IThome

1. Scream 1 2. Scream 2 3. Scream 3 Die Reihenfolge ist allerdings frei wählbar, was für ein grauenhaftes Zeuch ...

Das regelt man über die Sicherheitsfilterung im GPO (Domänenadmins - Gruppenrichtlinie übernehmen - Verweigern). Verweigere aber auf nicht das Lesen , nur das Übernehmen ...

Am besten erstmal die Ausgabe von IPCONFIG /ALL von dem Problemgerät posten ...

Oder die Administratoren aus dem Benutzerrecht "Erzwingen des Herunterfahrens von einem Remotesystem aus" herausnehmen.

Doppelklick auf Namenserver (NS) , entfernen und Replikation abwarten (vielleicht habe ich es aber auch falsch verstanden) ...

Kennwortrichtlinien gelten für ALLE Domänenbenutzer gleich, auf Container kann man keine Kennwortrichtlinien anwenden (zumindest nicht für Domänenkonten). Du kannst allerdings im Benutzerkonto selbst definieren, dass das Kennwort nie abläuft. Die Warnung, dass das Kennwort abläuft, kommt wahrscheinlich von einer Gruppenrichtlinie. Diese Einstellung steht in der Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - "Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern". Also RSOP.MSC ausführen, nachsehen,aus welcher Richtlinie die Einstellung kommt und dann auf 0 stellen. Du kannst Dir 2 OUs erstellen, eine für die User mit dem Bildschirmschonerkennwort und eine für die ohne Bildschirmschonerkennwort und dann die entsprechenden Konten dorthin verschieben. In der ersten OU konfigurierst Du in der Benutzerkonfiguration der Richtlinie, dass ein Kennwort eingegeben werden muss bei Reaktivierung, in der zweiten eben nicht. Du kannst auch alle User in einer OU lassen, eine Gruppe entweder für die User, die das Kennwort eingeben müssen oder eine Gruppe für die, die das Kennwort nicht eingeben müssen, erstellen. In diese Gruppe kommen die entsprechenden User, Du erstellst eine Richtlinie, die zu den Mitgliedern der Gruppe passt und arbeitest mit der Sicherheitsfilterung des GPOs.

Sophos ? Sophos support knowledgebase

Welche CLSID ist es ?

Off-Topic: Oha, nur 7 Punkte erreicht, das ist aber echt wenig ... ;) :D

Du hast also eine Forward-Lookupzone eingerichtet, die "www.burg12.de" heisst und anschliessend einen A-Eintrag ohne Namen mit der IP-Adresse 10.0.0.2 ? Es steht dort also ein Hosteintrag "identisch mit übergeordnetem Ordner" mit der IP-Adresse ?

Warum nicht ? Ich mache das hier mit SP1 Maschinen und das klappt wunderbar, mit einem R2 habe ich es noch nicht probiert ...

Benutzerkonfiguration - Administrative Einstellungen - Windows-Komponenten - Windows-Explorer - "Windows + X Abkürzungstasten deaktivieren" Weiss gar nicht, ob es für das Ausblenden der Verwaltung eine Richtlinie gibt, Du kannst es aber auch mit einem vorkonfigurierten Default User Profil und einer Richtlinie, die die Änderung des Startmenüs unterbindet, erreichen ...

Everyone enthält nicht mehr per Default den Anonymous, Gäste aber schon. Authenticated Users enthält keine Gäste und Anonymous. Oder liege ich da jetzt falsch ?

Ereignisanzeige ?

Nur beim Verschieben innerhalb einer Partition bleiben die Berechtigungen erhalten (das Objekt wird eigentlich gar nicht "bewegt"), in allen anderen Fällen wird die Berechtigung des Zielordners geerbt ...

Vielleicht replizieren die ja jetzt auch wieder ... :D

Entweder den Anmeldedienst stoppen und starten oder mit dem Supporttool NETDIAG und dem Parameter /FIX. Der bevorzugte DNS-Server zeigt dann bei beiden DCs auf die Adresse des ersten DCs (der ja wahrscheinlich den DNS-Server installiert hat) ...

Wenn es nur mit dem Usernamen bezeichnet wird, existiert auf dem Rechner noch kein lokales Profil mit dem Namen des Benutzers. Wie sind denn die Berechtigungen des Profilordners auf dem Client ? Welche Gäste hast Du kontrolliert, auf dem XP-Client ? Kannst Du die Dateien auf dem Desktop erzeugen, sie sind aber nach dem Abmelden wieder weg ? Oder kannst Du sie schon nicht anlegen ?

Ja, das geht http://www.mcseboard.de/windows-forum-ms-backoffice-31/gpo-datentraeger-ausblenden-97286.html?highlight=hidecalc

Das wäre denkbar, Du kannst aber auch in der TS-OU die Vererbung deaktivieren. Der Weg über eine gute OU-Struktur ist aber besser ...

Vielleicht ja ganz einfach, ist der User Mitglied der Gruppe "Gäste", direkt oder indirekt, auf dem XP-Client ? Oder ein verpflichtendes Profil (NTUSER.MAN) ? Oder ein servergespeichertes Profil und eine gesetzte Richtlinie "Propagierung von Änderungen an servergespeicherten Profilen auf den Server verhindern" ?

Es ist vielleicht gut zu wissen, warum sich User an einem Server anmelden. Eventuell lässt sich sowas mit Gruppenzugehörigkeiten und Anpassen von Benutzerrechten wie "Lokale Anmeldung zulassen" ... erreichen

Erstmal vorab, ist Loopback auf Ersetzen gestellt, werden die normalerweise angewendeten Benutzereinstellungen auch überschrieben, wenn in der Loopbackpolicy keine Einstellungen vorgenommen werden, unter bestimmten Vorraussetzungen, wie unten beschrieben (mein Fehler). So, folgende Umgebung: 1 SBS, 1 TS, 1 XP. Eine OU TERMINALSERVER, eine OU BENUTZER, beide befinden sich unterhalb der Domäne. In der Terminalserver OU befindet sich das Computerkonto des TS, in der OU Benutzer alle Benutzerkonten. Es existieren unter anderem 2 GPOs: TS-GPO (Loopbackeinstellung auf Ersetzen, in der Benutzerkonfiguration im Startmenü Suchen ausgeblendet); USER-GPO (in der Benutzerkonfiguration Hilfe und Dokumente im Startmenü ausgeblendet). In den folgenden 3 Tests ist das TS-GPO mit der OU TERMINALSERVER verknüpft. 1. Das GPO USER-GPO ist mit der Domäne verknüpft: Es gelten die Einstellungen beider GPOs (Suchen, Hilfe und Dokumente sind ausgeblendet) 2. Das GPO USER-GPO ist mit dem Standort verknüpft: Es gelten die Einstellungen beider GPOs (Suchen, Hilfe und Dokumente sind ausgeblendet) 3. Das GPO USER-GPO ist mit der OU BENUTZER verknüpft: Es gelten nur die Einstellungen vom TS-GPO (Suchen ist ausgeblendet) Du musst also nur das GPO, in denen die Einstellungen der Benutzer enthalten sind, die angewendet werden sollen, wenn sie sich an ihren lokalen Rechnern anmelden, in die OU linken, in denen sich diese Benutzerkonten befinden und nicht in die Domäne oder den Standort ...

Mir ist da grad was aufgefallen, ich teste gerade ...

Was soll die Loopback-Richtlinie denn ersetzen, wenn in ihr nichts konfiguriert ist ?