Wenn in der Gruppenrichtlinien Definiert ist das das Kennwort nach X tage abläuft. Greift diese Richtlinie auch wenn der Hacken Kennwort läuft nie ab gesetzt ist ?

Grüße Benny

Mit Funktionsbenutzern meine ich: Standardbenutzer "azubi.buchhaltung" mit Kennwort "buch445" --> Jeder Azubi, der in der Buchhaltung ist, verwendet diesen Benutzer. Dieser Benutzer besitzt die Berechtigungen für die Buchhaltung.
Mit persönlichem Benutzer meine ich: jeder hat einen eigenen benutzer "Robert Schmitt" mit Kennwort "PRIVAT!§FA" --> jeder Azubi, bekommt die Berechtigungen zugeteilt, wenn er in der Buchhaltung ist und verliert sie danach wieder.

Wir haben ca. 700 Mitarbeiter, ca. 20 Azubis und viele Praktikanten. Der Großteil der Praktikanten sind Jahrespraktikanten.

Alle Azubis haben einen persönlichen Benutzer wegen der E-Mail-Adresse, meist ohne Berechtigungen.
In manchen Bereichen existiert ein Funktionsbenutzer, der von jedem Azubi genutzt wird, der in der Abteilung ist. In einigen wenigen Bereichen wird dagegen der persönliche Benutzer des Azubis genutzt. Dafür müssen jedes Mal die Berechtigungen geändert werden.

Es gibt auch einige Praktikanten, die einen persönlichen Benutzer besitzen, auf dem auch die Berechtigungen liegen. In den meisten Fällen existiert allerdings auch hier ein allgemeiner Praktikanten-Benutzer.

Wir nutzen die AD-Benutzer auch in diversen Programmen, um ihnen dort Berechtigungen zuzuweisen.

Wir überlegen uns, ob wir die Berechtigungen allgemein auf die persönlchen Benutzer von Praktikanten und Azubis legen oder ob wir mit Standardbenutzern arbeiten, die jeder Azubi/Praktikanten benutzt.

Der Vorteil von den Funktionsbenutzern sehe ich darin, dass die Berechtigungen direkt zugeordnet sind und wir als IT weniger Arbeit haben.
Bei persönlichen Benutzern sehe ich den Vorteil, dass sich Änderungen in Programmen und an Dateien leicht einer Person zuordnen lassen und somit können Fragen und Schwierigkeiten schnell geklärt werden. Außerdem ist sichergestellt, dass das Kennwort für den Benutzern nur einer Person bekannt ist und sie nach einem Abteilungswechsel keine Möglichkeiten mehr hat, auf die Berechtigungen zuzugreifen.

Wie seht ihr das? Sollen wir allgemein mit Funktionsbenutzern oder persönlichen Benutzern arbeiten oder sollen wir es von den Aufgaben der Abteilung abhängig machen?

Vielen Dank und einen schönen Abend!

Hallo,

ich weiss, es ist keine ideale Lösung, ich muss aber aus Kostengründen diese Überlegung anstellen:

Ist es möglich, auf einem vorhandenen RODC noch die Terminalserverrolle zu installieren und zu betreiben. Es soll hier das MS-Office-Paket freigegeben werden.

Es ist bis auf den Virenscanner und eben der sonstigen Server-Rollen (RODC, File & Print) nichts weiter installiert.

Grüße,

Julian.

Hallo,

wie kann man in Powershell nur das Abalufdatum der AD-User anzeigen lassen.

Ich möchte nur, dass das Datum ausgegeben wird ohne Uhrzeit.

Get-ADUser UserID -Properties * | select AccountExpirationDate

01.01.2014 00:00:00

Hallo.

Gestern ist wegen eins Fehler in der USV unser (Backup) DC gecarshed. Nach dem Neustart kam dieser nicht mal mehr hoch. Plattenfehler wurden (angeblich) erfolgreich repariert. Nach dem Neustart sah es auch ganz OK aus. AD hat aber wohl doch etwas abbekommen und der zweier hat Fehler auf den einser repliziert. Benutzer hinzufügen ging nicht mehr. Computer dito. Replikationsbereich umstellen scheiterte mit Fehler: Das AD ist nicht verfügbar. DNS am einser war ziemlich verweisst.

