Operator

Hi Phoenix, hier mein Lösungansatz (ungetestet): - In der OU, wo sich deine Computerkonten befinden, erstelle eine weitere OU, wo Du die drei Computer reinschiebst, an denen sich die User nicht anmelden dürfen sollen. - Erstelle eine domainglobale Gruppe "User Anmeldebeschränkung" und packe alle User rein, die sich an den PC's nicht anmelden dürfen soll (bzw. eine andere Gruppe, die die User schon enthält) - In der neuen OU erstellst Du eine Richtlinie und konfigurierst unter Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Zuweisen von Benutzerrechten den Punkt Lokal anmelden verweigern (so heißt der zumindest in einer W2k-Domain, bei W2k3 war das glaub ich irgendwas mit Interaktiv: Anmeldung verweigern) Dort trägst Du jetzt die Gruppe ein, die alle Konten enthält, die sich nicht anmelden können sollen. Nachdem sich die Server die aktuelle Richtlinie gezogen haben, sollte für die User keine Anmeldung mehr möglich sein. Gruß Andre PS: Batch ist in so einem Fall immer der falsche Ansatz. Wenn das Login-Script ausgeführt wird, ist die eigentliche Authorisierung am Rechner schon gelaufen. Meine Variante blockt vorher schon.

Hi, bevor Du unnötige Pausen einbaust... versuchs mal mit "call" vor deinen "objshl.Run" Zeilen. Dann wartet er bis der Befehl abgearbeitet ist.... Sub sollte in deinem Fall reichen... Unterschied Sub und Function: Sub arbeitet ein paar Zeilen Code ab, Function auch, aber liefert ein Ergebnis zurück. Gruß Andre

Folgende Zeile sagt eigentlich alles: Zum Zeitpunkt der Verarbeitung ist kein DNS verfügbar, um die Anfrage nach der Domain zu beantworten. Das kann entweder am DNS-Server liegen, an den DNS-Client Einstellungen am Server oder daran, daß das Netzwerk noch nicht oben ist. Da du selbst die ersten beiden Fälle ausschließt (w2k läuft, einträge und lookup auf domain.de funktionieren), denke ich, daß das Netzwerk noch nicht verfügbar ist. Weitere Einfälle: - Spanning-Tree auf Cisco Switchen für die Ports aktiv? Wenn die Karte sich initialisiert lauscht der Switch erst 20 Sekunden auf dem Port, um Loops auszuschließen. In der Zeit kann es schon zum TimeOut kommen. Falls ja Abschalten mit "configure terminal, interface fa0/x, spanning-tree portfast", wobei x der Port ist. - Registry Key ausprobiert? (siehe MS Link von mir) Gruß Andre

Mit welcher Begründung ist das denn eine Vorgabe? Einen wirklichen Vorteil bringt das ja nicht. Vor allem nicht, wenn sowieso keine Anmeldung möglich sein soll, wenn der Server down ist. Hak in der Richtung doch noch mal nach und teste gleichzeitig, obs denn ansonsten deinen Anforderungen entsprechen würde. Andre

Nochmal: Treiber mal getauscht?

Die Berechtigungen für den Teil der Registry hat nur SYSTEM. An deiner Stelle würde ich da auch nicht so ohne weiteres mit rumspielen. (Wer weiß, ob Windows nicht vielleicht eine Anmeldnug verhindert, nachdem die Rechte nicht mehr exklusiv SYSTEM gehören). Versuchs mal mit der Lösung von Eyeswide und implementiere servergespeicherte Profile in Kombination mit einer Richtlinie, die nach der Abmeldung den Profilordner wieder löscht. Gruß Andre

Hi, zu den bereits geschilderten Problemlösungen hätte ich noch 2 hinzuzufügen: - DNS Server ist auch wirklich der DNS-Server der Active Directory Domäne? - http://support.microsoft.com/default.aspx?scid=kb;en-us;840669 Zu letzterem: Den genannten Registry Key musste ich bei älteren Treiberversionen von Marvell Yukon Netzwerkkarten setzen, damit meine Richtlinien angewandt wurden. Den genannten Patch brauchst Du bei XPSP2 nicht installieren. Eine neue Version des Treibers hat dann aber auch ohne den Key funktioniert. Also: Mal aktuellen NIC-Treiber installiert? Gruß Andre

