Matzel80

Hallo zusammen,

folgendes Szenario:

Ich habe nen Win 2000 Server zum DC hochgestuft, OUs und Benutzer, deren Home - Verzeichnisse sind angelegt: alles in allem steht die Domäne.

Welche Dateien eines Win 2000 Servers sollten nun gesichert werden:

AD, Home - Verzeichnisse etc.

Gibt es da ein Konzept (Links) bzw. ne Schritt für Schritt - Anleitung, was es zu beachten gibt?

Thx im Voraus

Hallo,

ich füge der Domäne einen zweiten DC zu, der als Replikationspartner des ersten DCs dienen soll.

Welche Daten werden repliziert?

AD, Benutzerkonten, Home - Verzeichnisse???

Thx im Voraus?

Ja, ich werde erstmal alles einrichten und falls noch Fragen auftauchen, hier weiter posten.

Danke ersteinmal.

@ taschentoast

es handelt sich um folgenden Router, er war mehrfach Testsieger

http://www.netgear.de/Privat/Router/Wireless/WGR614/index.html

leider konnte ich auf der Herstellerseite nicht entnehmen, ob man es man Programmen untersagen kann, sich ins Internet einzuwählen --> deswegen sollte ja unter anderem auch die PWF dahinter installiert werden

Eventuell hast Du ja Erfahrungen mit dem Gerät und kannst dazu raten oder vielleicht auch abraten

@ Gonfucius

Kannst Du kurz begründen, warum es so ist?

@ cujo

"Aber da gibt es jede Menge Möglichkeiten, ich würde mir da nicht lang den Kopf zerbrechen. Heimnetz mit Arbeitsgruppe, über die PFW die Trusted Zone eingerichtet und den Filter eingestellt, beim Router die Verschlüsselung aktiviert und nur als eingeschränkter User in's Netz, mit aktuellen Patches, Updates und Virenscanner sollte es reichen"

So werde ich es umsetzen...und Freigaben nur in dem Moment einrichten, in dem keine Verbindung zum Internet besteht

Eine Frage noch: Der Router baut doch nur dann eine Verbindung ins Inet auf, wenn er durch den Browser eines Rechners dazu initiiert wird, oder? Kann ein Angreifer den Router auch von außen lokalisieren, obwohl keiner der dahinterhängenden Rechner eine Verbindung ins Netz hat, sprich der Router nimmt in diesem Moment überhaupt nicht die ihm zugedachte Aufgabe als Einwahlstation wahr?

@ taschentoast

geht doch...wollte auch keine Verbalattacke auf Dich starten, aber, und das scheint nun mal Tatsache zu sein, wenn jemand über mehr Wissen verfügt, als andere, dann sollte er versuchen, dieses Wissen auf die verständlichste Art und Weise weiterzugeben...danke für Deine Ausführungen

Hmm....aber meine Neugier hast Du schon geweckt, weil ich es doch bedenklich finde, dass die Desktop-Firewall so einfach auszuhebeln sein soll

@ taschentoast

"Internetzugriff für Programm "iexplore.exe" erlauben?

o ja

o nein

o vielleicht

*gespannt auf die Antwort*

taschentoast"

Ja, genau, so habe ich es gemacht und eigentlich war ich der Meinung, dass dieser Konfigurationsschritt als Applikationsfilterung zu verstehen ist. Aber ich lasse mich gern eines besseren belehren, wenn es auf sachliche Art und Weise geschieht und nicht auf Groß****-und Klug******ermanier. Also gib konstruktive Antworten oder lass' es gänzlich.

@ cujo

Danke zunächst um ernsthaftes Bemühen zum Lösen des Problems. Mein Anliegen ist folgendes:

Die zwei Rechner, welche sich hinter dem Router verbergen, sollen kontrolliert miteinander kommunizieren können bzw. trotz des Routers (welcher das LAN ja schon durch NAT schützt) gegeneinander abgeschirmt sein, damit ein Angreifer, falls er es schafft durch den Router hindurch auf einen der nachgelagerten Rechner durchzugreifen, nicht auch leichten Spiels auf den anderen Rechner zugreifen kann. Ferner glaube ich, ist es nicht möglich an dem von mir ausgewählten Router einen Programmfilter einzusetzen (d.h. auswählenden Programmen das Auswählen zu verbieten, was ja einwandfrei mit Zone Alarm möglich ist). Deshalb wähle ich diesen Aufbau. Hast Du eine bessere Lösung parat?

Gruß Marcel

@ nic_power

auch Dir vielen Dank für Deine Antworten.

@ cH4PpY

Du schreibst, das es möglich ist, Zone Alarm mittels eines Befehls als Angreifer abzuschießen. Ich habe gelesen, dass das ab Zonealarm 4.5 nicht mehr möglich ist und ich muss sagen, dass ich seit 3 Jahren mit dem Programm arbeite und noch nichts der gleichen geschehen ist. Kannst Du mal genau schildern, wie dieses Abschießen von Statten geht?

