Matzel80

Hallo zusammen, folgendes Szenario: Ich habe nen Win 2000 Server zum DC hochgestuft, OUs und Benutzer, deren Home - Verzeichnisse sind angelegt: alles in allem steht die Domäne. Welche Dateien eines Win 2000 Servers sollten nun gesichert werden: AD, Home - Verzeichnisse etc. Gibt es da ein Konzept (Links) bzw. ne Schritt für Schritt - Anleitung, was es zu beachten gibt? Thx im Voraus

Hallo, ich füge der Domäne einen zweiten DC zu, der als Replikationspartner des ersten DCs dienen soll. Welche Daten werden repliziert? AD, Benutzerkonten, Home - Verzeichnisse??? Thx im Voraus?

Ja, ich werde erstmal alles einrichten und falls noch Fragen auftauchen, hier weiter posten. Danke ersteinmal.

@ taschentoast es handelt sich um folgenden Router, er war mehrfach Testsieger http://www.netgear.de/Privat/Router/Wireless/WGR614/index.html leider konnte ich auf der Herstellerseite nicht entnehmen, ob man es man Programmen untersagen kann, sich ins Internet einzuwählen --> deswegen sollte ja unter anderem auch die PWF dahinter installiert werden Eventuell hast Du ja Erfahrungen mit dem Gerät und kannst dazu raten oder vielleicht auch abraten

@ Gonfucius Kannst Du kurz begründen, warum es so ist?

@ cujo "Aber da gibt es jede Menge Möglichkeiten, ich würde mir da nicht lang den Kopf zerbrechen. Heimnetz mit Arbeitsgruppe, über die PFW die Trusted Zone eingerichtet und den Filter eingestellt, beim Router die Verschlüsselung aktiviert und nur als eingeschränkter User in's Netz, mit aktuellen Patches, Updates und Virenscanner sollte es reichen" So werde ich es umsetzen...und Freigaben nur in dem Moment einrichten, in dem keine Verbindung zum Internet besteht Eine Frage noch: Der Router baut doch nur dann eine Verbindung ins Inet auf, wenn er durch den Browser eines Rechners dazu initiiert wird, oder? Kann ein Angreifer den Router auch von außen lokalisieren, obwohl keiner der dahinterhängenden Rechner eine Verbindung ins Netz hat, sprich der Router nimmt in diesem Moment überhaupt nicht die ihm zugedachte Aufgabe als Einwahlstation wahr? @ taschentoast geht doch...wollte auch keine Verbalattacke auf Dich starten, aber, und das scheint nun mal Tatsache zu sein, wenn jemand über mehr Wissen verfügt, als andere, dann sollte er versuchen, dieses Wissen auf die verständlichste Art und Weise weiterzugeben...danke für Deine Ausführungen Hmm....aber meine Neugier hast Du schon geweckt, weil ich es doch bedenklich finde, dass die Desktop-Firewall so einfach auszuhebeln sein soll