Man könnte gerade denken der einser wäre abgstürzt. Da ich die zwei nicht mehr synchron gebracht habe, habe ich den zweier abgeschaltet und den einser aus der Sicherung wieder hergestellt. DNS war danach wieder in Ordnung. Aber weil dieser nach dem Neustart seinen Replikationspartner nicht findet, und somit einige Dinge wie die FSMO-Rollen nicht bestätigt sind, lässt der einser DC keine Bearbeitung des AD zu. Also weiterhin keine neuen Benutzer und Computer. Rollen, obwohl er diese schon innehatte noch mal übertragen. Auch nichts gebracht. Am zweiten DC der jetzt offline zum Netz läuft, geht das alles.

Frage: Was kann man tun

1. Den zweiten DC manuell aus dem AD entfernen und neu machen? Hier ist das AD da aus der Sicherung sicher in Ordnung.

2. Noch mal online nehmen und das Beste hoffen? Wo ich den Zustand des AD nicht kenne und nicht sagen kann wer was wohin repliziert.

Gruss Ingo

Hallo Forum,

ich habe seit ca 1ner Woche folgenden Fehler im EventLog

Protokollname: Directory Service
Quelle: NTDS ISAM
Datum: 02.09.2013 12:22:36
Ereignis-ID: 447
Aufgabenkategorie:Datenbankbeschädigung
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Server.local
Beschreibung:
NTDS (696) NTDSA: Ungültige Seitenverknüpfung (Fehler -327) in B-Struktur (Objekt-Id: 170, PgnoRoot: 753) von Datenbank C:\Windows\ntds\ntds.dit (5915 => 5185, 4675).
Ereignis-XML:
<Event xmlns="<a href="http://schemas.microsoft.com/win/2004/08/events/event;%3E" title="http://schemas.microsoft.com/win/2004/08/events/event;>">http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="NTDS ISAM" />
<EventID Qualifiers="0">447</EventID>
<Level>2</Level>
<Task>12</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-09-02T10:22:36.000000000Z" />
<EventRecordID>87660</EventRecordID>
<Channel>Directory Service</Channel>
<Computer>Server.local</Computer>
<Security />
</System>
<EventData>
<Data>NTDS</Data>
<Data>696</Data>
<Data>NTDSA: </Data>
<Data>-327</Data>
<Data>170</Data>
<Data>753</Data>
<Data>C:\Windows\ntds\ntds.dit</Data>
<Data>5915</Data>
<Data>5185</Data>
<Data>4675</Data>
</EventData>
</Event>

Dieser Fehler wird im Log innerhalb 24 Stunden knapp 3000 mal aufgezeichnet.

Ich habe folgendes gemacht um meine Datenbank zu prüfen bzw zu reparieren

1.net stop ntds
2.ntdsutil aufgerufen
3.activate instance ntds
4.Files Maintenance Modus gestartet
5.Integrity Prüfung durchgeführt

Mit dem Ergebnis

Integrity check completed. Database is CORRUPTED!

Danach habe ich die Datenbank versucht zu reparieren indem ich zuerst auf die

Semantic Ebene gewechselt bin, Verbose angeschaltet habe und danach GO Fixup durchgeführt habe.

Dies lief auch durch ohne Fehlermeldung. "Der Vorgang war erfolgreich" wurde ausgegeben. Jedoch ist der Fehler im Log weiterhin da.

Da dies nicht erfolgreich war habe ich ein Backup eingespielt, von einem Zeitpunkt wo ich 100% sicher bin das der Fehler

nicht vorhanden war.

Ich habe mein System im Directory Service Restore Mode gestartet und per wbadmin die letzte mir bekannte funktionierende Systemstaterecovery -version eingespielt.

Leider ist auch danach der Fehler wieder aufgetaucht.

Ich hoffe das ich hier Hilfe bekomme und wenn es nur Anhaltspunkte sind, da ich im Moment etwas ratlos bin.

Grüße Mike

Wir haben hier eine Windows-Domäden mit 2 DC (einer davon virtualisiert), IP 192.168.1.3 und .4. Gateway ist eine FB7390 192.168.1.2

Nun kam der Wunsch, auch bei AUsfall der beiden DC zumindest freies Surfen zu ermöglichen.
Daher wurde lange Zeit in DHCP als dritter DnS die 192.168.1.2 ausgeliefert.

Schien auch zu funktionieren. 1 DC aus, dann übernimmt der andere; beide DC aus und die FB löst immerhin externe Namen auf.

Funktioniert aber trotzdem nicht zufriedenstellend:
1. nur Clients, die bereits eine IP bekommen haben, kommen auch in den Genuss der 192.168.1.2 als DNS. Neu-ANkömmlinge gehen leer aus.

2. VPN-Clients (über Windows RRAS und SSTP) bekommen ebenfalls die 3 DNS ; aber es steht die .2 an oberster Stelle (in DHCP an dritter!). Entsprechend liefert ein [I]nslookup <interner Name>[/I] meist flasche Angaben.

