IThome

Poste doch mal IPCONFIG /ALL des Notebooks und eines funktionierenden Clients ...

Erklär das bitte genauer, was Du damit erreichen willst :)

Wenn Du in der Computerkonfiguration etwas konfigurierst, dann wirkt diese Einstellung auf Computer und nicht auf Benutzer. Wenn Du willst, dass ein Dienst auf einem Computer steuerbar wird und das über eine Richtlinie einstellst, dann muss sich im Wirkungsbereich der Richtlinie der Computer befinden, dessen Diensteinstellung Du verändern willst und nicht der Benutzer, der in der Einstellung steht ...

Hallo und herzlich willkommen, das ist eine Computerkonfiguration, die Du in die OU linken musst, in dem sich das Computerkonto befindet, auf dem der Dienst gesteuert werden soll ... Gruss Sven

Ich irgendwie auch nicht ... Da ist also ein NAT-Router, dessen interne Schnittstelle ist mit der externen Schnittstelle des 2003 NAT-Routers verbunden, die interne Schnittstelle des 2003 NAT-Routers mit einem Switch, an dem auch der SBS hängt ? Warum ist auf dem externen Router die Firewall aus und warum leitet er alle Ports nach innen (DMZ-Konfiguration?!) ? Der Client kann auch kein FTP machen, wenn er an der internen Schnittstelle des Zyxel-Routers hängt ?

Poste bitte mal die Ausgabe von IPCONFIG /ALL des RAS-Servers und des Clients (beide bei bestehender Verbindung) ...

Hm, 802.1x Authentifizierung mit einem RADIUS-Server (inkl. Accounting), wenn der Accesspoint das kann ...

Kannst Du einen internen Client anpingen ? Wieviele Karten hat der Server, eine oder zwei ? Ist NAT/Basisfirewall eingerichtet ?

Wer weiss, was damit gemeint ist. Eventuell die SMB-Signierung für 95-Clients oder dass sich Outlook 2003 (was mitgeliefert wird) nicht auf einer 9x-Maschine installieren lässt ...

Kannste beides machen, wenn der RAS-Server eine IP aus seinem internen Bereich vergibt (egal ob per DHCP oder statischer Range), dann musst Du an den internen Rechnern auf Serverseite nichts mehr einstellen. Nimmst Du eine andere Range, kommt es darauf an, wen die internen Hosts als Default Gateway eingetragen haben, ob Du zusätzlich noch was konfigurieren musst. Es sollte aber auf keinen Fall eine Adresse aus dem IP-Bereich von zu Hause sein ...

Den Gast kannste ja benutzen, es wird ja nichts gespeichert. Du möchtest aber, dass er gar nicht auf die Idee kommt, irgendwas zu verändern, also entferne die Einstellmöglichkeiten (oder habe ich da was falsch verstanden?) ...

In den Standard-Einstellungen NTFS nur "Schreiben" anklicken, dann können die User Dateien dort hineinschieben, den Ordner aber nicht öffnen. Sollen sie die erstellten Dateien auch sehen (aber nicht öffnen) können , dann in den erweiterten NTFS-Einstellungen noch Ordnerinhalt auflisten/Daten lesen erlauben. Die Freigabeberechtigung muss auf mindestens Ändern stehen (die am meisten einschränkende Berechtigung ist die effektive Berechtigung) ...

Es liegt wahrscheinlich daran, dass der Benutzer keine Berechtigung auf der CMD.EXE hat. Passe die Berechtigungen dieser Datei an ...

Der Begriff "Force Option" verwirrte mich nur ein wenig :) (war aber auch noch früh und dunkel :D)

Er ist ja nur Domänenadmin, weil er in der entsprechenden globalen Gruppe ist. Er ist u.a. auch Mitglied in der domänenlokalen Gruppe Administratoren. Sicher kannst Du auch einen Benutzer erstellen, der nicht in der Gruppe Domänen-Admins, sondern nur in der domänenlokalen Gruppe Administratoren ist (das gilt dann für den/die Domänencontroller)

Man kann den Defaultordner, in dem neue Computerkonten erzeugt werden, mit REDIRCOMP verändern. Ebenso kann man die Computerkonten auch vorher im Active Directory dort erzeugen, wo sie nachher sein sollen (mit gleichem Namen wie die zuzufügenden Workstations, die natürlich trotzdem noch gejoined werden müssen) ...

Meinst Du damit "Erzwungen" bzw. "Kein Vorrang" ?

Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

Der User benötigt das Benutzerrecht "Anmelden über Terminaldienste zulassen", welches auf Memberservern per Default den Remotedesktopbenutzern gewährt wird, auf DCs aber nicht. Auf einem DC wird zwar im RDP-TCP Verbindungsobjekt u.a. den Remotedesktopbenutzern die Anmeldung gewährt, das Benutzerrecht fehlt aber. Füge also entweder in der OU Domain Controllers eine Richtlinie zu, in der das Recht den Administratoren und Remotedesktopbenutzern gewährt wird oder stelle es in der lokalen Richtlinie mit Hilfe von GPEDIT.MSC auf dem DC ein ...

Naja, Gastaccount ist aktiv, also Gastauthentifizierung möglich und dem Gast wird das Benutzerrecht verweigert ...

Ja, teste erstmal, ich habe in der Firma auch noch eine Beschreibung, wie man die Hilfe wieder zum Laufen kriegt (allerdings, wenn sie gar nicht aufgeht und MSINFO32 auch nicht funktioniert) ...

Genau so ist es ...

Setze bei diesen Leuten doch "Kennwort läuft nie ab" ...

Stichwort GIADDR ... Dynamic Host Configuration Protocol (DHCP)

Leider kann man die Ausgabe von NETDIAG nicht sehen, da die Dateien nicht freigeschaltet sind ... Ich nehme mal an, dass die 10.120.10.1 der DC ist ?! Was hast Du bezüglich der Single-Label Domain wo eingestellt ? Sind serverbasierte Profile oder Ordnerumleitungen im Spiel ?