Daniel -MSFT-

Basic Auth geht imho nur gegen die lokale Windows-Kontendatenbank bei den Versionen. Als Mitglied der Domäne gehen darüber auch Domänenkonten und mit Vertrauensstellung andere Domänen. Kannst der Abteilung ja mal das Konzept einer Resourcendomäne vorstellen.

Geht es um das Verhindern von Datenverlusten durch z.B. auf Internet Cafe-PCs gespeicherte Anlagen, die zu löschen vergessen wurden oder um böswillige Mitarbeiter? BTW: Public/Private Computererkennung kam mit Exchange 2013 SP1 via ADFS-Claims: http://technet.microsoft.com/en-us/library/dn530630.aspx Aber das hilft Dir bei Exchange 2010 nicht weiter...

Mein Reden. Vor allem, wenn er >4s drückt, kannst Du in der Regel alle Softwaresteuerung vergessen.

Was mir noch eingefallen ist: Ihr könnt auch für Anlagen in OWA nur WebReady Document Viewing erlauben: http://technet.microsoft.com/de-de/library/aa995967.aspx In Verbindung mit einem WebApps-Server könnt ihr Office-Dokumente und PDFs direkt im Browser in High Fidelity anzeigen lassen. Den Download kann man dann sperren. So lassen sich Anhänge nutzen, ohne dass sie auf einem fremden Computer gespeichert werden.

Das hat zwar mit Drucken nichts zu tun, aber hier kannst Du das nachschlagen: http://gpsearch.azurewebsites.net Umleitung bei unterstützten Plug & Play-Geräten nicht zulassen Computer Configuration \ Administrative Templates \ Windows-Komponenten \ Remotedesktopdienste \ Remotedesktopsitzungs-Host \ Geräte- und Ressourcenumleitung Supported On At least: Microsoft Windows Vista Registry Key: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services Value: fDisablePNPRedir

Was machst Du, wenn die User den Ausschalter vom Rechner drücken? Technische Lösungen sind selten geeignet, Verhalten von Menschen zu steuern. Einzige Chance, die ich sehe: Recht wegnehmen und über ein Programm oder Web Service, der/das in einem anderen Kontext läuft, lösen.

Schau mal hier: http://www.smspasscode.com/what-we-protect/website-protection/outlook-web-access/

Klingt nach: Wasch mich, aber mach mich nicht nass. Was ist denn der Hintergrund der Frage? Warum sollten Anwender das eine können und das andere nicht?

Passwortspeicherung ist clientseitig. Damit könnt ihr das nicht regeln. Schaut Euch eher Multifaktor-Authentifizierung mit SmartPhone-App oder SMS an. Gibt es verschiedene Anbieter für. Von Microsoft z.B. Azure AD MFA: http://autodiscover.wordpress.com/2014/03/02/configuring-azure-multifactor-authentication-with-exchange-2013-sp1/ Mit dem Unified Access Gateway UAG gab es eine Möglichkeit, auf Anwendungsebene zu filtern und z.B. Attachments von ausserhalb der Firma zu sperren: http://isinghblog.wordpress.com/2013/04/06/microsoft-uag-2010-allow-attachment-viewing-in-outlook-web-access-but-deny-downloads/ Ich würde allerdings eher empfehlen, von OWA wegzugehen und auf mobile Geräte wie Smartphones und Tablets zu setzen. Die verbinden sich per Exchange ActiveSync und sind deutlich sicherer und einfacher zu verwalten.

Hi micha42, das ist ja gut und schön, aber gefragt war eine Lösung für den IIS. @OP: Welche genauen Gründe sprechen gegen eine einseitige (!) Vertrauensstellung? Die vergibt doch keine Rechte, sondern erlaubt Euch, den Konten der anderen Domäne Rechte vergeben zu können. Ansonsten kannst Du eine formularbasierende Authentifizierung einrichten: http://support.microsoft.com/kb/326340/en-us

Was genau willst Du per RADIUS ansprechen?