3. ENtfernen der .2 aus DHCP löst das Problem für VPN.

Aber wie mache ich es besser ?
Ideal wer der FB-interne DHCP, der erst IPs ausliefert wenn kein anderer DHCP reagiert hat. In W2008 kann man für den DHCP eine Verzögerung einstellen.
ANy ideas ?

Hallo,

wir sind im Begriff an einem neuen Standort eine Domänencontroller (Win 2008) hinzustellen.
Die WAN Strecke ist nicht so super schnell. Kann ich den neuen Domänencontroller in einem schnelleren Netz (erst-) replizieren lassen und anschließend an seinem Bestimmungsort in Betrieb nehmen ?
Geht so was oder verbiege ich mir die Konfiguration ?

Viele Grüße
Roland

Hallo.

Zur Übersicht vorab:
Wir haben 2 Domänen. Eine Domäne der gesamten Firma (einschließlich Tochterfirmen) und eine Domäne für die Communication Center. Diese müssen natürlich beide gepflegt werden und jeweils ein neuer User angelegt oder deaktiviert werden. Der Telefonanlage werden natürlich auch neue User hinzugefügt oder gelöscht. Um diesen Arbeitsaufwand zu vermeiden hat sich der Telefonanlagen Hersteller gedacht das es für gewisse Dinge nur noch eine Schnittstelle nötig sind. Jetzt stehen wir vor dem Problem wie wir die ganzen Dinge unter einen Hut bekommen, sodass wir nur noch eine zentrale Benutzerverwaltung haben.

Die neue Version unserer Telefonanlage (ININ CIC 4.0) benötigt  eine LDAP DB und gewisse Status abzufragen.
Speziell der Status Aggregator kann kann nur eine LDAP DB abfragen, deshalb muss das AD der 1.-Domäne in das AD der 2.-Domäne "kopiert" werden, auf das wiederum die Telefonanlage (CIC Software) zugreift und nutzt.

Nun die alles entscheidende Frage. Ist das überhaupt möglich so zu realisieren?
Falls ja, wie realisiere ich das am besten? Und falls nein, wie könnte man das realisieren?

Vielen Dank schon mal vorab.

Hallo,
ich möchte eine AD Gruppe so berechtigen, dass sie bei einem Benutzer das Feld Vorname und Nachname editieren kann.
Das vorgehen ist mir klar.
Vorname kann ich finden, aber Nachname leider nicht.
Hab auch schon unter dem Recht SN geschaut. Leider gibt es das nicht.
Kann mir jemand sagen welches Recht ich da setzen muss?
Nutze Server 2008 R2 deutsch.

Danke und Gruß

Dennis

Hi Community,

wir hatten auf einen alten W2K3SP4 DC eine AD-integrierte RootCA installiert und nun nacheinander alle alten DCs gegen neue (W2K8R2) ausgetauscht. Dabei haben wir die RootCA auf dem alten DC vergessen bevor dieser demotet wurde. Von diesem DC exisitiert leider nur noch ein Backup. Eine Datei da rauszupfriemeln wäre also nicht das Problem, dass System allerdings wieder lauffähig zu bekommen scheint sehr aufwändig.

Gibt es eine Möglichkeit die RootCA auf einen der neuen DCs wieder zu installieren, ohne dass ich in einen Konflikt mit der alten komme?

Thx & Bye Tom

Hallo,

ich habe bei meinem Windows 2012 Essentials Server, die Rolle AD RMS hinzugefügt.

Anschließend wurde ich aufgefordert, diese Rolle zu konfigurieren. Das habe ich soweit getan.
(Der angelegte Benutzer Dom-Admin). Nachdem die Konfiguration durchlief, gab es allerdings eine Fehlermeldung, dass die Konfiguration nicht erfolgreich durchgeführt wurde. Zur Analyse, würde ich gerne wissen, ob es irgendwo ein LOG gibt, indem ich nach Fehlern schauen kann?

Danke und Grüße

Hallo Zusammen,

ich habe ein kleines Problem mit einer VPN-Verbindung. Wir nutzen eine VPN-Verbindung zu einer ehemaligen Niederlassung. Diese VPN-Verbindung wurde von einer externen Firma eingerichtet, ich habe lediglich die Zugangsdaten. Die VPN-Verbindung an sich funktioniert ohne Probleme, das einzige was nicht funktioniert ist der Zugriff in der Domäne. Wenn ich mich z.B. auf eine Freigabe auf dem Printserver verbinden möchte, kommt ein Fenster mit der Benutzerabfrage. In diesem Fenster steht der Benutzer „APC“, der eigentlich nur die VPN-Verbindung aufbaut. Dieser Benutzer ist aber nicht in unserem Netzwerk verfügbar, weil sie dort ihren Domänen-Benutzer nehmen sollte. Gibt es vielleicht eine Einstellung auf dem Client wo man sagen kann das er nach der Einwahl den Domänen-Benutzer nehmen soll?

