grizzly999

Per Gruppenrichtlinie, siehe hier: Microsoft Corporation Aber das Abschalten ist eine deutliche Reduktion der Sicherheit :( grizzly999

Du redest dabei von Netzwerkdruckern, ja?! Das lässt sich am einfachsten über ein Anmeldescript lösen und dabei den Befehl rundll32 (mit entsprechenden Parametern benutzen), oder noch einfacher mit dem MS-Tool con2prt.exe. Die Boardsuche gibt da schon eingies dazu her, z.B. http://www.mcseboard.de/windows-forum-allgemein-28/standarddrucker-festlegen-per-gpo-104388.html http://www.mcseboard.de/windows-forum-scripting-71/drucker-per-script-zuweisen-119668.html usw. grizzly999

YEP! Ist die typische Meldung, wenn die WS nicht mehr dasselbe Kennwort wie der DC hat, um den Secure Channel einzurichten. Meistens, weil die WS zu lange nicht in der Dmäne hochgefahren wurde, oder den zeitpunkt für den Kennwortwechsel verpasst hat (Standard-Intervall für PWD-Change: 30 Tage). Da hilft nur raus und wieder rein. Wenn das NB seine SID in der Domäne wieder bekommen soll, dann in Active Directory Benutzer und Computer vor dem Rejoin mit Rechtsklick auf das Computerkonto des NB das Kennwort zurücksetzen ;) grizzly999

Full ACK. Habe einen Kunden, da gabs (unter 2003) nach der Migration von NT4.0 wegen bei einigen Usern große Probleme wegen der mitgeführten SID-History. Die waren so in ca. 130-140 Gruppen und damit das Token zu groß. Aber die Anzahl der Objeke im AD kann wirklich groß sein, und das AD getesteterweise noch performant. grizzly999

Systemmonitor? grizzly999

Ist dir Ulm zu weit? Da beginnt nächste Woch ein MCSE Kurs, allerdings Samstags. Bei Kumatronik (Aktuelle Aktionen und Specials - KUMAtronik Systemhaus GmbH) Da kann ich sagen, dass die eine sehr guten Trainer haben :) grizzly999

Können wohl alle hier nur bestätigen, mich eingeschlossen. Allerdings muss man bereits einmal in der Domäne angemeldet gewesen sein. grizzly999

Eigentlich sollten die Profile weiter verwendet werden können, denn wie gesagt, die Domänen-Benutzer SID ändert sich nicht. grizzly999

Gibt der DHCP Server auch mit der Option 015 den Domänennamen mit? grizzly999

Doch, wieso?! Meinst du die lokal gespeicherten Kopien von servergespeicherten Benutzerprofilen? Oder die lokalen Profile von lokalen Benutzern? Im ersten Fall passiert da nichts, auch nicht nach einem Rejoin in die Domäne, denn der Domänenbenutzer hat ja immer noch dieselbe SID wie vorher. Also kein Probem. grizzly999

Garantiert, Schwören bei den gebeinen meiner Ahnen und großes IndianerEhrenwort !!!!!! : QUATSCH, obgleich ich das schon gerne so hätte :D :D :D grizzly999

Das ist korrekt. Wenn das Computerkennwort auf DC und WS nicht mehr kongruent ist, MUSS der Client aus der Domäne entfernt und neu hinzugefügt werden. Das geht nicht anders (außer bei DCs). Zugegebenermaßen steht das aber nicht in dem KB-Artikel. Der netdom reset hat hier nur die selbe Auswirrkung wie das Zurücksetzen des Kontos im dsa.msc ;) grizzly999

Illegale Anfragen werden hier nicht supportet. Daher closed (und nachher verschwindet der in der Rundablage) grizzly999

Genau aus diesem Grund wird es die PowerShell auch nicht beim 2008 Core Server geben grizzly999

Yep, da ist gute Planung nud Wissen über PKI im Allgemeinen, CA-Einrichtung, CA-Verwaltung, Gruppenrichtlinien und das AutoEnrollment im Speziellen gefordert. Hier eine Übersicht mit kleinen Anleitungen zum AutoEnrollement: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx Hier eine kleine Checkliste mit Verweisen auf HowTo: Microsoft Corporation Und hieraus sollte man die wichtigsten Grundlagen drauf haben: Microsoft Corporation Das Ganze mal in einer kleinen Testumgebung eingerichtet und damit "gespielt" zu haben, wäre dabei auch nicht schlecht. Das PKI-Buch von Brian Komar zu Hilfe nehmen ist auch eine gute Idee. Wie "twenty" schon sagte, das ist nicht für die zeit des kleinen hungers zwischendurch ;) grizzly999