Hi, spontane Vorteile, die Dir Citrix bietet: - Echtes Load-Balancing (nicht nur User, sondern z.B. auch Serverauslastung) - TS-inkompatible Anwendungen können seit Presentation Server 4 virtualisiert werden, so daß z.B. auch ein Office 97 & 2000 parallel ausführbar wären - Softwareverteilung von MSI-Dateien bzw. durch Citrix Packager erstellte Installationspakete (Packager ist im Lieferumfang enthalten) lassen sich auf ausgewählte Server automatisch installieren (verteilen) - Das ICA Protokoll benötigt wesentlich weniger Bandbreite, was sich besonders auf WAN Strecken auszahlt - Mit PS4 kann man Programme veröffentlichen, die der User über einen Client (Program Neighborhood) ausführen kann, wobei natürlich Load Balancing zum Einsatz kommt. Beim Anwender ist dann kein Fenster mit dem Server-Desktop offen, sondern nur die Applikation. Also wäre sie lokal geöffnet. Ist ein Sicherheitsvorteil, da dem User weniger Möglichkeiten bleiben den Server zu manipulieren. - Anwendungen lassen sich pro User/Gruppe veröffentlichen und einer jewissen Menge Servern zuteilen, die diese dann ausführen. - Servermanagement ist wesentlich besser als beim reinen TS (ist zumindest meine Meinung). - Servermonitoring mit Alerting via SMS/eMail etc. integriert - Reports über Serverauslastung möglich (Stichwort: Serversizing, Wachstumsplanung) Das mal für den Anfang :) Mehr findest Du bestimmt noch via google.de Meine Favorites was Citrix angeht sind citrix4ge.de und brianmadden.com Gruß Andre

Du musst natürlich die Security Logs aller DCs auswerten, um alle Anmeldungen zu erhalten...

Hi, Wenn Du keinen großen Funktionsumfang benötigst, warum reicht Dir dann NT Backup nicht? Was fehlt Dir? Ist kostenlos und sichern auf DAT Streamern... Andere kostenlose Varianten sind mir leider nicht bekannt. Gruß Andre

So, komme gerade frisch aus dem Doppelposting und mach hier einfach mal weiter, gell Phoenix? Wenn die Logon-Daten mal drin sind bleiben die auch gecached... nur weitere User werden jetzt nicht mehr zwischengespeichert. Die Daten werden in HKLM\SECURITY\CACHE\NL$n zwischengespeichert, wobei n standardmäßig eine Zahl zwischen 1 und 10 ist. Ein Admin hat darauf jedoch keinen Zugriff, so daß Du erst die Berechtigungen ändern müsstest. Gruß Andre

Hi freak, mir ist keine Möglichkeit bekannt diese gecachten Anmeldedaten in einer laufenden Sitzung wieder zu löschen. Hab auch gerade noch mal ne Runde gegoogled und nix dazu gefunden. Es gibt einen Workaround, der Dir vielleicht ein wenig hilft. Man kann Windows nämlich überlisten, wenn man anstatt des Namen des Rechners einfach auf die IP-Adresse verbindet. Für Windows sind das dann 2 unterschiedliche Hosts, was die Anmeldung angeht. Reicht ja oft schon mal, wenn man nur schnell mit nem anderen Konto verbinden will. \\192.168.1.1\freigabe statt \\server1\freigabe wäre ein Beispiel dafür. Was auch noch geht ist die Verbindung zum Server komplett zu trennen net use \\server1 /d und erneut zu verbinden. Dann dürfen aber auch keine Laufwerke mehr so verbunden sein. Die Anmeldedaten sind zwar jetzt immer noch gecached, aber du kannst via net use x: \\server1\freigabe /username:user /password:pass einen anderen Benutzer angeben. Gruß Andre

Hi, willkommen an Board. http://www.google.de ist dein Freund. Sorry, aber mehr würde die meisten hier im Forum auch nicht machen und Euch die Arbeit abnehmen werde ich auch nicht :) Ich denke, daß ihr für KfB-spezifische Sachen im falschen Forum gelandet seit. Es sei denn einer der Mitleser hier, kennt sich da detaillierter aus... Aber bevor ich lange auf Antworten warten würde, würd ich einfach googlen. Schönen sonnigen Tag noch :) Andre

