olc

Hi, ich verstehe Deine Frage nicht. DC, CA und RAS sind drei verschiedene Dinge, die aber für eine Ferneinwahl im Domänenumfeld notwendig sind. Soweit so gut. Die CA oder den RAS Server auf einem DC laufen zu lassen, ist aus Sicherheitssicht nicht empfehlenswert. Was Du aber mit Deiner Fragestellung eigentlich wissen möchtest, erschließt sich mir nicht. Vielleicht beschreibst Du Deine Anforderung ja noch einmal etwas verständlicher. ;) Viele Grüße olc

Hi, sind vielleicht irgendwelche Firewall Einstellungen auf dem Windows 7 System problematisch? Was sagt ein "dfsutil /pktflush" - danach Zugriff auf den Namespace (ggf. mit der Meldung "nicht gefunden") und ein "dfsutil /pktinfo" danach? Viele Grüße olc

Letzteres, wenn sie als "Local System" laufen. Zwar sind auch andere built-in Dienstkonten "betroffen" - diese sind jedoch von Hause aus stärker eingeschränkt, so daß die Auswirkungen ggf. geringer sind als bei "Local System". Und da sich dieses Szenario mit Sicheheit in keiner Testmatrix von MS befindet, sind die Auswirkungen auch nicht so einfach allumfänglich einzuschätzen. ;) Viele Grüße olc

Hi, kann es sein, daß zu dem Zeitpunkt die DFS Namespace Server nicht verfügbar sind? Setz zum Zeitpunkt des Fehlers einmal ein "DFSUTIL /PKTINFO" ab und prüfe, ob dort Probleme erennbar sind. Danach schau einmal, ob ein "DFSUTIL /PKTINFO" Besserung bringt. Viele Grüße olc

Hi, mach das nach Möglichkeit rückgängig, nachdem Du geprüft hast, was die Hintergründe dafür sein könnten. Wer weiß, warum das so eingerichtet wurde - ggf. sollte damit ja auch sehr, sehr schlechte Art und Weise irgend ein "Problem" umgangen werden. Das ist auf jeden Fall ein starkes Sicherheitsrisiko und sollte abgeschaltet werden. Viele Grüße olc

Hi, wo ist das von lefg angesprochene Logfile? Der Benutzer PA-VM-Server\Administrator war an dem System schon einmal angemeldet? Viele Grüße olc

Hi, wenn es nichtt drauf ist, installiere das Adminpak.msi temporär (guter Weg) oder kopiere von einem DC die Dateien certutil.exe, certcli.dll und certadm.dll auf den Client (schlechter Weg). Viele Grüße olc

Danke, Carsten. :)

Hi, dann setz das Kennwort doch einfach mittels "net user" zurück. NET USER /? Viele Grüße olc

Hi, 1. Connection --> Connect 2. Bind --> mit dem von Dir genutzten Admin User (logged on user) verbinden 3. View --> Tree --> Domäne wählen 4. Zum Pfad "CN=Policies,CN=System,DC=domain,DC=tld" navigieren Viele Grüße olc

Hi, am besten Du gehst die Punkte noch einmal durch, die wir hier in dem Thread besprochen hatten... Viele Grüße olc

Hi, Du klickst Dich mit LDP in dem oben genannten Pfad "CN=Policies,CN=System,DC=domain,DC=tld" durch die GPO GUIDs und schaust nach dem Attribut "displayName". Wenn Du auf einer GPO keinen Zugriff auf das Attribut / andere Attribute hast, dann hast Du vermutlich Deine Problempolicy gefunden. Viele Grüße olc

Hi toasti, freut mich, daß es nun funktioniert. :) Die Rollentrennung wird erzwungen, so daß Du nur genau eine Rolle nutzen kannst. Du kannst zwar festlegen, was die jeweilige Rolle kann, jedoch kann ein Nutzer niemals mehr als eine Rolle ausfüllen. Versuchst Du es trotzdem, werden alle Aktionen geblockt. Das ist hard-coded und nicht per ACL änderbar, soweit ich weiß. Viele Grüße olc

Hi, nutze LDP.exe, navigiere zum Contaienr CN=Policies,CN=System,DC=domain,DC=tld, suche die GUID der betroffenen GPO und schaue Dir den Security Descriptor an. Dort kannst Du mittels LDP die Berechtigung wieder gerade biegen. Viele Grüße olc

