IThome

Hm, man kann schon ein Bild auf dem Terminalserver anzeigen lassen (habe Active Desktop aktiviert und ein JPG-Bild genommen). Was für ein Bild soll das denn sein ? Aus Performancegründen schalte ich sowas eher ab ...

Dass Du das nicht verstehst, ist eigentlich ganz klar. Den Fehler habe ich gemacht, ich habe den 2. SBS vollkommen unter den Tisch fallen lassen :rolleyes:, bin von einem ausgegangen, der auch VPN-Server ist (schade eigentlich, das wäre schön einfach gewesen :D ). So, nochmal von vorne. Wo wird die VPN-Verbindung terminiert, macht das der Netgear oder sollen das die oder einer der SBS-Server machen ?

Such doch einfach nach *.MSC, da gibt´s ne Menge von ...

Eine Ebene höher ? Der TS ist in einer OU und dort ist das Loopback-GPO aktiv ? Und wo ist das GPO mit den Bildschirmeinstellungen gelinkt ? Die Loopbackeinstellung Ersetzen ersetzt (wie der Name schon sagt) die Einstellungen in der Benutzerkonfiguration, die der User normalerweise bekommt. Daher klappt es wohl, wenn sie sich an ihren PCs anmelden und am Terminalserver nicht (weil im Loopback-GPO diese Einstellungen nicht vorhanden sind) .

Du öffnest die Gruppenrichtlinienverwaltung (GPMC.MSC), klickst mit rechts auf die OU, in der sich die Benutzer befinden und erzeugst/verknüpfst ein neues Gruppenrichtlinienobjekt. Danach rechtsklick auf die neu erstellte Verknüpfung - Bearbeiten und die oben genannten Einstellungen vornehmen ...

Du könntest Dir 2 globale Gruppen erstellen (eine für Netz 1, eine für Netz 2), in denen Du die entsprechenden User zu Mitgliedern machst. Dann erzeugst Du Dir 2 RAS-Richtlinien, die als Richtlinienbedingung jeweils eine der beiden Gruppen haben. Innerhalb der RAS-Richtlinie definierst Du dann eingehende Filter. Voraussetzung dafür ist, dass die Domäne mindestens im Betriebsmodus Windows 2000 pur ist edit: ähm, ich bin jetzt davon ausgegangen, dass der Server die VPN-Verbindungen terminiert, ist das überhaupt so ?

Du erzeugst eine Richtlinie und stellst es unter Benutzerkonfiguration - Windows-Einstellungen - Internet Explorer Wartung - Verbindung - Proxyeinstellung ein und aktivierst Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Internet Explorer - "Änderung der Proxyeinstellungen deaktivieren"

Ist eine Loopbackverarbeitungsrichtlinie aktiv, die auf Ersetzen konfiguriert ist ?

Dir auch, ich bin mindestens genauso gespannt wie Du ... :) Erstelle und verknüpfe Dir morgen ein neues Objekt in der Domain Controllers OU und schiebe es nach oben (mit den Pfeilen) ...

Installiere Dir mal die Gruppenrichtlinienverwaltung (wenn sie noch nicht drauf ist, versuche mal unter Ausführen GPMC.MSC einzugeben). Die GPMC bekommst Du hier ... Downloaddetails: Gruppenrichtlinien-Verwaltungskonsole mit SP1

Hast Du die Gruppenrichtlinienverwaltung installiert oder bearbeitest Du die Gruppenrichtlinien via Active Directory Benutzer und Computer ?

Das wäre der nächste Rat gewesen, Neustart ... :) denn ... Windows lebt ! :D

Es funktioniert natürlich auch in der Default-Richtlinie, man sollte es aber vermeiden, die Default-Richtlinien zu ändern . Es bleibt auch übersichtlicher und Du kannst, wenn Du die Einstellungen nicht mehr brauchst oder sie nicht funktionieren, das GPO einfach nur entfernen ...

Wenn Du nach SYSTEM.ADM suchst, hast Du mehrere Dateien in SYSVOL ?

