morro

Hi Nils,

erstmal vielen Dank für deine Mühe. Ja das Gefühl hab ich auch. Wenn ich mir die Sicherheitseinstellungen anschauen von einem User der die Berechtigungen nicht hat dann unter erweitert ist der Haken nicht drin für"Berechtigungen übergeordneter Objekte, sofern vererbar, über alle untergeordneten Objekte verbreiten. Diese Objekte inklusive den hier definierten Einträgen"

Meine Frage natürlich jetzt , warum ist der deaktivert manuell deaktiviert habich den definitiv nicht?

Danke

Hoffe mein Problem ist etwas deutlicher geworden?

Moin,

also ich hab das Problem das Berechtigungen nicht auf alle Objekte vererbt werden! Beispiel: Folgende Struktur OUStandort und darunter liegen verschiedene OUs(Abteilungen) OUFibu OUGL usw.

Wenn ich jetzt auf OUStandort ein Recht hinterlege wird diese nicht auf alle OUs bzw. nicht auf alle Objekte angewendet. User1 in OUFibu hat das Recht bekommen aber nicht USer2 in OUFibu. Wie kann sowas passieren?

Danke nochmal

LG

Hallo zusammen,

mir ist gerade aufgefallen, dass nicht alle Objekte die die übergeordneten Berechtigungen vererbet bekommen haben? Wie kann das sein!? Bei manchen funktoniert und bei manchen nicht?

Hab erstmal an AdminSDHolder gedacht, aber das sind alles normale Benutzer die auch in keiner Admingruppe bzw geschütze Gruppe sind.

Bsp. hab ne neue Gruppe erstellt "ADchange" diese auf eine OU deligiert in einer unter OU hat der User1 die aber User2 nicht, dass ist ganz unterschiedlich!?

Kann mir da jemand weiterhelfen bzw. ein Tipp geben?

Vielen Dank schonmal.

PS: Es handelt sich um Windows Server 2003 R2 SP2

Wie NorbertFE schon sagt, mehr infos würden helfen. Aber ich sag jetzt einfachmal ADMT und USMT:-)....mehr infos :)

Welche Berechtiungen hat der Admin den du nutzt fürs adprep

Liegen evtl logdateien in \System32\Debug\Adprep\Logs

Somit würde ich sagen der PDC1 ist auch Schemamaster, oder lieg ich falsch?

es gibt auch eine abfrage

NETDOM QUERY FSMO oder dsquery server -hasfsmo schema

Ok wie sehe ich das welcher das ist?

im forum suchen oder googlen/bingen....

Hi,

wie genau startest du das Adprep, syntax? Mit welchen Berechtiungen startest du adprep? Startest du es auf dem DC der die FSMO rollen hält? Gibts eine Fehlermeldung bei adprep? Hast du dir die Logdatei des adprep mal angeschaut?

Gruß

Edit: Die Links sollten dir auch weiterhelfen: http://blog.dikmenoglu.de/Hinweise+Zu+ADPREP.aspx und http://blog.dikmenoglu.de/Das+Active+Directory+Preparation+Tool+ADPREP.aspx

könntest auch einfach mal wireshark laufen lassen währenddessen :-)

Dann müssteste mal schauen ob du im Mgmt Tool Berechtigungen an AD Gruppen delegieren kannst.

Hallo,

standardmäßig hat jeder Lesezugriff aufs AD. Wenn du ne AD-Replikation durchführen willst, wird das ganze etwas komplizierter und musst das Recht neu einer Gruppe delegieren.

LG

Danke für den Link sunny61.

 

Zu dem anderen Problem (ja, es ist eins):

 

Microsoft empfielt in

diesem Artikel: Empfehlungen für das Zuweisen von Berechtigungen für Active Directory-Objekte die Zugriffsberechtigungen nicht zu ändern. Die Aussage finde ich persöhnlich recht schwammig, aber nun gut. Aus welchem grund haben normale user denn lese Berechtigungen?

 

Klar, im grunde genommen ist das relativ egal, wenn der Administrator alles richtig gemacht hat. Aber sind wir mal ehrlich, jeder macht Fehler. Und es ist nunmal so das es einfacher ist aus einem Gefängnis auszubrechen wenn man einen Gebäudeplan hat als wenn nicht. In jedem System gibt es schwachstellen, das wurde mitlerweile oft genug unter beweis gestellt.

 

Also was für mich wirklich noch interessant ist, warum ein user leseberechtigung auf die Objekte hat, und was für nebenwirkungen es haben könnte wenn diese gesperrt werden. (keine sorge, hier geht es erstmal um einen Workaround - keine Umsetzung)

 

Dank und Gruß

 

Xantos

Hi Xantos, schon was hescheites gefunden dazu?

LG

Habe mittlerweile herausgefunden, das es sich um ein Zertifikat handelt das in Java importiert wird. Lässt sich das irgendwie zentral steuern das Zert zu imporiteren? Gibt es da ein adm-template oder ähnliches?

Hallo,

meine User sollen eine einer Terminalanwendung eine Webanwendung über IE8 starten. Das klappt auch soweit alles ganz gut. Einzige Problem was ich habe ist, ich bekomme ein Fenster "Warnung-Sicherheit" Die digitale Signatur der Anwendung wurde verifiziert. Möchten Sie die Anwendung ausführen? Inhalten dieses Urheber immer vertrauen ist Standardmäßig schon ein Haken die müssten jetzt nur noch auf Ausführen klicken! Gibt ne Möglichkeit über GPO das die automatisch ausgeführt wird? Die Meldung kommt übrigens von Java. Hoffe das reicht an Infos.

Danke vorab.

LG

Moin,

willkommen hier am Board. Hast du dir mal die Ereignislogs anzeigen lassen vom client/server? Und bist du dir sicher das du dich an dem Server anmelden willst bei WIN 7 und nicht lokal am client? Ansonsten probier mal ob du den server pingen kannst

Gruß

Ach bei der fernuni hagen kann man kostenlos studieren?

Moin,

hat soweit geklappt, nur das es

DC=ForestDNSZones,DC=dom,DC=tld ist ohne configuration selbe gilt für DomainDNSZones.

Gruß

Moin,

danke für deine Mühe, werde es gleich mal probieren hatte es auch mal auf die anderen Partitionen vergeben hatte aber die dnszones vergessen....melde mich später nochmal

LG

Keiner noch ne Idee, was man probieren könnte? :)

Moin Bluenote,

und herzlich willkommen an Board ;)

Ich denke unter diesemLink findeste genug Informationen, die dir weiter helfen! LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Gruß

Moin,

haben dem User im ADSIedit auf configuration alle Berechtiungen die mit Replikation zu tun haben gegeben. (5) Als Fehler bekomme ich immer noch, Beim versuch den Namneskontext "DomainDnsZones.dom.tld" von DC "DC" nach DC "DC2" zu syncen, ist der folgende fehler aufgetretetn: Der Replikationszugriff wurde verweigert. Dieser vorgang wird nich fortgesetzt.

Nabend,

werde es morgen mal direkt nochmal testen und ne Rückmeldung geben.

Danke schonmal für die nette Unterstützung :-)

Ola Yusuf,

ich hab dem user bzw. die gruppe in der der USer ist im ADSI Edit auf configuration und Schema testweise vollzugriff erteilt, ohne erfolg! Auf Domain hat er ändern.