grizzly999

Yep, das gilt aber nur für den SAMaccountname (=Prä-Windows 2000 Anmeldename). Der UPN kann länger sein. grizzly999

... weil wenn man sich an die alte Internet-Namenskonvention hält (RFC 1123), demnach sind folgende Zeichen im Internet zugelassen: a-z, A-Z,0-9, - , wird man mit keinem Programm oder Spracheinstellungen des OS o.a. techn. Probleme haben oder bekommen. Also sagen wir schlicht: Prophylaxe ;) , oder mit anderen Worten ausgedrückt: Wenn es geht, vermeide ich mögliche späterre Fehlerquellen gerne im Vorfeld. grizzly999

Kannst du denn auf der Zertifizierungsstelle selber im IE mit http://<CA-Computername>/certsrv die Website aufrufen? Wenn das klappt, sollte das auch vom Client aus gehen. grizzly999

Das ist falsch, aber ich empfehle immer, dass der Name solche Zeichen nicht enthalten sollte. Diese zeichen hier darf er nicht enthalten: Erstellen eines neuen Benutzerkontos grizzly999

Schon in der Systemsteuerung unter "Lizenzierung" geschaut? Genaueres, wenn der Lizenzprotokollierdienst läuft, in der Verwaltung unter "Lizensierung" grizzly999

hast du dir auch schon mal die Sicherheitseinstellungen der Zonen im IE angeschaut? grizzly999

Öhm, nochmals: meinen Beitrag oben lesen. Die heißen dsadd, dsmod, dsrm, dsquery, dsget Sind .exe-Dateien, daher für die Kommandozeile bzw. Batch geeignet. grizzly999

Nein. In der "Eingeschränkte Gruppen" Policy konmmt der Gruppe (oder einzelne User) rein, die auf dem Zielcomputer dort in die Gruppe Remote-Desktopbenutzer aufgenommen werden sollen. ist eine Computerrichtlinie, und daher auf die OU(s) mit den Client(s) anzuwenden, die es betrifft. Außerdem muss das Häkchen "Remote-Desktop zulassen" auf dem Client aktiviert sein, das ist ebenfalls eine Computerrichtlinie: Cmputereinstellungen\Administrative Vorlagen\Windows Komponenten\Terminaldienste\Remoteverbindungen für Benutzer mit Hilfe der Terminaldienste zulasen -> Aktiviert. Am besten eine einzige Computerrichtlinie machen, beide Einstellungen (Eingeschränkte Gruppen und Terminaldienste zulassen) einstellen und auf die betreffenden OUs anwenden. grizzly999

Wie trägst du den Servernamen im Outlook ein? NetBIOS-Namen? FQDN? Entsprechend muss auch deine Namensauflösung sein, für NetBIOS-Namen WINS (zwei WINS, die sich replizieren), für FQDNs DNS-Auflösung für die andere Domäne. grizzly999

Siehe mein Beitrag oben .... ;) Sind aber keine Res.kit-Tools, sondern beim Server 2003 schon dabei. Funktionieren auch auf XP . grizzly999

Du kanns das Profil beim nächsten Logon automatisch erzeugen lassen , per .prf-Datei oder anderen Tools von Microsoft selber oder Drittherstellern. Hier steht auch ein wenig dazu: MSXFAQ.DE - Profile Tools grizzly999

Korrekt, sofern auch RDP auf dem Client aktiviert ist ;) grizzly999

Schau dir auch mal die Online-Hilfe zu den, bei 2003 neuen, Befehlen dsadd, dsmod, dsrm, dsquery, dsget an. ;) Und für VB, da sind hier schon mal einige Besipiele: Microsoft Corporation grizzly999

Ja,es so, wie es Cybquest sagt. Wenn der andere Benutzer nicht die Berechtigungen hat, dann wurde die Datei innerhalb der Partition verschoben und nicht kopiert. Merke: Kopieren in eine andere Partiton (gleicher oder anderer Rechner) => Berechtigungen des Zielordners werden geerbt. Verschieben in eine andere Partiton (gleicher oder anderer Rechner) => Berechtigungen des Zielordners werden geerbt. Kopieren innerhalb einer Partition => Berechtigungen des Zielordners werden geerbt. Verschieben innerhalb einer Partition => Berechtigungen werden mitgenommen (bleiben erhalten, wie sie im Quellordner waren)! grizzly999

Dann musst du eben per Policy die Gruppenmitgliedschaft herstellen. Aber ohne Mitglied in der lokalen Remotedesktop-Benutzergruppe geht da halt nichts. Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de grizzly999

Und der/die User sind auch auf der/den WS in der Gruppe Reomotedesktop-Benutzer Mitglied? grizzly999

Auweia, da hast du dir eine der "schönsten" Benutzereigenschaften rausgesucht :D Welche Protokolle zur Verwendung am Benutzerkonto in den Exchange-Features aktiviert sind oder nicht (OWA, POP3, IMAP4), steht in einem einzigen Benutzer-Attribut, nämlich in protocolSettings. Naja, wäre ja nicht das schlimmste, aber die Kodierung des Wertes ist das Ungeheuer :( Wenn der Wert leer ist (<Not Set>), sind alle Protokolle aktiviert. Wenn du also alle Benutzer suchst, die da nichts drin stehen haben, die können alle (auch) OWA. Aber jetzt fängts an. Wenn du ein Protokoll deaktivierst, wird das eingetragen in der Form: Protokollbezeichnung, dahinter der Wert §0§1 und noch ein zusätzlicher Zeichengewimsel. Die Stati für die einzelnen Protokolle werden, separiert durch ein Semikolon, hintereinander eingetragen (bzw beim Öffnen des Wertes sind die zeilenbasiert). OWA deaktiviert sieht demanch so als Wert aus: HTTP§0§1§§§§§§ POP3 deaktiviert so: POP3§0§1§4DIN_66003§§§ POP3 und OWA deaktiviert so: POP3§0§1§4DIN_66003§§§;HTTP§0§1§§§§§§ ABER: Wenn man die einzelnen Protokolle wieder aktiviert, dann verschwinden die Werte nicht wieder, so dass bei erneutem Aktivieren ALLER Protokole dann <Not Set> drin stehen würde, NEIN, da steht dann §1§1 als Wert hinter der Protokollbezeichnung. Das bedeutet für dich nicht weniger als: Alle User, die <Not Set> im Wert haben (Standardeinstellung, alle Protokolle aktiviert), und alle Benutzer, die HTTP§1§1 drin stehen haben (OWA deaktiviert und dann wieder aktiviert), können OWA machen. Demnach ist dieses Skript dein Freund: dsquery * domainroot -filter "(&(objectcategory=person)(objectclass=user)(|(ProtocolSettings=*http§1§1§*)(!ProtocolSettings=*)))" HTH grizzly999