@ Jack C

Zone Alarm soll auf jeden Fall hinter dem Router installiert bleiben, da es als Applikationsfilter ist, mit dem ich ausgehende VErbindungen unterbinden kann.

@ nic_power

danke, das war ne schnelle und kompetente Antwort.

Ich dachte nämlich, dass Zonealrarm ebenfalls mit NAT arbeitet, aber wenn es nur einen Applikationsfilter darstellt, dann sollte es da wirklich keine Probleme geben. Ich will nur sicher gehen, dass die PCs, die sich hinter dem W-LAN-Router befinden, nocheinmal gegeneinander abgeschirmt sind.

Hey, wer kann mir sagen ob es möglich ist, in einem Hausnetzwerk, bestehend aus zwei Pcs (Win XP und Win 2000) in einer Windows –Arbeitsgruppe, einen W-LAN Router einzusetzen, obwohl beide Rechner nochmals hinter dem Router mittels einer Firewall (Zonealarm) gegeneinander abgeschirmt sind. Problematisch erscheint mir das dahingehend, dass sowohl die Firewall, als auch der Router mittels NAT arbeiten, was eventuell zu Konflikten führen kann.

Danke im Voraus

Danke, das war eigentlich die Antwort, nach der ich gesucht habe....nun ist es auch offiziell bestätigt

Greetz Marcel

Danke für die Mühe,

geht es allerdings auch mit windowseigenen Mitteln (sprich mit ner Administratriven Vorlage unter Win 2000 oder Win 2003 Server???

wird warscheinlich gar nicht gehen, da Win XP Home nicht das Feature der lokalen Gruppenrichtlinien mit sich bringt- Win XP Professional schon.

Ohne Lokale Gruppenrichtlinien dürften auch keine weiteren Einschränkungen möglich sein.

Hallo, ich habe Aufklärungsbedarf zu Windows 2000 Professional (vermutlich ist es bei XP dasselbe Problem).

Folgendes Szenario:

Ich habe eine Windows 2000 Professional Workstation, auf der ich die systemregistrierten User in ihren Rechten einschränken möchte.

Systemregistrierte User sind folgende (sie wurden von mir angelegt und in die angegebenen Gruppen verschoben):

User

1. Thomas -->gehört zur Gruppe der Administratoren

2. User X --> gehört zur Gruppe Hauptbenutzer

3. User Y --> gehört zur Gruppe Benutzer

Nun wollte ich die Rechte der Windowseigenen Standardgruppe "Benutzer" weiter einschränken --> (dieser Gruppe stehen von Haus aus die wenigsten Rechte zu), um die Manipulation am System zu unterbinden.

Zu den angedachten Einstellungen zählten z.B. das Ausblenden der Systemsteuerung, das Unzugänglichmachen des Kommandozeilentools "Ausführen" im Startmenü, das Ausblenden der Netzwerkverbindungen und weitere Funktionen....

Als geeignetes Mittel dachte ich das lokale Gruppenrichtlinienobjekt an, über das jedes Windows 2000 Professional verfügt.

Es befindet sich unter:

c:\winnt\system32\ gpedit.msc. --> der Editor zum Konfigurieren der Gruppenrichtlinien

Die vorgenommenen Konfigurationen befinden sich in den Dateien im Verzeichnis:

c:\winnt\system32\GroupPolicies.

Meinem Kenntnisstand zufolge, besitzt jedes Windows 2000 Professional genau ein lokalen Gruppenrichtlinienobjekt.

Über dieses kann man die oben genannten Konfigurationseinstellungen tätigen, das Problem ist allerdings, das diese fertiggestellte Gruppenrichtlinienkonfiguration nicht irgendwelchen Gruppen (Administratoren, Benutzer, Hauptbenutzer etc.) zuweisen kann, sondern diese fertiggestellte Gruppenrichtlinienkonfiguration verbindlich für alle User und alle Gruppen (sprich Thomas, User X, User Y, Administratoren, Benutzer, Hauptbenutzer etc.) gilt.

Durch diese Gruppenrichtlinie kann leider nicht selektiert werden, wer davon betroffen ist und wer nicht. Sie gilt für alle verbindlich. Auch der Administrator ist von den Einschränkungen betroffen.

Nun dachte ich mir, ich könnte Abhilfe schaffen, in dem ich den Hauptbenutzern und den Administratoren, für die diese Einschränkungen nicht gelten sollen, die Leserechte auf das Verzeichnis c:\winnt\system32\GroupPolicies entziehe.

Hauptbenutzer sollen nicht von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach gar keine Berechtigungen über die Sicherheitseinstellungen zugeteilt.