Hi, das kannst Du in der "Default Domain Policy" festlegen. Im Prinzip sagst Du deinen Clients dann, daß eine Anmeldung ohne Domain-Controller basierend auf gecacheten Anmeldedaten nicht möglich sein soll. Zu finden unter: Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien/Sicherheitsoptionen den Punkt Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen auf 0 setzen. Gruß Andre

Hi, deine Frage ist ein wenig schwammig. Mit Remote kann alles mögliche gemeint sein. Ich gehe mal davon aus, daß Du Remote Desktop meinst. Dafür gibt es das Linux Paket rdesktop. Vielleicht ist es ja schon bei Deiner Installation dabei. Ansonsten bekommst Du es unter http://www.rdesktop.org Eine Alternative ist VNC. Auf dem Server muss hierzu der entsprechende Dienst installiert werden. Mit dem VNCViewer kannst Du dann auf die Console des Servers schauen. Ist allerdings nur für die Verwaltung interessant und nicht für den Benutzerzugriff, da keine virtuelle Sitzung erstellt wird, sondern wie gesagt auf die Consolensitzung zugegriffen wird. Gruß Andre

Willst Du wirklich die komplette Benutzerdatenbank (sprich das Active Directory) auf deinem Fileserver replizieren? Oder nur die Benutzerkonten für die Vergabe von Berechtigungen nutzen. Das ist ein kleiner aber feiner Unterschied. In deinem Fall reicht es aus den Server zum Mitglied deiner Domäne zu machen (via Eigenschaften von Arbeitsplatz / Computername / Ändern-Button). Dort den DNS Namen der AD-Domain eintragen und fertig. Wenn das nicht funktioniert, überprüfe mal, ob der DNS-Server der Domäne am Fileserver eingetragen ist. Nach dem erforderlichen Neustart, kannst Du Dich statt lokal in der Domäne anmelden (für den Anfang z.B. mit dem Domänen-Admin). Auf deine Freigaben kannst Du dann Berechtigungen setzen, die man in der Regel so festsetzt. Deine Benutzer packst Du in Benutzergruppen vom Typ Global (z.B. User1 in Benutzergruppe1). Zusätzlich erstellst Du domänen-lokale Gruppen für jede Freigabe (Ressourcengruppen), die Du z.B. "Freigabe public" nennen kannst. Der Freigabe auf dem Fileserver gibst Du jetzt den Zugriff auf die Ressourcengruppe "Freigabe public" (ich wähle den Gruppennamen immer in Anlehnung an den Freigabenamen und füge weitere Details in das Beschreibungsfeld der Gruppe ein, wie z.B. Name des Server, Zweck etc.). Wo in den meisten Fällen die Berechtigung "Ändern" für eine Abteilung ausreicht. Jetzt fügst Du im AD nur noch die Benutzergruppen zur Ressourcengruppen hinzu, so daß die Benutzer Berechtigung auf die Freigabe bzw. die Dateien erhalten. Das Prinzip nennt sich U -> GG -> DL -> R, wobei U für User, GG für Globale Gruppe, DL für domänenlokale Gruppe und R für Ressource steht. Setzt man mehrere AD-Domains ein, kann man zwischen GG und DL noch eine Universale Gruppe U einsetzen, was aber bei Dir nicht nötig sein wird. Klingt zwar kompliziert, ist aber die empfohlene Vorgehensweise von Microsoft. Ansonsten wie schon beschrieben das adminpak.msi, zu finden unter c:\windows\system32\adminpak.msi, installieren und freuen. Viel Spaß Andre

Ist mir so noch nicht aufgefallen....Nur das Verbinden dorthin dauert ein wenig länger, weil die Auflösung der angemeldeten Sitzung meistens erst geändert wird (bei mir z.B. oft von 1280x1024 auf 1024x768). Dementsprechend sieht dann manchmal auch die "Ordnung" auf dem Desktop aus. Schönes Wochenende Andre

Hi, zusätzlich zu Deinen Infos würde mich interessieren, was auf der Kiste noch so alles läuft bzw. welche Dienste er ausführt! Hängt der im Netzwerk? Domäne? Mach z.B. mal Start / Ausführen / msconfig geh zum Reiter Dienste und Klick den Haken "Alle Microsoft-Dienste ausblenden" an. Das was da jetzt übrig bleibt, würde mich interessieren... Andre