Wget.exe ist Dein Freund. Damit kannst Du periodisch per Taskplaner die Bilder abholen um nur neuere Bilder holen lassen, wenn der Webserver Timestamps liefert. Zum Abspeichern baust Du Dir per Script aus dem aktuellen Tag und den Uhrzeitvarianten den gewünschten Dateinamen und kopierst Dir die neue Datei weg: http://unxutils.sourceforge.net/ Hier einE Diskussion zu dem Thema: http://www.computerbase.de/forum/showthread.php?t=1182803 Alternativ geht sowas prima mit dem Perl-Modul Mechanize: https://metacpan.org/pod/WWW::Mechanize Hier mal ein Beispiel, wie man damit umgeht: http://www.linux-magazin.de/Ausgaben/2004/03/Datenruessel Perl für Windows gibts bei ActiveState: http://www.activestate.com/blog/2010/10/how-install-cpan-modules-activeperl

Für Outlook 2013 brauchst Du keinen Connector installieren, der ist für 2007 & 2010. 2013 bringt alles von Haus aus mit. Einfach den Account automatisiert einrichten lassen: http://office.microsoft.com/de-de/outlook-help/add-an-outlook-com-or-other-exchange-activesync-mail-account-HA104025313.aspx

Wieso macht ihr eigentlich soviele dsmods und packt das nicht gleich in dsadd rein? Bei der Rechtevergabe macht ihr jeden Aufruf doppelt? Ihr editiert da ja die existierenden Sicherheitseinstellungen. Da muss man auf dem übergeordneten Ordner auch auf die korrekten Rechte achten: http://blogs.technet.com/b/dmelanchthon/archive/2007/01/27/servergespeicherte-profile-mit-windows-xp-vs-windows-vista.aspx

Das stimmt. Der G macht nur 802.11b/g, während der N 802.11b/g/n unterstützt.

Schau Dir doch mal dafür die PowerShell an. Damit kannst Du das ganz einfach scripten. Beispielscripts gibt es im Netz zu Hauf. Kleiner Tipp: Du gibst nicht den Basisordner pro User frei, sondern nur einmal und mappst dann ein Unterverzeichnis für den User in der Freigabe direkt. Achte nur auf die korrekten Berechtigungen. http://gallery.technet.microsoft.com/site/search?f%5B0%5D.Type=RootCategory&f%5B0%5D.Value=activedirectory&f%5B0%5D.Text=Active%20Directory&f%5B1%5D.Type=SubCategory&f%5B1%5D.Value=useraccounts&f%5B1%5D.Text=Benutzerkonten Bei Deinem dsadd fällt mir, ohne es geteste zu haben, das "-disabled {no}" auf. Die geschweiften Klammern gehören da nicht hin: http://technet.microsoft.com/de-de/library/cc731279.aspx

Freigaben regelst Du mit net share und Rechte mit icacls.exe. MD tut das, wonach es benannt ist: Es legt ein Verzeichnis an. Was ist denn der Hintergrund Deiner Frage? Welches Problem versuchst Du zu lösen?

Dann suchst Du eigentlich ein Captive Portal. Da Du Zyxel schon genannt hast, schau Dir mal den G-4100 an. Das ist eine Komplettlösung inkl. Accountgenerierung und Bondrucker zu einem sehr attraktiven Preis: http://www.zyxel.com/de/de/products_services/g_4100_v2_n4100_vsg_1200_v2.shtml?t=p

Installierst Du da XP embedded oder ein normales XP Professional? Kam die Software mit den Geräten oder hast Du einen Volumenlizenzvertrag? Stichwort Reimaging-Rechte.

