IThome

Jap, das ist korrekt, aber temporär ausschliessen kann er sich gut, mit diversen Einstellungen ... :D Bei Usern, die über das Netzwerk Dateien erzeugen, kann man das Besitzrecht bzw. dass man als Besitzer Berechtigungen vergeben kann, auch verhindern, in dem man die Freigabe auf Ändern-Berechtigung stellt und nicht auf Vollzugriff (der Administrator darf es aber trotzdem, auch wenn nur auf Ändern steht) ...

Und genau das ist das Problem. Hätten sie den RRAS als Default Gateway, würde es klappen. Du kannst aber auf dem Cable Router eine Route erstellen: das Ziel ist das Netzwerk, was der RRAS den Clients zuweist, erreichbar über die interne LAN-Schnittstelle des RRAS ... Also das Ziel ist 192.168.110.0/24 , erreichbar über die 192.168.111.x (LAN-Adresse des RRAS) Oder solch eine Route auf jedem Client ...

Hm, wenn der Administrator nicht das Benutzerrecht "Übernahme des Besitzes von Dateien und Ordnern" hat (per Default hat er es) oder die entsprechende Berechtigung (entweder direkt oder indirekt), dann kann er auch keinen Besitz übernehmen ...

Man beachte das Symbol ... :D Hat Ähnlichkeit mit irgendwas, was war das noch gleich ... ;)

Nein, man darf sie schon verändern, man sollte es aber vermeiden. Gängige Praxis ist, dass hier definierte Richtlinien, wie Kennwortrichtlinien z.B., in einer anderen Richtlinie definiert werden, die in der Priorität angehoben wird (Microsoft macht es mit jeder Small Business Server Installation vor). So kann man mit RECREATEDEFPOL (2K) oder DCGPOFIX (2K3) die Default Richtlinien zurücksetzen und wenn man sie nicht verändert hat, ist alles wieder gut (es sei denn, man hat Exchange im Einsatz). Die beiden Default Richtlinien stellen eine Basis dar und da Microsoft empfiehlt, eher viele GPOs mit wenigen Einstellungen als wenige GPOs mit vielen Einstellungen zu verwenden, ist es übersichtlicher, die speziellen Einstellungen, die vom Standard abweichen, auch in speziellen GPOs unterzubringen ... Wie gesagt, man kann aber schon, es funktioniert beides. Hab´ auch grad noch mal ein wenig gegoogled zu diesem Thema. Einigkeit herrscht da nicht, manche sagen, es ist besser, diese GPOs nicht zu verändern, andere wiederum sagen, man kann sie verändern, wenn es um Sicherheitseinstellungen geht (der Security Configuration Wizzard ändert u.a. auch die Default Domain Controllers Policy). Ich halte mich an das Gelernte und verändere sie nicht und halte mich an die Empfehlungen von Microsoft (viele mit wenig und nicht wenig mit viel) ... :)

Okay, kannst Dich ja melden ... :)

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" Jep, Du hast recht, die 2. Frage ist doof und so nicht zu beantworten ... ;) Vielleicht ist ja auch keine spezielle Einstellung gemeint, sondern generell die Default Richtlinien, die man zwar verändern kann, aber nicht sollte ...

Öhm, die beiden sind via IPSec verbunden und über diese Strecke willst Du ein VPN aufbauen ? :suspect:

Konfiguriere mal die Freigabe so, dass dort nur Jeder berechtigt wird. Eventuelle Einschränkungen kannst Du (und solltest Du auch) in den NTFS-Berechtigungen konfigurieren. Steht beides auf JEDER, sollte man zugreifen können, ausser bei Verweigerungen oder Kontenbeschränkungen (dann ist die Meldung aber anders). Schreib doch einfach mal (meinetwegen auch sinngemäss abgeändert), welcher User in welcher Gruppe ist und welche genauen Berechtigungen wo vergeben sind. Ist das eine Domäne oder Arbeitsgruppe ?

Sowas nennt sich Access Based Enumeration (ab 2003 Server SP1), was Du Dir bei Microsoft herunterladen kannst ...

Können die User zugreifen, wenn in der Freigabe auch Jeder-Vollzugriff steht ? Du hast die User der Freigabeberechtigung zugefügt oder einer Gruppe, die in der Freigabe berechtigt wird ? Wird irgendwo verweigert ? Was für eine Fehlermeldung bekommst Du ?

Dann macht er sich da ne Freigabe, die NETLOGON heisst ... :) Hab ich mit Profilen zwar noch nicht probiert, mit Scripts funktioniert das aber ...

Schreib erstmal, wie die Berechtigungen auf Freigabe- und NTFS-Ebene sind. Hast Du eventuell Gruppenzugehörigkeiten verändert ohne dass sich die betroffenen User ab- und wieder angemeldet haben ?

Erstelle Dir ein Benutzerprofil, so wie Du es möchtest. Erstelle im NETLOGON-Share des DCs einen Ordner DEFAULT USER und kopiere dieses Profil mit Hilfe des Tools unter Arbeitsplatz (Eigenschaften) - Erweitert - Benutzerprofile dort hin (Berechtigung für Jeder). Jeder User, der sich noch nicht angemeldet hat, bekommt dann dieses nicht schreibgeschützte Profil ...

Ist der RRAS das Default Gateway der internen Clients oder ist es der Internetrouter (Watchguard X-Edge ?) ?

Du änderst im DHCP einfach die Bereichsoptionen ...

Find ich auch ziemlich frech von denen ...

SID-Änderung bei IP-Adressen Änderung ? Das ist ein DNS-Problem, deswegen dauert das so lange. Es muss kein Client aus der Domäne raus und wieder rein (wäre für mich zumindest das erste Mal) Eventuell muss auch noch das DHCP-Scope angepasst werden, damit die Clients den richtigen DNS-Server benutzen

Auf dem Server den DNS-Dienst neu starten, danach IPCONFIG /REGISTERDNS und den Anmeldedienst beenden und neu starten. Die PIX wird NICHT als 2. DNS-Server eingetragen (wenn Du ein Active Directory hast) ...

Und was soll das bringen ?

Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de

Da gibts einen guten Artikel ... How to install Small Business Server 2003 in an existing Active Directory domain

Mit eingeschränkten Gruppen (GPO) kann man das machen, es wirkt allerdings nicht sofort ...

Das machst Du mit einem SBS auch so (bin im Moment bei einem Umzug) ... Meinst Du das Transition Pack ? Wenn ja, dann ist das nicht dafür fedacht, einen SBS auf andere Hardware umzuziehen ...

Vielleicht sind ja auch alle falsch eingestellt, weil sie vomn DHCP einen falschen DNS-Server bekommen ... ;) :D Die Ausgabe von NETDIAG wäre für´s Erste hilfreicher ...