Administratoren sollen von den Einschränkungen nicht betroffen sein, aber dennoch das Recht haben, diese zu editieren.

Sie erhalten demnach Berechtigungen zu schreiben über die Sicherheitseinstellungen (sie müssen ja die Gruppenrichtlinien editieren können), aber keine Berechtigungen die Group Policies zu lesen --> sie sollen ja nicht davon betroffen und eingeschränkt sein.

Benutzer sollen von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach über die Sicherheitseinstellungen die Berechtigung zulesen, aber nicht zu schreiben.

So, nun habe ich alles schön konfiguriert.

Ich melde mich als Thomas (Admin) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll

Ich melde mich als User X (Hauptbenutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll

ABER:

Ich melde mich als User Y (Benutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> genau hier sollten aber die Gruppenrichtlinien wirken, da die Gruppe Benutzer die einzige ist, die die Berechtigung hat, die Group Policies zu lesen

Ich verstehe es nicht. Aus der Windows 2000 Hilfe geht auch nichts hervor.

Welcher kompetente Mensch kann mir sagen, warum das nicht funzt.

Spezialfrage

Was sind die Gruppen System und Ersteller- Besitzer, die mir außerdem bei den Sicherheitseinstellungen angeboten werden ?

Zur Info:

Ich habe nur Windows 2000 Professional, ohne aktuelles Servicepack installiert.

Ich hoffe nicht, dass es daran liegt.

Erstmal Frohe Weihnachten an alle

ich habe ne Frage zum Windows 2003 Server. Ist es möglich mittels einer Gruppenrichtlinie innerhalb einer Domäne USb- und Firewireports für bestimmte Benutzer, Organisationseinheiten etc. zu sperren. Damit soll umgangen werden, dass nicht jeder beliebig Daten ins Firmennetz einspeisen oder rausschmuggeln kann.

THx im Voraus

Sorry, jetzt habe ich es....man wählt den Ordner "Eigene DAteien" auf dem Desktop des jeweiligen Benutzerprofiles

Wenn ihr aber direkt einen Rechtsklick auf den Ordner "Eigene Dateien" im Verzeichnis "C:\Dokumente und Einstellungen\%username%\Eigene Dateien" macht, erhält man nicht dei Möglichkeit, den Zielpfad zu bestimmen...

Gruß Marcel

wie ich ein Netzlaufwerk herstelle, weis ich ja.....mich interessiert vielmehr wie ich dann dieses Netzlaufwerk automatisch als Standardpfad angeboten bekomme, sobald ich etwas speichern will?????

Ich denke, dafür werde ich bestimmt in die Registry begeben müssen....oder???

Danke für die rasche Antwort...

Ich würde gern den Weg, des Rechtsklicks gehen...Habe es gerade probiert...ich finde allerdings keine Eintrag im Kontextmenü "Netzlaufwerk verbinden"...ist bestimmt nervig für Dich, aber könntest Du das mal bitte Schritte für Schritt erläutern

THX

Hi zusammen,

ich beschäftige mich gerade mit dem Aufbau eines Peer to Peer Netzwerks unter Win2000 Prof. und der Möglichkeit in dieser Arbeitsgruppe eine dedizierte Workstation einzurichten, die den Zweck eines zentralen Speicherorts erfüllt- sprich es müssen nur alle Daten, die sich auf dem Rechner befinden gebackupt werden und nicht die Daten auf den einzelnen Workstations in der Arbeitsgruppe.

Dafür soll jeder User eine Ordnerumleitung seiner Standardspeicherpfadangabe "C:\Dokumente und Einstellungen\%user%\Eigene Dateien" in seinen eigenen Netzwerkordner erhalten. Sprich, der Netzwerkordner ist für den user angelegt worden, der User hat Vollzugriff auf den Ordner und sobald er beispielsweise ein Worddokument erstmalig speichern möchte, soll er nicht den Stanardspeicherpfad --> "C:\Dokumente und Einstellungen\%user%\Eigene Dateien" angeboten bekommen, sondern direkt den Pfad in den Netzwerkordner.

Wie ist das unter Win2000 Prof. möglich??

Bin für jede Hilfe dankbar.

THX

Besten Dank,

genau das war die Antwort auf die ich gewartet habe.

Grüße Marcel

hab' außerdem mal rumexperimentiert

Wenn man den "Client für Microsoft Netzwerke" auf der LAN- Netzwerkkarte entfernt, sind die Rechner nicht mehr inder Netzwerkumgebung zusehen und ein Pingen unter dem zuvor angezeigten Namen des Rechners in der Netzwrkumgebung ist auch nicht mehr möglich, aber das pingen der IP- Adresse des Rechners....

Resultat: Dann muss doch der "Client für Microsoft Netzwerke" eine Art Namensauflösungsserver sein oder ???