Ich habe mal selbst nachgeschaut. Du verwendest extern die Domäne 'bigm4c.no-ip.org'. Für die musst Du im Exchange entsprechen die Konfiguration einstellen, damit Du Mails auf <alias>@bigm4c.no-ip.org empfangen kannst. Die Domäne 'daheim.no-ip.org' kannst Du extern nicht verwenden, weil sie Dir nicht gehört. Mit eineR dynamischen IP kann es aber sein, dass Dir andere Mailserver weder Mails zusenden, als auch keine Mails von Dir annehmen. Es gibt entsprechende Blacklists.

Aber daheim.no-ip.org ist doch schon vergeben, wie Du oben festgestellt hast. Deswegen fragte ich ja, in welcher Domäne Du den A-Record und den MX-Record eingetragen hast. Meinetwegen poste einen Screenshot von den Einstellungen, wenn Du es nicht exakt beschreiben kannst. Anbei mal ein Video, wie man sowas testet: http://blogs.technet.com/b/dmelanchthon/archive/2005/03/22/blogcast-mailserver-und-dns-konfiguration.aspx Ist zwar für Exchange 2003, aber das Prinzip dahinter ist das gleiche.

Welche Domäne verwendest Du denn für den E-Mailversand und -empfang? Also wo hast Du A- und MX-Record eingetragen?

Schreib mir mal 'ne PM, wenn Du einen Azure-Partner vermittelt haben willst. Für Azure brauchst Du unter Umständen keine Windows Server-CALs: http://azure.microsoft.com/de-de/pricing/licensing-faq/ Benötigen Kunden Windows Server-Clientzugriffslizenzen (Client Access Licences, CALs) zum Herstellen einer Verbindung mit einem Windows Server-Image, das auf virtuellen Azure-Computern ausgeführt wird? Nein. Für den Zugriff auf eine Windows Server-Instanz, die in der Azure-Umgebung ausgeführt wird, sind keine Windows Server-CALs erforderlich, da die Zugriffsrechte in den Minutensätzen für die virtuellen Computer enthalten sind. Für die lokale Verwendung von Windows Server (in einer VHD oder anders) muss eine separate Lizenz erworben werden, und die lokale Verwendung unterliegt den normalen Lizenzbedingungen für die lokale Verwendung von Software.

Mit der Powershell recht easy. Get-ADUser ist Dein Freund: http://technet.microsoft.com/de-de/library/ee617241.aspx Dabei einen Filter auf die OU und Du kannst alle User aus der OU manipulieren. Mit Remove-ADGroupUser kannst Du dann Mitglieder aus einer Gruppe entfernen: http://technet.microsoft.com/de-de/library/ee617242.aspx Beide Kommandos kannst Du miteinander verkettdn, um beliebig viele User einer OU aus einer Gruppe zu entfernen. Import-Module ActiveDirectory $GROUPS = Get-ADGroup -filter * -SearchBase "DN of your OU" Foreach($GRP in $GROUPS){ $USERS = Get-ADUser -Filter {Enabled -eq $false -and MemberOf -like $GRP} If($USERS -ne $null){ Remove-ADGroupMember -Identity $GRP -Members $USERS -Confirm:$false } } Quelle: http://social.technet.microsoft.com/Forums/windowsserver/en-US/5d6d1047-ec64-4a7a-939e-76aae48760b7/how-do-you-remove-a-list-of-users-from-an-ou-with-powershell

Warum willst Du Dein AD über das Internet betreiben? Normalerweise macht man das in einem VPN. So zum Beispiel: http://azure.microsoft.com/en-us/documentation/articles/active-directory-new-forest-virtual-machine/ Was ist das denn für ein Server? Dediziert für Dich als komplette Hardware oder eine VM auf einer gehosteten Umgebung? Was für CALs hast Du denn da in der Schublade? User- oder Device-CALs? Wie weist Du die den Benutzern oder Geräten zu und wie trackst Du die Nutzung? WebDAV wäre auf jeden Fall - realisiert über HTTPS - die bessere Wahl zu dem, was Du jetzt aufgesetzt hast.