grizzly999

Da hast du man Recht. Er darf auf ESX vier Instanzen von Enterprise Edition laufen lassen, aber keine fünf. Sehr empfehlenswert, aber sehr komplex, dafür ausführlich ist dieses Microsoft Paper. Da steht alles genau drin, auch wie das aussieht bzgl. Lizensierung und Virtualisierung mit Clustern, mit ESX und VMotion, Virtuozo usw. (Achtung: drirekter Download des Word Dokuments!): download.microsoft.com/download/7/a/a/7aa89a8b-bf4d-446b-a50c-c9b00024df33/Windows_Server_2003_R2.docx grizzly999

Wobei zu sagen ist, dass die interdisziplinäre Nutzung von CAs bzw. deren Zertifikaten usw. also Linux, Windows u.a. trotz RFCs u.a. oftmals sehr müssig und viel Gebastel ist und dann vieles doch nicht funktioniert. Vor allem Zertifikate mit private Key aus dem einen System raus in ein anderes bekommen. :rolleyes: Habe da schon leidvolle Erfahrungen gemacht, daher meine Empfehlung: innerhalb einer Familie bleiben, schont Nerven und spart eine Menge Zeit. grizzly999

Full ACK. Es hängt natürlich alles von der Anzahl der geänderten Attribute und Objekte ab (geändert, hinzugefügt, gelöscht), aber wenn da nicht ein Massenimport von Usern stattfindet, dann ist der Verkehr eher gering. Das Replikationsintervall spielt natürlich dabei auch eine Rolle, wenn alle 15 Min repliziert wird, fallen natürlich weniger Daten an, als einmal am Tag. Es kommt noch hinzu, dass Standortübergreifend der Repl.-Verkehr komprimiert wird. Bei 2003 nicht mehr ganz so stark wie bei 2000, aber immer noch ca. um ca. 60-70%. Also bei 1 MB Replikationsvolumen, was im Normalbetrieb für die genannte Größe schon erheblich viel wäre, würden ca. 300-400kB über die Leitung gehen. Was zu gewissen klenen "Spitzen" bei der Replikation führen kann, ist, wenn viele GPOs auf einmal hinzugefügt werden. Da in jedem GPT immer die kompletten .ADM-Dateien drin liegen hat jeder GPO-Ordner so um die 2MB. Bei 10 GPOs auf einmal hinzugefügt, sind das also so um die 20MB. Aber das kommt auch eher selten vor. Also: keine Sorgen machen wegen dem Replikationsverkehr. grizzly999

Sind das denn mehrere Domänen? Weil wenn das eine Domäne ist/wäre, müssten ja alle DCs die gleichen GPOs und Logon-Scripts bekommen haben? Welche DCs gehören in welche Domäne? Wichtig ist eine saubere Einrichtung von Standorten im AD und den dazugehörigen Subnetzen, so dass die DCs die entsprechenden Standorte im DNS abdecken. Diese Einrichtung ist aber Sache eines Enterprise-Admin. Wie sieht denn das bisher damit aus? grizzly999

...fehlt noch, dass RDP 5.1+ den RDP-Verkehr verschlüsseln kann. Außerdem können Laufwerke vom Client in die TS Session umgeleitet werden und Soundwiedergabe auf dem Client wäre auch möglich, wenn man möchte. Nicht zu vergessen, die Möglichkeit, jede Menge TS-Einstellungen für 2003 per GPO vorzunehmen. Neu bei 2003 TS auch die Benutzer-CALs. Die sind aus meiner Sicht insofern besonders interessant, weil man sie zwar kaufen und eintragen muss, aber im Lizenzpool bei Herausgabe an den TS nicht tatsächlich fest eingetragen werden (wie die Device CALs). Bei den Device CALs hat man dann ja immer das Problem, wenn es Clients nicht mehr gibt, dass man dann die Lizenzschose komplett raushauen, alles neu einrichten und im Clearinghouse wieder freischalten lassen muss. Ein echtes Sahnestückchen von Microsoft :rolleyes: :cry: grizzly999

Das würde gehen. sofern dieser ursprüngliche Administrator nicht das einzige verbliebene Admin Konto ist. Dann wird dieses im abgesicherten Modus automatisch freigeschaltet (siehe auch Bericht des TO oben). Näheres siehe hier: Getting Started with User Account Control on Windows Vista grizzly999

Nein.

Wenn ich einen stehenden VPN Tunnel habe, muss man in der Firewall keine Ausnahme definieren. Das wäre VPN ad absurdum geführt. Man muss auf der RDP-Client Seite aber zum Verbinden die Tunnel-Adresse des Zeilrechners eingeben, nicht die reale IP-Adresse. grizzly999

Eine Windows Lösung kannst du dafür schon machen. Du setzt einen 2003 Server in einer Arbeitsgruppe auf und installierst die Zertifikatsdienste mit den Einstellungen, die du benötigst (vorher IIS noch installieren). grizzly999

Ein Voucher ist nur für eine Prufung gut (incl. Second Shot). Wenn man einen 3rd Shot bräuchte, weiß ich wirklich nicht, ob man dann einen neuen Voucher einsetzen kann. Das wäre bei Prometric zu erfragen. Aber für eine andere Prüfung kann man natürlich wieder einen (neuen) Oucher nehmen. grizzly999

