory - Exchange erweitert - Postfachberechtigungen ... edit: oh, steht ja auch schon in dem oberen Artikel ... :rolleyes:

Start - Programme - Verwaltung. Dieser abgespeckte Netzwerkmonitor zeigt aber nur Verbindung vom Server weg und zum Server hin ...

Von SBS 2003 zu SBS 2003 macht man es so, wie in diesem Artikel steht ... How to install Small Business Server 2003 in an existing Active Directory domain Da Du aber einen SBS 2000 hast, also eine 2000 Domäne und einen Exchange 2000, musst Du vor dem weiterführenden Setup des SBS 2003 ADPREP /FORESTPREP durchführen. Und genau das gibt Probleme mit dem Exchange 2000, was aber vermieden werden kann ... Windows Server 2003 adprep /forestprep command causes mangled attributes in Windows 2000 forests that contain Exchange 2000 servers

xcacls geht da noch ein bisschen weiter, oder subinacl ...

Entweder ist es eine Client-Server Anwendung, sie wird via Softwareverteilung auf die Clients verteilt oder der Server arbeitet im Terminalserverbetrieb und diese Anwendung ist nur dort installiert (nicht jede Anwendung lässt sich via Softwareverteilung verteilen und nicht jede Anwendung läuft auf einem Terminalserver). Mit Deinen Informationen kann man kaum etwas anfangen ...

Du hast schon mal mit Netzwerken zu tun gehabt ? Welche Programme ?

Die Benutzer melden sich an ihren lokalen Rechnern an. Die Benutzerkonten sind in der Domäne angelegt, die Computer sind Mitglieder der Domäne, also kann man sich am Rechner auch mit den Domänenkonten anmelden und muss keinerlei lokale Konten anlegen ... Oder meinst Du vielleicht Terminaldienste, also dass alle Anwendungen ausschliesslich auf dem Server installiert sind ?

Achso, ein W2K, dann SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE

GPUPDATE eingeben (auf dem TS), danach RSOP.MSC ausführen und nachschauen, ob die Richtlinien angewendet werden ...

Er muss sich immer am lokalen Computer anmelden, kann aber von einem Domänencontroller authentifiziert werden ... Was hast Du denn vor ?

Ähm, funktioniert es jetzt, nachdem Du das Computerkonto des TS in die OU geschoben hast, in der die Richtlinie existiert ? Eventuell noch mit GPUDATE nachgeholfen ?

Das funktioniert auch mit Vollzugriff nicht (wenn niemand angemeldet ist z.B.). Ich denke, das funktioniert als normaler Benutzer nicht ... Ich habe auch keine Einstellung gefunden, die sowas ermöglichen würde, denke also, dass es mit einem normalen Benutzer nicht funktioniert ...

Also kann ein Benutzer sich an der Konsolensitzung anmelden, wenn am Server dieser User lokal angemeldet ist (der User ist nur Benutzer ?). Wenn dieser User aber nicht lokal am Server angemeldet ist, also entweder niemand angemeldet ist oder ein Administrator, dann bekommst Du diese Meldung ?

Wenn es keine NT4-BDCs gibt, wüsste ich keine Nachteile, ganz im Gegenteil ...

Eigentlich brauchst Du die Benutzer nur in die Gruppe Remotedesktopbenutzer stecken, damit sie sich am TS anmelden können. Die Gruppe Remotedesktopbenutzer hat das Benutzerrecht "Anmelden über Terminaldienste zulassen" und ist ebenso im RDP-TCP Verbindungsobjekt berechtigt. Diese beiden Dinge haben aber absolut nichts mit der Einschränkung via Richtlinie zu tun, dort geht es nur darum, wer sich überhaupt am TS anmelden kann. Wo befindet sich das Computerkonto des TS im Active Directory und wo hast Du die Loopbackrichtlinie verknüpft ? Sind in der Loopbackrichtlinie auch Benutzereinstellungen definiert oder gibt es dafür eine eigene Richtlinie ? Wenn ja, wo ist diese verknüpft ?

Ja, das ist bei einem SBS per Default aktiv ...

Sowas regelt man über eine Richtlinie, die auf den Client angewendet werden muss, BEVOR er den Profilordner selbst erstellt Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen"

Ja, der TS ist in einer OU, in dieser OU wird die Loopbackrichtlinie gelinkt und ebenso die Benutzereinstellungen. Die Loopbackrichtlinie muss so konfiguriert werden, dass der TS diese Richtlinie lesen und übernehmen darf, die Benutzerrichtlinie muss von den Benutzern gelesen und angewednet werden dürfen ... Wieso lokale Domänenrichtlinie und RDP-TCP Objekt ? Wegen der Anmeldung am TS ? Warum nicht die Remotedesktopbenutzer ?

Ports können es eigentlich nicht sein, da man dann eine Fehlermeldung bekommt. Der ursprüngliche User wird aber getrennt und der neue User hat dann eine Verbindung ... Aber wer weiss das schon ... :D

Nochmal, funktioniert es intern mit mehr als einem User ?

Gruppenrichtlinie lesen auch erlaubt ? Darf der TS diese Richtlinie auch lesen und übernehmen (sonst wird es nichts mit der Loopbackverarbeitung) ? Die Sicherheitsgruppe ist in der lokalen Domänenrichtlinie eingetragen ?? Wo da, in welcher Einstellung ? Was genau hast Du wo eingestellt ?

Eigentlich ist es doch der UDP Port 7, der für Echo reserviert ist ?! Naja, das ist ein UDP - "Ping" und ein ICMP - Ping (Code 0=Echo, Code 8=Echo Reply). TCP kennt ebenso Port 7, der ebenso für Echo reserviert ist ...

Das ist eine Computerrichtlinie und gilt für jeden Benutzer, der sich an dem von der Richtlinie konfigurierten Computer anmeldet ...

Er muss das Benutzerrecht "Anmelden über Terminaldienste zulassen" besitzen und muss Berechtigungen zum Anmelden im RDP-TCP Verbindungsobjekt in der Terminaldienstekonfiguration haben. Du kannst ihn auch in die Gruppe der Remotedesktopbenutzer stecken, auf einem DC allerdings musst Du dieser Gruppe das Benutzerrecht noch gewähren ...