Hi, hast Du vielleicht die CA Rollentrennung aktiviert? Viele Grüße olc

Hi, wenn Du nur das Zertifikat exportiert hast, kann es nicht funktionieren. In dem Exportdialog mußt Du die Option markieren, die angibt, daß der private Schlüssel ebenso exportiert werden soll. EFS und Truecrypt sind vollkommen unterschiedliche Baustellen. Mit Truecrypt wirst Du im Normalfall ganze Container oder Laufwertke verschlüsseln, EFS arbeitet dateibasiert. Du mußt DIch also erst einmal entscheiden, was Du für konkrete Anforderungen an eine Verschlüsselungslösung hast. Danach macht es erst Sinn sich für den einen oder anderen Weg zu entscheiden. Wenn Du eine Enterprise CA hast, die EFS Zertifikate von dieser CA ausgerollt wurden und auch das "Autoenrollment" mit allen GPO-Optionen aktiviert ist, dann werden im Normalfall Zertifikate automatisch erneuert. Andernfalls mußt Du das manuell durchführen. Viele Grüße olc

Hi Torsten, schau einmal hier hinein: John Policelli's Blog Blog Archive Group Policy Cmdlets in Windows PowerShell Viele Grüße olc

Hi, hast Du nur das Zertifikat imporiert oder das Zertifikat inkl. des privaten Schlüssels? Letzteres ist notwendig (etwa als PFX-Datei). Wenn zu Beginn die Delegierung auf dem Computerkonto des Fileservers noch nicht aktiv war, kannst Du auch keine Daten auf dem Fileserver remote verschlüsselt haben. Bist Du Dir sicher, daß Du die Dateien remote abgelegt hast? Viele Grüße olc

Hi, schau Dir einmal die Ausgabe von "EFSDump" in einem verschlüsselten Verzeichnis an: EFSDump Danach führst Du als betroffener Benutzer einmal den Befehl "cerutil -v -store -user MY" aus und prüfst, ob ein Zertifikat mit dem Thumbprint des EFSDump Exports vorliegt. Falls nicht, muß man weiter schauen... Hast Du es einmal mit dem lokalen "Administrator" versucht? Viele Grüße olc

Hi cakruege, willkommen an Board, :) zu der ersten Frage: Ja, das ist dann "Hub and Spoke". Man sollte sich dabei nur überlegen, wie lange die "Durchlaufzeiten" uber den / die Hubs dann tatsächlich sind und welche Daten dort lagern. bestenfalls also "read-only". Bei Schreibzugriffen auf allen Seiten hast Du bald ein nicht mehr zu überblickendes Replicated Folder mit Konflikten etc. Zu Frage 2: Wenn ich mich nicht irre, geht das mit EFS nicht. Mit anderen Verschlüsselungsmethoden könnte es funktionieren (etwa PGP). Aber einmal anders gefragt: Solltet Ihr nicht die Admins in "F" austauschen, wenn Ihr ihnen nicht vertraut? Andernfalls sehe ich keinen Grund, auf "F" den zugriff für Admins und SYSTEM nicht zu zulassen. Viele Grüße olc

Hi, Teilhaber hin oder her - es kann immer Streit geben. Außerdem möchte ich bezweifeln, daß das Wohnzimmer eines Mitarbeiter der richtige und vor allen Dingen "sichere" Platz ist, an dem man solche Backups lagern sollte. Und sag jetzt bitte nicht "Ist ja nicht im Wohnzimmer, sondern im Keller". ;) Wie dem auch sei - ich wollte hier keine Grundsatzdiskussion starten, sondern nur einen Hinweis auf diesen Missstand geben. :) Viele Grüße olc

Hi, die SID "S-1-5-18" ist das SYSTEM. Auf einem DC natürlich "fetzig". Gibt es irgend welche nicht Standard-Dienste auf dem DC, die mit "NT AUTHORITY\SYSTEM" Rechten laufen? Sind irgendwelche Gruppenrichtlinien diesbezüglich konfiguriert weiß gerade nicht aus dem Kopf, ob es dazu Richtlinien gibt)? Geschieht die Änderung unter Umständen ziemlich genau alle 5 Minuten? Viele Grüße olc

Hi, Du reichst das auf Deiner CA ein. Also Rechtsklick auf den CA Namen im CA Manager (MMC) --> Neu --> dort den Request dann einkippen udn ausstellen. Viele Grüße olc

Alles klar, danke für die Korrektur. :) Viele Grüße olc

Hi, kann es sein, daß für die DFS Laufwerke Offline Files / CSC aktiviert ist? Wenn ich mich recht entsinne, ist das nicht supported - genau aus solchen Gründen. Viele Grüße olc