Wer weis mehr dazu???

Hab' mir übrigens die Dateien "HOSTS" bzw. "LMHOSTS" angeschaut, nachdem die Arbeitsgruppe fertig konfiguriert war....sprich die Rechner werden alle in der Netzwerkumgebung angezeigt und trotzdem sind sie nicht in den oben genannten Dateien aufgeführt --> also kann die Namensauflösung nicht mittels dieser Dateien durchgeführt werden

Noch mehr kurios ist die Tatsache, dass ich den Rechner 2 anpingen kann, und zwar nicht unter seiner IP- Adresse, sondern unter seinem "Namen" in der Arbeitsgruppe...--> also erfolgt hier auch schon eine Namensauflösung, aber wie ???

Hi, aber ich habe doch gar keinen WINS Server installiert.....wenn ich mich recht entsinne, löst ein WINS Server Netbios Namen im Netzwerk....aber wie gesagt: kein WINS Server und auch keinen DNS Server konfiguriert, und trotzdem erfolgt eine Namensauflösung.....

Wäre sehre genial, wenn jemand eine Lösung hat

:confused:

Salve,

hab nochmals ne Frage zu eine Peer to Peer Netzwerk unter Windows 2000 Prof.

Also, ich habe 2 Rechner, in denen die Netzwerkkarten ordnungsgemäß installiert sind. Beide Rechner sind mit einer IP- Adresse & Netzmaske versehen worden:

Rechner 1--> 192.168.1.1 und 255.255.255.0

Rechner 2--> 192.168.1.2 und 255.255.255.0

Die Arbeitsgruppe funktioniert , die Rechner sehen sich in der Netzwerkumgebung.

Hier meine Frage:

Ich habelediglich die IP-Adresse und die Netzmaske konfiguriert. In dem gleichen Konfigurationsmenü können auch Einträge zum DNS- Server gemacht werden, der ja wiederum die IP- Adressen in Klartextnamen auflösen soll. Ich habe allerdings keinen Eintrag gemacht und trotzdem befinden sich nach der Eingliederung der beiden PCs in die Arbeitsgruppe ( Vergabe der Namen Rechner 1 und Rechner 2), die Rechner mit dem aufgelösten Namen, sprich Rechner 1 und Rechner 2 in der Netzwerkumgebung. Das ist mir schleierhaft, da ich ja keinen DNS Server installiert habe, der die Auflösung der IP- Adresse in Rechner 1 oder Rechner 2 vornehmen kann und trotzdem steht in der Netzwerkumgebung Rechner 1 und nicht die etwa die eigentlich erwartete IP- Adresse.

Installiert Windows im Hintergrund einen DNS Server, von dem der User nix mitbekommt oder wie es zu der Auflösung der IP- Adresse in den Klartextnamen "Rechner 1"???

Danke für jede Info

besten Dank,

hat gefunzt..

Hallo Zusammen,

Ich habe folgendes Problem:

Ich habe eine Arbeitsgruppe mit Namen „Home“ aufgemacht und den beiden Rechnern jeweils eine IP und Netzmaske gegeben

Rechner 1--> 192.168.1.1 und 255.255.255.0

Rechner 2--> 192.168.1.2 und 255.255.255.0

Die Arbeitsgruppe funktioniert insofern, das sich die Rechner in der Netzwerkumgebung sehen können.

Und jetzt mein Problem: Wenn ich einen Ordner freigeben möchte, mache ich das mittels der „Freigabeberechtigung“ à Rechtsklick/ Freigabe usw.

Unter Berechtigungen würde ich gern „Jeder“ entfernen und nur von mir berechtigte Nutzer dort eintragen. Allerdings kann ich unter „Hinzufügen“ niemanden anklicken dessen Benutzerkonto auf einem anderen PC eingerichtet wurde à z.B. \\RechnerX\ Hans Meier

Da bekomme ich jedes Mal die Nachricht, der Benutzername kann nicht gefunden werden.

Ist es eventuell möglich, dass in einer Arbeitsgruppe (Peer to Peer) keine Freigaben für Benutzer eingerichtet werden können, deren Konten nicht lokal auf dem PC der freigegebenen Ordner liegen, sondern die sich auf einem anderen PC innerhalb der Arbeitsgruppe befinden????

Zwar funktioniert die Option „Jeder“, aber das bedeutet ja, dass auch jeder, dessen Konto sich auf einem Rechner in der Arbeitsgruppe befindet, auf das freigegebene Verzeichnis zugreifen kann, was eigentlich nicht Sinn der Sache sein sollte.

Bleibt mir lediglich die Möglichkeit der versteckten Freigabe (z.B. „freigebebener Ordner$“)???

Ich bin wirklich für jede Hilfe dankbar

Thx

Marcel