Wieso soll der ISA nicht Mitglied einer Domäne sein? Das ist so empfohlen (z.B. von Thoma Shinder und Steve Riley), siehe auch hier: Debunking the Myth that the ISA Firewall Should Not be a Domain Member Das mit der Zertifikatsauthentifizierung geht über das AD, weil- anders als bei einem Zertifikat für IPSec - der Client über das Zertifikat im GC im AD gesucht und hoffentlich gefunden wird. Dazu muss der Client im AD auch das Zertifikat hinterlegt haben. Das geht aber nur im AD, nicht mit lokalen Usern. Und es geht ja dabei nicht nur darum, dass der Client halt ein Zertifikat hat, sondern, dass ein Userkonto in einer Benutzerdatenbank damit in Verbindung gebracht und authentifiziert werden ;) grizzly999

Denkanstoss: AutoEnrollment (nur mit Enterprise CA auf 2003 EE und XP/2003 möglich). Bei Microsoft gibt es auf der Homepage einiges an Material dazu .... Ansonsten geht das nur per Handarbeit. grizzly999

Hallo und willkommen im Board :) Du kannst also in die Wiederherstellungskonsole booten?! Dann kannst du mit disable [Parameter] und enable [Parameter] Dienste und Treiber stoppen und starten. Mit listsvc bekommst du eine Liste mit allen Diensten und Treibern 8insbesondere, wie die dann fürs Stoppen und Starten heißen ;) ) grizzly999

Das WÄRE vielleicht nicht in Ordnung, wenn es so wäre. Ich kann da nichts in der Richtung erkennen. Das einzige, was ICH erkennen kann, ist eine unsinnige, unnötige Bemerkung von ixus55fan :( grizzly999

Abgesehen davon, dass einer der Parameter nicht stimmt (/10.168.192.in-addr.arpa.dns gehört ohne Slash) funktioniert das bei mir einwandfrei. Der Befehl von dir - mit korrekter Angabe der Zonendatei - legt allerdings immer eine neue leere Zone mit Seriennummer 1 an, auch wenn schon eine Zone mit Records vorhanden ist. Möchtest du eine vorhandene Zone mit diesem Namen laden, dann heißt der Befehl: dnscmd /zoneAdd 10.168.192.in-addr.arpa /primary /file 10.168.192.in-addr.arpa.dns /load grizzly999

Und wie soll ihn das weriterbringen? Da steht auch nicht drin, wie es geht, weil es geht nicht. Zudem ist der Artikel vom August '99, da gab es IIRC noch nicht mal Windows 2000 grizzly999

Port 53 TCP wird dazu in keiner Weise benötigt, nur die vielen anderen Ports (und 53 UDP) grizzly999

Hallo Edgar, Ich weiß im Moment nicht genau, welche GPO das ist, aber egal. Die schreiben ja alle nur Werte in die Registry. Eine Variable kann nur in einem RegistryWert vom Typ REG_EXPAND_SZ stehen. Die Werte, die du brauchst, sind aber allenfalls REG_SZ Werte. Du müsstest also höchstens selber ein Computerstrat-Script schreiben, in welchem du die Variable in der Batch Datei übergibst und z.B mit reg.exe dann in den Key schreiben lässt. Claus

Bei der EE steht zur Verfügung, selber definierte Certificate Templates zu erstellen. Ein Vorteil, der nicht nur nicht zu unterschätzen ist, sondern den ich als elemtentar betrachte, will man "richtig" mit Zertifikaten arbeiten. Enterprise CAs gehen auch mit de Standard Edition, aber wie ASR schon sagte, kein Autoenrollement. Für das, was Ihr vorhabt - neben selberdefinierten Cert-Templates - eigentlich auch unabdingbar. IMHO. grizzly999

Das ist aber eine arg kurze Anleitung. Die Anleitung, die ich kenne hat 1,2 MB und 82Seiten. :suspect: Die solltest du von vorne bis hinten durcharbeiten. Ein Domain-Rename ist nicht ohne, und sollte auch vielleicht zuerst in einer Testumgebung durchgespielt werden. Hier der Link (Achtung, direkter Download der Datei): http://download.microsoft.com/download/c/f/c/cfcbff04-97ca-4fca-9e8c-3a9c90a2a2e2/domain-rename-procedure.doc grizzly999