Hi Markus, da ich die Treiber nicht installiert habe auf meinem Notebook (wie auch *g*), wirst Du die Einstellungen selber rausfinden müssen. Dazu besorgst Du Dir von http://www.sysinternals.com FileMon und RegMon und lässt die beiden mal so vor sich hin protokollieren. Am besten wenn keine anderen Programme gestartet sind, damit nicht so viele Zugriffe verzeichnet werden. Mit STRG-L kommst Du in einen Filter-Dialog, wo Du jeweils beim Filter unten nur "Write" mit "Success" aktivierst, und somit nur die erfolgreichen Schreibvorgänge mitloggst. Wenn Du jetzt mal eine Einstellung in dem NVidia-Dialog änderst siehst Du in RegMon die Einstellungsänderungen in der Registry und mit FileMon etwaige INI-Datei Änderungen. Meist werden jetzt alle Einstellungen in einem Rutsch in der Registry aktualisiert, so daß Du ein wenig suchen musst. Meistens haben die Schlüssel aber sprechende Namen, so daß sich der Key durch ein wenig ändern in der NVidia-Konsole herausfinden lässt. Viel Erfolg! Andre

Ein wenig OffTopic, aber trotzdem erwähnenswert: Frag Euren Controller (bzw. in der kleinen Firmen deinen Chef) doch mal, ob sich deine Basteleien mit Profilen auf dem Terminalserver etc., die Recherchen dafür usw. wirklich lohnen. Mit den ganzen Arbeitsstunden lässt sich wahrscheinlich auch schnell und einfach eine AD-Domain aufziehen, wo dein Problem dann relativ einfach zu lösen gewesen wäre... Aber ich kenne solche Chefs... ist ja oft so :) Bei der nächstens Aktion würde ich das aber als Meinungsverstärker einsetzen, um vielleicht doch mal mit einer Domäne anzufangen. Vor allem, falls dein Chef mal vorhat zu expandieren. Schönes WE noch! Andre

Hi, fangen wir doch erst mal mit der Frage an, welche Rechte Du Deinen Usern zuweisen möchtest, die diese noch nicht haben. Dann können wir weiterreden :) Gruß Andre

Eine Verbindung zur Console ist die reale Umgebung. Der echte Desktop wird dabei allerdings gesperrt und nur der RemoteUser kann den Desktop sehen. Das Profil unterliegt natürlich den normalen Regeln, als wenn Du Dich lokal anmelden würdest. Also Profil (mit Desktop, Einstellungen etc.) unter: C:\Dokumente und Einstellungen\ Gruß Andre

Solange Du keine weiteren Vorhaben mit Gruppenrichtlinien etc. hast läuft das so erst mal. Dein Ehrgeiz als Admin sollte dennoch dafür sorgen, daß Du den Fehler findest und beseitigst. Irgendwann holt Dich die Vergangenheit sonst ein ;-) Aber jeder wie er mag... Andre

Hi, meine Geschichte wäre die zu bevorzugende Variante und kommt ohne Adminrechte aus. Ansonsten kannst Du wie von Dir beschrieben eine Gruppe anlegen, die alle Benutzer enthält, die auf den Rechnern Adminrechte erhalten sollen. Dann trägst Du unter Eingeschränkte Gruppen die Gruppe "Administratoren" ein und fügst die soeben erstelle Gruppe der User dort hinzu. Die Richtlinie sollte an eine OU gebunden sein, die alle betreffenden Computerkonten der Benutzer enthält bzw. dieser übergeordnet ist. Nach einem Neustart sind dann die entsprechenden Benutzer lokale Administratoren der Domäne. Da sowas meist gemacht wird, um Access-Denied Meldungen verschiedener Applikationen aus dem Weg zu gehen, ist das nicht immer die eleganteste Methode, da dem User dann weitreichende Berechtigen erteilt werden. Zu meinem vorherigen Posting gibt es auch einen c't Artikel, den Du Dir vielleicht irgendwo besorgen kannst. Es geht auch ohne Arbeiten ohne Admin-Rechte unter Windows c't 15/04, Seite 118 Viel Glück dabei! Gruß Andre

Hi, Bitte einmal kompletten Auszug von "ipconfig /all" und "nslookup deinedomain.de" von einem der vier Rechner. Alles andere ist nur unvollständig... Danke :) Andre