Danke und Gruß

Hallo alle,

ich habe zwei Domains (domain.local und sub.domain.local) an zwei Standorten, die mit einer VPN verbunden sind. Seit ca. einer Woche haben wir das Problem, dass sich zeitweilig niemand oder nicht alle aus sub.domain.local per Remotedesktopverbindung an einem Server in domain.local anmelden kann. Die Fehlermeldung dazu lautet: "Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden".

Ein "repadmin/syncall herakles.sub.domain.local dc=domain,dc=local" ergibt den Fehler 8420 "Der Namenskontext wurde nicht gefunden". Dcdiag meldet jedoch keine Fehler, auch "repadmin /showrepl" sagt in beiden Domänen, dass alles gut ist. Im Eventlog sind ebenfalls keine Fehler verzeichnet.

Jemand eine Idee, wo man (noch) suchen kann/ muss?

Grüße

  Heiko

Hallo,

ich habe ein Problem mit einer externen Vertrauensstellung die mich langsam zum verzweifeln bringt. Und zwar kann ich das Problem nicht anders beschreiben als das die Vertrauensstellung nach einer gewissen Zeit nicht mehr "synchron" ist. Es äußert sich damit das ich, nach einen Problemlosen betrieb von teilweise lediglich 1-2 Stunden oder auch mehreren Tagen, von Dom2 nicht mehr auf Dom1 zugreifen kann. So erhalte ich z.B. folgende Fehlermeldung wenn ich von Dom2 auf einen NetShare von Dom1 zugreifen möchte:

DEU: Die Vertrauensstellung zwischen der primären und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
ENU: The trust relationship between the primary and the trusted domain failed.

Ich habe bereits die Vertrauensstellung mehrere male entfernt und wieder neu eingerichtet. Leider immer ohne erfolg. Zwischen dem Löschvorgang und der wiedereinrichtung habe ich zudem in der Regel ca. 7 Tage verstreichen lassen so das ein Replikationsproblem ausgeschlossen werden kann(?). Zusätzlich habe ich kontrolliert das, bei einer Neueinrichtung, die jeweile Domain als trustedDomain nicht unter CN=System vorhanden ist.

Sollte ich zudem die Vertrauensstellung per Passwort einrichten, erhalte ich bei der Valdidierung die Fehlermeldung das der Zugriff von Dom2 auf Dom1 aufgrund einer Access Denied Meldung nicht möglich ist.

Erstelle ich den Domain Trust in der Einrichtung über die Eingabe der dortigen Credentials funktioniert die Validierung einwandfrei. Die Validierung funktioniert auch weiterhin problemlos, solange ich Sie natürlich über die Credentials Funktion eingerichtet habe, wenn die Domäne wieder "Out-of-Sync" ist und z.B. kein Dateizugriff möglich ist.

Zu beachten ist das die Probleme lediglich bei dem Zugriff von Dom2 auf Dom1 auftreten. Der Zugriff von Dom1 auf Dom2 funktioniert durchgehend ohne Probleme.

Beide Domänen sind auf dem Funktionslevel 2008 R2 und die Domänencontroller sind auch mit 2008 R2 installiert. Dom1 verfügt lediglich über einen Standort, während Dom2 über drei Standorte verfügt. Die Zeiten beider Domänen sind bis auf die Sekunde synchron. 

"dcdiag /c" liefert auf beiden Domänen keine Fehler. Weiterhin erhalte ich auch über das normale EventLog keine Fehlermeldungen die ein Problem erkennen lassen.

Weiterhin sind die FSMO Rollen entsprechend verteilt und schneiden sich nicht mit der Funktion eines GC.

Ich hoffe irgendjemand hat eine Idee wo hier mein Problem liegen könnte.

Würde ein kostenpflichtiges Ticket bei MS mir hier helfen? Oder würde lediglich überprüft werden ob ein Bug vorliegt und bei einem Konfigurationsproblem keine Aktion/Hilfe unternommen werden?

MfG

MW

Hallo,

mir gelingt es nicht, das Adminstratorkonto in der AD eines ausgeschiedenen Kollegen zu deaktivieren. Ich erhalte immer die Meldung, dass mir die Rechte fehlen. Ich kann auch nicht die Remote-Einwahl-Einstellungen verändern. Die Domäne läuft unter Windows 2012.