Was ist da unklar dran? Im unteren Teil beginnt die Liste der Arbeiten, die durchzuführen sind, um das auf einem 2003 Server mit den Websites von einem 2008 Server gangbar zu machen. Ist halt 'ne menge Arbeit und man sollte das Ganze erst mal in einer Testumgebung ausprobieren. Und man braucht dazu einen Longhorn Beta3 Server mit dort installierten Zertifikatsdiensten, sonst kann man logischerweise die ganzen Dateien nicht auf den 2003 kopieren. grizzly999

Jain (mehr nein). Zunächst als Grundlage: Wir reden hier von einem Mehr-Domänenmodell. In einem ein-Domänenmodell ist das schon mal hinfällig. Gut. Wenn die Domäne, in der sich der Benutzer anmeldet, im 2000 pur Modus oder 2003 Server Modus läuft, und nur dann, wird der globale Katalog connectet, um zu prüfen, in welchen UGs der Benutzer Mitglied ist. Ist kein GC erfügbar, schlägt die Anmeldung nach einiger (!) Wartezeit am Client fehl (Benutzername oder Kennwort falsch). Nein, siehe oben. Nein, siehe oben :D Microsoft-Schulungstechnisch Korrekt. Aber: Der Inter-Site-Replikationsverkehr wird sehr häufig überschätzt. In einem sehr großen Forest, wir reden hier von zig-tausend Benutzern, tausenden von anderen Objekten, kann der GC-Replikationsverkehr etwas ins Gewicht fallen. Aber das hängt von noch mehr Faktoren ab, z.B. die Replikationshäufigkeit, was sonst noch über die Leitung geht usw. Nochmal, der Inter-Site-GC-Replikationsverkehr ist in durchschnittlichen Domänen nicht sooo groß. Wiederum nein, siehe oben. Kleiner Denkanstoß zur Hilfestellung. Du sagst immer "Wenn der Benutzer Mitglied einer UG..... GC suchen oder nicht" "Wenn der Benutzer nicht Mitglied einer UG.... dann GC suchen oder nicht". Der GC wird gesucht, um eben das herauszufinden, in welchen UGs der Benutzer ist! Du kommst mit dem Ergebnis schon vorweg, um dann das Mittel zum Feststellen des Ergebnisses zu wählen. Diese Katze beißt sich in den Schwanz ;) Korrekt. Und die SIDs der UGs, in denen der benutzer Mitglied ist - geliefert von eben diesem GC - werden standardmäßig auf dem DC 8h lang zwischengespeichert. Sollte bei einer nachfolgenden Anmeldung innerhalb dieser 8h der GC dann icht zur Verfügung stehen, wird der Benutzer dennoch angemeldet und erhält bezügich der UG-Mitgliedschaften ein korrektes Ticket gemäß Stand der letzten Abfrage. Um nochmals den Ring zu meiner obigen grundlegenden Aussage zu schließen: in einem Ein-Domänenmodell vergessen wir das Gesagte. In einem Mehrdomänenmodell in einer Domäne in den zwei niedrigeren Modi auch. BTW: Es gäbe eine weitere Alternative: Das Abschalten des UG-Checks über eienn GC in der Registry. grizzly999

Versuche mal, eine Globale Gruppe zu nehmen, oder eine Universale. Nur so eine (unbegründete) Idee.... grizzly999

.. and what?? :rolleyes: :rolleyes: Wirst du dann die Prüfung nicht machen, oder was bringt dir eine Antwort grizzly999

Das Schlüsselpaar wird beid er Zertifikatsanforderung vom CSP (cryptographoc Service provider ) erstellt, und der pulic key in die Zertifkatsanforderung (und damit nachher ins Zertifikat) reingeschrieben. Im Regelfall, indem der User das Zertifikat mit anhängt, da steht ja der public key drin (siehe oben) siehe oben ;) grizzly999

Ist auch unterschiedlich, hängt von der Anzahl der Fragen ab. Im Schnitt sind das aber ca. 2,5 min pro Frage, also bei 50 Fragen 125 min. grizzly999

Naja, wo melden die sich an? Ich meine, haben die einen eigenen DC vor ort? Dnn dort drauf sniffen, ist das einfachste. grizzly999

Technisch gesehen nicht, wie wolltest du mich davon abhalten, einen Mailserver aufzusetzen, der deinen Domänennamen hat :suspect: Aus dem Mailheader kannst aber normalerweise den den Weg der Mail zurückverfolgen und an den Provider eine Abuse Nachricht schicken. Ob das allerdings hilft, ist eher fraglich, das Spammer fast immer irgendwelche offenen Mailrelays verwenden, wenn da ein solcher Server vom Provider gesperrt würde, dann trifft es meist den Falschen. grizzly999