Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Sunday, November 12, 2006
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<November 2006>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Sunday, November 12, 2006
Gruppenrichtlinien zurücksetzen

Möchte man unter Windows Server 2000, die beiden Richtlinien „Default Domain Controllers Policy“ sowie „Default Domain Policy“ in den Auslieferungszustand zurücksetzen, so kann man das mit dem „Windows 2000 Default Group Policy Restore Tool“ „RecreateDefPol.exe“ erledigen:

Windows 2000 Default Group Policy Restore Tool

 

Hinweis: Dieses Tool gilt nur für Windows Server 2000!

 

 

Unter Windows Server 2003 kann man die beiden Richtlinien folgendermaßen zurücksetzen:

DCGPOFIX auf einem DC/Exchange

 

 

Es ist auch möglich, die Richtlinien „händisch“ zurückzusetzen:

How to reset user rights in the Default Domain Controllers Group Policy object

How to reset security settings in the default Domain GPO in Windows 2000

How To Reset User Rights in the Default Domain Group Policy in Windows Server 2003

 

 

Falls ein Exchange Server im (Windows Server 2000 oder Windows Server 2003) Netzwerk existiert,
muss anschließend das Exchangesetup „setup.exe“ mit dem Schalter „/Domainprep“ von der Exchange Server CD ausgeführt werden:

Exchange Server permissions are removed by the RecreateDefPol.exe tool in Windows 2000 Server

The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

 

 

 

Einen Windows 2000/XP - Client, kann man ebenfalls von den angewendeten Richtlinien „befreien“.
Das geht, in dem alle Ordner sowie Unterschlüssel unter den folgenden Registry-Pfaden gelöscht werden:

 

- HKEY_CURRENT_USER\Software\Policies

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

 

 

Als nächstes navigiert man zu folgendem Verzeichnis: „%windir%\system32\GroupPolicy“.

Dort existieren (unter anderem) ein Ordner Namens "Machine" und ein Ordner "User".

In diesen beiden Ordnern, befindet sich jeweils die Datei "registry.pol", die es ebenfalls zu löschen gilt. 

Zu guter Letzt gilt es noch, die "user.pol" (%userprofile%\ntuser.pol) zu löschen, denn diese enthält die Verweise,
welche Einstellung aus welcher GPO kommt/kam. Anschließend ist ein Neustart fällig.

 

 

Möchte man, dass der Client erneut die Richtlinien von seiner Active Directory-Domäne bekommt, muss auf diesem ein „Gpupdate /Force“ ausgeführt werden, denn aufgrund der Policy-History (und der gpt.ini) die sich auf dem Client befindet, meint dieser, dass er immer noch mit den aktuellen Richtlinien ausgestattet ist und wird deshalb die Richtlinien, nicht von alleine übernehmen. Es sei denn, man würde die Policy-History löschen, dann würde es ebenfalls funktionieren.

Group Policy History Stored in Registry

 

 

Weitere Informationen:

Wiederherstellung der Default Richtlinien

 

Sunday, November 12, 2006 1:46:51 PM (W. Europe Standard Time, UTC+01:00)  #      Gruppenrichtlinien  | 
 Sunday, November 05, 2006
Langsame Netzwerkverbindung

Was kann man tun, wenn die Netzwerkverbindung zwischen einem Client und dem Server "träge" ist?

Das läßt sich leider so pauschal nicht beantworten, denn das kann viele Ursachen haben und kommt auch auf die vor Ort existierenden Gegebenheiten an.

 

Die folgenden Punkte sollen einen Ansatz liefern, die man in solch einem Fall überprüfen sollte:

·         Zuallererst sollte die Netzwerkverkabelung überprüft werden (OSI Layer 1). Wenn ein Meßgerät verfügbar ist, sollte die Leitung durchgemessen werden, von der Client-Dose bis zum Patchfeld (bei einer neuen Netzwerk-Verkabelung, sollte man stets ein Meßprotokoll fordern).