Das ist doch eine Frage dessen, welche Anforderungen man die SIcherheit hat. Meist reichen die Standardberechtigungen. Und warum soll ein User die Berechtigungen nicht lesen können?! grizzly999

Es gibt Recommendations. Für das (alte) DFS wird eine Empfehlung von max. 64GB ausgesprochen. Configuration and operational recommendations for the File Replication Service in Windows Server 2003 and Windows 2000 Server Für mehr zu replizerende Daten- und auch aus anderen Gründen - wird DFSR von 2003 R2 empfohlen. Das ist auch deutlich verbessert, nicht nur hinsichtlich der Menge der Daten. grizzly999

Das ist egal, ob du Admin bist oder nicht. Wenn du dich anmelden willst, muss das System dein Profil laden. Wenn du aber den kompletten Profilordner verschlüsselt hast, dann kann das System dein Profil nicht laden, weil dort dein Private Key drin ist. Und um an den private key ranzukommen muss das Profil geladen sein. Aber ohne Schlüssel kann das System nicht....usw. grizzly999

:suspect: Du hast aber den Beitrag aufmerksam gelesen?! Standard Admin Konto defaultmäßig deaktiviert, dann Rechner raus aus der Domäne. Sag uns bitte, wie du dich jetzt als Administrator anmeldest :rolleyes: Das war BTW exakt das geschilderte Problem .... grizzly999

Aber klar doch, Routing und RAS -> Benutzerdefiniert -> Lan-Routing ;) grizzly999

Du kannst nur einen Voucher eintragen. Du kannst den von Microsoft nehmen, aber da gibt es keine 20%. Du kannst bei mir einen anfordern, da gibt es 20% und du hast einen Second Shot, der über den Voucher quasi implementiert ist. grizzly999

Ich arbeite selten bis nie mit diesen Tools, und die 2x hatte ich keine Probleme mit xcacls.exe. Aber es schint wohl mit cacls und xcacls ein paar issues gegeben zu haben. Nur luat MIcrosoft geht icacls, was ja bei Vista und 2008 standardmäßig dabei ist ansonsten nur mit 2003 SP2 und XP Prof 64 Bit. So jedenfalls steht es hier:The Icacls.exe utility is available for Windows Server 2003 with Service Pack 2 Kann jetzt ncht sagen, ob es auch mit anderen Versionen von XP geht grizzly999

Also nochmals, Überwachen - wenn du das nicht in deinen eigenen 4 Wänden machst -unterliegt in Deutschland dem Datenschutzgesetz. Und ob man das darf oder nicht, sollte jeder da in Erfahrung bringen, wo es ordnunggemäß gemacht werden kann. Das kann ein Rechtsbeistand sein, oder im Fall eines Lehrers in der Schule wäre es der Personalrat oder der Schulleiter (der für die Einhaltung der Gesetze an seiner Schule zutöändig ist). Daher sollte dieser Part in diesem Thread hier ein Ende finden! Zur technischen Möglichkeit: Der Jana-Server bietet hier als Proxy einige Möglichekiten, und ist für Schulen sogar Freeware :) JanaServer 2 - THE ALL-IN-ONE SERVERTOOL grizzly999

Mit xcalcs.exe würde das im Prinzip gehen, aber dazu muss vorher die Berechtigung so gesetzt werden, damit der Benutzer überhaupt die Berechtigung ändern kann (z.B. über ein Computer-Startskript). Allerdings: warum sollte ein User auf dem Rootlaufwerk mehr als Leseberechtigung haben, und das selber auch noch ändern können :confused: :rolleyes: grizzly999

Nein, das klappt mit Sicherheit nicht. Virtual Server und Virtual PC unterstützen in keiner Version und mit keinem Service Pack 64Bit Guests. Dazu braucht's entweder die Konkurrenz oder 2008 mit Hyper-V grizzly999

Na das wird wohl nicht gehen. Wenn das EFS-Zertifikat mit private key im Benutzerprofil liegt, wie soll er dann in diesen von dir verschlüsselten Ordner reinkommen, um den private key rauszuholen um damit den Ordner zu entschlüsseln, so dass er den Schlüssel rausholen kann, mit dem er erst den Ordner entschlüsseln ......dahin kommen :rolleyes: Ich denke, du merkst was, die Katze beißt sich in den Schwanz ;) grizzly999

Und?! Damit dauert sie länger, und zwar je mehr in der Liste er von oben her nicht erreicht. Klingt auch irgendwie logisch. grizzly999

Ich habe das schon versucht, und es geht nicht. Warum das nur auf Domänenebene geht, steht hier: Group Policy application rules for domain controllers grizzly999

[quote name=Dirk_privat (als kleine Anmerkung) Die Kontorichtlinien gehen auch auf der Domain Controller Richtlinie und dort reicht es auch aus, weil nur die DC´s authentifizieren. Gruß Dirk[/quote] Nein, nein und nochmals nein! Es ist genau so, wie ich es sage ;) grizzly999

Das verstehe ich ein Stück weit, aber stimmig sollte dann das PW-Konzept meiner bescheidenen Meinung nach trotzdem sein. Ein Jahr max. Kennwortalter bei 5 Chars und keine Komplexität finde ich ein wenig arg laaange. Und 1 Tag Minumum Kennwortalter bei einer Kennwortchronik von 1, wobei beide Werte nur in Verbindung Sinn machen, ist auch nicht optimla. Oder besser gefragt, was soll mit diesen 2 Werten erreicht werden? grizzly999