Erzeuge Dir in der Domain Controllers OU eine neue Richtlinie und navigiere zu Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen Dort suchst Du die Werte Microsoft Netzwerk (Server): Kommunikation digital signieren (immer) Microsoft Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) und deaktivierst beide (Serverdienst neu starten oder den ganzen Server) Netzwerksicherheit: LAN-Manager Authentifizierungsebene diesen Wert auf LM und NTLM Antworten senden Diese Richtlinie sollte an erster Position stehen (nach oben schieben), also eine höhere Priorität als die Default Domain Controllers Policy haben. Danach ein GPUPDATE /FORCE und wieder probieren. Ich würde erst die ersten beiden Einstellungen probieren, wenn das nicht klappt, die dritte zufügen und wieder probieren ... edit: eventuell auch noch Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) deaktivieren.

Achso, Du meinst die Firewall-Policy , nicht das Firewall-Profil :D Hm, die Einstellungen, die in SYSTEM.ADM vorhanden sind, werden überall nicht angezeigt. So als ob diese Datei gar nicht vorhanden ist (oder beim Starten war). Ich schmeiss mal die Maschine an ...

Ähm, unter dem Firewall-Profil ? Was hast Du wie gemacht ? Welche Vorlagen sind jetzt geladen ?

Hallo und herzlich willkommen, ich denke nicht, dass es viele Leute gibt, die 3.51 Maschinen in eine 2003 Domäne integrieren wollen.:D Eventuell klappt es , wenn Du die SMB-Signierung abschaltest und die Sicherheitsoptionen (Netzwerksicherheit: LAN-Manager Authentifizierungsebene) anpasst. NetBIOS muss natürlich auch aktiv sein, ein WINS-Dienst würde auch helfen. Das wäre jedenfalls das, was ich probieren würde ... Gruss Sven

Hier sind alle DLLs, die registriert sein müssen ... Some Group Policy areas are missing from the Group Policy Editor Allerdings werden bei nicht registrierter GPTEXT.DLL gar keine Administrativen Vorlagen angezeigt. Schau mal, ob die SYSTEM.ADM als Vorlage geladen ist (rechtsklick auf Administrative Vorlagen - Vorlagen hinzufügen/entfernen)

Hallo und herzlich willkommen, schau mal hier ... Gruppenrichtlinien – Handbuch für die Problembehebung (Schnellkorrekturen) Gruss Sven

Du erstellst dort unter Neu den Domänennamen der gegenüberliegenden Seite und trägst die dazugehörige IP-Adresse des DNS-Servers der Gegenseite ein, sonst leitet der Server alles, was er nicht kennt, dorthin (Alle anderen DNS-Domänen)

Du kannst bedingte Weiterleitungen (2003) konfigurieren, die auf den jeweils anderen zeigen. Es funktioniert auch mit sekundären Zonen oder Stubzonen (2003) ...

Er wird nicht als Benutzer behandelt, er befindet sich nur indirekt in einer Gruppe, der die Berechtigung verweigert wird ... ;) Mit Verweigerungen solltest Du vorsichtig und sparsam sein und besser nicht auf Gruppen wie JEDER z.B. anwenden. Entweder konfigurierst Du Gruppenrichtlinien (Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows-Explorer) oder benutzt HIDECALC

Das liegt daran, dass in der Gruppe Benutzer auch die Gruppe Authentifizierte Benutzer und Interaktiv enthalten sind, zu dessen Mitgliedern auch die Administratoren gehören (eigentlich alle ausser Gast und Anonymous). Zur Gruppe Interaktiv zählt jeder, der sich lokal anmeldet. Da eine Verweigerung vorrangig ist (nicht immer, hier aber schon), wirst Du auch als Administrator zurückgewiesen ... Das Ziel erreichst Du, in dem Du nur den Administratoren die Berechtigung erteilst und niemandem sonst ...

Mit NETDOM REMOVE kann man doch einen Client aus der Domäne nehmen und mit JOIN wieder zufügen ?!