Ich habe selber Administratorrechte und mir ist nicht bewusst, dass ich sie eingeschränkt habe. Wie gehe ich vor?

Danke!

Karl

Hallo,

ich habe ein Phänomen das ich nicht wirklich verstehe. Ich habe einen Windows 8 Client in einer 2008R2 Domain. Wenn ein User (egal welcher) versucht an diesem Client sein Passwort zu ändern, erscheint folgender Fehler

"die Sicherheitsdatenbank auf dem Server enthält keinComputerkonto für diese Arbeitsstationsvertrauensstellung"

Der Client existiert aber im AD (Replikation läuft fehlerfrei) Anmeldung am Client funktioniert auch. nltest und Test-Computersecurechannel gibt keine Fehler zurück. Ich habe den Client auch schon komplett neu aufgesetzt... Fehler bleibt bestehend. Auf einem Windows7 Client im selben Subnetz funktioniert der Passwortwechsel einwandfrei.

Im Eventlog des Clients ist nichts zu finden...

Im Eventlog des DC' taucht folgende Meldung auf, wenn versucht wird das PW zu ändern

Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert.

Kontoinformationen:
    Kontoname:                Username
    Angegebener Bereichsname:        Domain

    Benutzer-ID:                Domain\Username

Dienstinformationen:
    Dienstname:                krbtgt
    Dienst-ID:                Domain\krbtgt

Netzwerkinformationen:
    Clientadresse:                ::ffff:172.21.101.113
    Clientport:                56019

Weitere Informationen:
    Ticketoptionen:            0x40810010
    Ergebniscode:                0x0
    Ticketverschlüsselungstyp:        0x12
    Typ vor der Authentifizierung:    2

Zertifikatsinformationen:
    Zertifikatausstellername:        
    Seriennummer des Zertifikats:    
    Zertifikatfingerabdruck:   

Ich bin langsam mit meinem Latein an Ende...

Vorschläge?

Grüße

Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS

Hallo,

ich habe beim heraufstufen (DCPROMO) eines zweiten Servers Server 2008 R2 (DC Server 2003/32) folgendes Problem:

Sicherheitsinformation für das Netzwerk

Fehler bei der Ausführung des Vorgangs: Der Assistent zum Installieren von Active Directory konnte das Computerkonto XXX nicht in ein Active Directory-Domänencontroller konvertieren. "Zugriff verweigert"

kb/232070/ habe ich beachtet (darf leider keinen Link oder Bilder einsetzen)!

Delegierungszwecke wird auch an beiden Servern angezeigt (Replizierung funktioniert).

Trotzdem bekomme ich bei DCPROMO obige Fehlermeldung.

Hat jemand noch eine Idee?

Danke Gruß

Wolfgang

Hi Community,

wir haben unseren Server 2003 Terminal Server gegen einen 2008 R2 RDS Server getauscht. Daran anmelden sollen sich ausschließlich Benutzer, welche mit Mac OSX arbeiten. Die Benutzer haben ein AD (Benutzer) Konto und solange sie sich am W2K3 Server angemeldet haben, hatte es gereicht den Benutzern im AD nur den Terminalserver als erlaubte Anmeldestation einzutragen. Mit dem 2008 R2 RDS Server funktioniert das nicht mehr, jetzt muss ich dem Benutzer das Anmelden an allen Stationen erlauben, damit er sich am RDS Server anmelden kann. Das ist nicht ideal...

Auf dem RDS Server wird dazu folgende Sicherheitsmeldung geloggt:

---snip---

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         06.11.2013 17:00:59
Ereignis-ID:   4625
Aufgabenkategorie:Anmelden
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      RDS.OURDOMAIN.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        NULL SID
    Kontoname:        -
    Kontodomäne:        -
    Anmelde-ID:        0x0

Anmeldetyp:            3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        NULL SID
    Kontoname:        ouruser
    Kontodomäne:        ourdomain

Fehlerinformationen:
    Fehlerursache:        Der Benutzer ist nicht berechtigt, sich an diesem Computer anzumelden.
    Status:            0xc000006e
    Unterstatus::        0xc0000070

Prozessinformationen:
    Aufrufprozess-ID:    0x0
    Aufrufprozessname:    -

Netzwerkinformationen:
    Arbeitsstationsname:    prontos-Mac-Pro.local
    Quellnetzwerkadresse:    -
    Quellport:        -

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
---snap---

Gibts da eine akzeptable Lösung für das Problem?

Thx & Bye Tom