@ taschentoast "Internetzugriff für Programm "iexplore.exe" erlauben? o ja o nein o vielleicht *gespannt auf die Antwort* taschentoast" Ja, genau, so habe ich es gemacht und eigentlich war ich der Meinung, dass dieser Konfigurationsschritt als Applikationsfilterung zu verstehen ist. Aber ich lasse mich gern eines besseren belehren, wenn es auf sachliche Art und Weise geschieht und nicht auf Groß****-und Klug******ermanier. Also gib konstruktive Antworten oder lass' es gänzlich. @ cujo Danke zunächst um ernsthaftes Bemühen zum Lösen des Problems. Mein Anliegen ist folgendes: Die zwei Rechner, welche sich hinter dem Router verbergen, sollen kontrolliert miteinander kommunizieren können bzw. trotz des Routers (welcher das LAN ja schon durch NAT schützt) gegeneinander abgeschirmt sein, damit ein Angreifer, falls er es schafft durch den Router hindurch auf einen der nachgelagerten Rechner durchzugreifen, nicht auch leichten Spiels auf den anderen Rechner zugreifen kann. Ferner glaube ich, ist es nicht möglich an dem von mir ausgewählten Router einen Programmfilter einzusetzen (d.h. auswählenden Programmen das Auswählen zu verbieten, was ja einwandfrei mit Zone Alarm möglich ist). Deshalb wähle ich diesen Aufbau. Hast Du eine bessere Lösung parat? Gruß Marcel @ nic_power auch Dir vielen Dank für Deine Antworten. @ cH4PpY Du schreibst, das es möglich ist, Zone Alarm mittels eines Befehls als Angreifer abzuschießen. Ich habe gelesen, dass das ab Zonealarm 4.5 nicht mehr möglich ist und ich muss sagen, dass ich seit 3 Jahren mit dem Programm arbeite und noch nichts der gleichen geschehen ist. Kannst Du mal genau schildern, wie dieses Abschießen von Statten geht?

@ Jack C Zone Alarm soll auf jeden Fall hinter dem Router installiert bleiben, da es als Applikationsfilter ist, mit dem ich ausgehende VErbindungen unterbinden kann. @ nic_power danke, das war ne schnelle und kompetente Antwort. Ich dachte nämlich, dass Zonealrarm ebenfalls mit NAT arbeitet, aber wenn es nur einen Applikationsfilter darstellt, dann sollte es da wirklich keine Probleme geben. Ich will nur sicher gehen, dass die PCs, die sich hinter dem W-LAN-Router befinden, nocheinmal gegeneinander abgeschirmt sind.

Hey, wer kann mir sagen ob es möglich ist, in einem Hausnetzwerk, bestehend aus zwei Pcs (Win XP und Win 2000) in einer Windows –Arbeitsgruppe, einen W-LAN Router einzusetzen, obwohl beide Rechner nochmals hinter dem Router mittels einer Firewall (Zonealarm) gegeneinander abgeschirmt sind. Problematisch erscheint mir das dahingehend, dass sowohl die Firewall, als auch der Router mittels NAT arbeiten, was eventuell zu Konflikten führen kann. Danke im Voraus

Danke, das war eigentlich die Antwort, nach der ich gesucht habe....nun ist es auch offiziell bestätigt Greetz Marcel

Danke für die Mühe, geht es allerdings auch mit windowseigenen Mitteln (sprich mit ner Administratriven Vorlage unter Win 2000 oder Win 2003 Server???

wird warscheinlich gar nicht gehen, da Win XP Home nicht das Feature der lokalen Gruppenrichtlinien mit sich bringt- Win XP Professional schon. Ohne Lokale Gruppenrichtlinien dürften auch keine weiteren Einschränkungen möglich sein.

Hallo, ich habe Aufklärungsbedarf zu Windows 2000 Professional (vermutlich ist es bei XP dasselbe Problem). Folgendes Szenario: Ich habe eine Windows 2000 Professional Workstation, auf der ich die systemregistrierten User in ihren Rechten einschränken möchte. Systemregistrierte User sind folgende (sie wurden von mir angelegt und in die angegebenen Gruppen verschoben): User 1. Thomas -->gehört zur Gruppe der Administratoren 2. User X --> gehört zur Gruppe Hauptbenutzer 3. User Y --> gehört zur Gruppe Benutzer Nun wollte ich die Rechte der Windowseigenen Standardgruppe "Benutzer" weiter einschränken --> (dieser Gruppe stehen von Haus aus die wenigsten Rechte zu), um die Manipulation am System zu unterbinden. Zu den angedachten Einstellungen zählten z.B. das Ausblenden der Systemsteuerung, das Unzugänglichmachen des Kommandozeilentools "Ausführen" im Startmenü, das Ausblenden der Netzwerkverbindungen und weitere Funktionen.... Als geeignetes Mittel dachte ich das lokale Gruppenrichtlinienobjekt an, über das jedes Windows 2000 Professional verfügt. Es befindet sich unter: c:\winnt\system32\ gpedit.msc. --> der Editor zum Konfigurieren der Gruppenrichtlinien Die vorgenommenen Konfigurationen befinden sich in den Dateien im Verzeichnis: c:\winnt\system32\GroupPolicies. Meinem Kenntnisstand zufolge, besitzt jedes Windows 2000 Professional genau ein lokalen Gruppenrichtlinienobjekt. Über dieses kann man die oben genannten Konfigurationseinstellungen tätigen, das Problem ist allerdings, das diese fertiggestellte Gruppenrichtlinienkonfiguration nicht irgendwelchen Gruppen (Administratoren, Benutzer, Hauptbenutzer etc.) zuweisen kann, sondern diese fertiggestellte Gruppenrichtlinienkonfiguration verbindlich für alle User und alle Gruppen (sprich Thomas, User X, User Y, Administratoren, Benutzer, Hauptbenutzer etc.) gilt. Durch diese Gruppenrichtlinie kann leider nicht selektiert werden, wer davon betroffen ist und wer nicht. Sie gilt für alle verbindlich. Auch der Administrator ist von den Einschränkungen betroffen. Nun dachte ich mir, ich könnte Abhilfe schaffen, in dem ich den Hauptbenutzern und den Administratoren, für die diese Einschränkungen nicht gelten sollen, die Leserechte auf das Verzeichnis c:\winnt\system32\GroupPolicies entziehe. Hauptbenutzer sollen nicht von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach gar keine Berechtigungen über die Sicherheitseinstellungen zugeteilt. Administratoren sollen von den Einschränkungen nicht betroffen sein, aber dennoch das Recht haben, diese zu editieren. Sie erhalten demnach Berechtigungen zu schreiben über die Sicherheitseinstellungen (sie müssen ja die Gruppenrichtlinien editieren können), aber keine Berechtigungen die Group Policies zu lesen --> sie sollen ja nicht davon betroffen und eingeschränkt sein. Benutzer sollen von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach über die Sicherheitseinstellungen die Berechtigung zulesen, aber nicht zu schreiben. So, nun habe ich alles schön konfiguriert. Ich melde mich als Thomas (Admin) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll Ich melde mich als User X (Hauptbenutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll ABER: Ich melde mich als User Y (Benutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> genau hier sollten aber die Gruppenrichtlinien wirken, da die Gruppe Benutzer die einzige ist, die die Berechtigung hat, die Group Policies zu lesen Ich verstehe es nicht. Aus der Windows 2000 Hilfe geht auch nichts hervor. Welcher kompetente Mensch kann mir sagen, warum das nicht funzt. Spezialfrage Was sind die Gruppen System und Ersteller- Besitzer, die mir außerdem bei den Sicherheitseinstellungen angeboten werden ? Zur Info: Ich habe nur Windows 2000 Professional, ohne aktuelles Servicepack installiert. Ich hoffe nicht, dass es daran liegt.

Erstmal Frohe Weihnachten an alle ich habe ne Frage zum Windows 2003 Server. Ist es möglich mittels einer Gruppenrichtlinie innerhalb einer Domäne USb- und Firewireports für bestimmte Benutzer, Organisationseinheiten etc. zu sperren. Damit soll umgangen werden, dass nicht jeder beliebig Daten ins Firmennetz einspeisen oder rausschmuggeln kann. THx im Voraus

Sorry, jetzt habe ich es....man wählt den Ordner "Eigene DAteien" auf dem Desktop des jeweiligen Benutzerprofiles Wenn ihr aber direkt einen Rechtsklick auf den Ordner "Eigene Dateien" im Verzeichnis "C:\Dokumente und Einstellungen\%username%\Eigene Dateien" macht, erhält man nicht dei Möglichkeit, den Zielpfad zu bestimmen... Gruß Marcel