·         Die Patchkabel sollten ausgetauscht werden (evtl. gegen ein STP-CAT6/7-Patchkabel) und die bereits verwendeten,
sollten in jedem Fall mindestens STP-CAT5e Patchkabel sein.
http://de.wikipedia.org/wiki/Twisted-Pair-Kabel

·         Existiert im Server-Raum ein Potentialausgleich (Erdung) und sind die aktiven Komponenten (Switch/Router) daran angebunden?

·         Es sollte zum Testen ein anderer Switch-Port oder besser, ein anderer Switch verwendet werden.

·         HUBs sollten in den heutigen Netzwerken nicht mehr verwendet werden.
http://de.wikipedia.org/wiki/Hub_%28Netzwerk%29

·         Die Routingtabelle des Routers sollte überprüft werden, evtl. besteht eine Schleife.

·         Ist das STP (Spanning Tree Protokoll) auf dem Switch aktiviert, so sollte es zum Test deaktiviert werden.

·         Die Netzwerkkartentreiber des Client sowie Server sollten aktualisiert werden. Im Idealfall existiert im Server eine Gigabit-Netzwerkkarte.

·         Falls der Server zwei Netzwerkkarten besitzt, sollte eine zum Testen ausgebaut werden.

·         Das Netzwerk sollte auf alle Fälle mit einem Sniffer überprüft werden, ob z.B. eine defekte Netzwerkkarte einen Broadcaststorm verursacht.
Ethereal: http://www.ethereal.com/

·         Auf beiden Seiten (Netzwerkkarte des Client/Server sowie Switch) sollte die Verhandlung der Übertragungsrate auf „Autonegotiation“ (Automatische Aushandlung) stehen.
Zum Testen kann man auf allen Geräten 100 M/Bit Fullduplex einstellen.
Aber Vorsicht: http://support.microsoft.com/kb/247609/en-us

·         Das BIOS (Mainboard) vom Client/Server sowie die Firmware des Switch`s sollten auf dem aktuellsten Stand sein.

·         Evtl. hat der TCP/IP-Stack einen Schaden. Das TCP/IP-Protokoll kann unter Windows 2000 Professional/Server in den
Netzwerkeigenschaften deinstalliert- und erneut installiert werden. Unter Windows XP/Server 2003 reicht es i.d.R. aus,
dass TCP/IP-Protokoll zu reseten,  mit dem Befehl „netsh int ip reset C:\resetlog.txt“.
Zurücksetzen von "Internetprotokoll (TCP/IP)" in Windows XP http://support.microsoft.com/kb/299357/de
Zurücksetzen der Komponente "Internetprotokoll (TCP/IP)" in Windows Server 2003
http://support.microsoft.com/kb/317518
Entfernen und Neuinstallieren von TCP/IP auf einem Windows Server 2003-Domänencontroller
http://support.microsoft.com/kb/325356/de
ACHTUNG: Danach stehen die Netzwerkeinstellungen auf „automatisch beziehen“!

·         Der Arbeitsspeicher und die Festplatten sollten auf dem Client/Server nach Fehlern
(auf den HDD`s nach Grown Defects/zu vielen Bad Sectore`s) untersucht werden:
http://www.memtest86.com/

·         Ein Indiz für eine langsame Anmeldung ist oftmals das DNS. Es sollte geprüft werden, ob der DNS-Server erreichbar ist und ordnungsgemäß funktioniert. Dem Client muss die IP-Adresse eines DNS-Server`s bekannt sein. Die Namensauflösung ist wichtig, deshalb sollte auch heute noch ein WINS-Server in der Domäne existieren:
Wie sollte WINS konfiguriert werden?

·         Eine andere mögliche Fehlerquelle, könnte eine „verkonfigurierte“ Gruppenrichtlinie darstellen (z.B. eine fehlerhafte Ordnerumleitung etc.).
Mit RSOP (Resultant Set of Policy - Richtlinienergebnissatz) kann auf dem Client geprüft werden,
welche Benutzer- sowie Computerrichtlinien angewendet werden.
Anschließend sollten die Einstellungen der angewendeten GPOs überprüft werden:
Resultant Set of Policy http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspintro.mspx?mfr=true
Das ganze gilt es ebenfalls auf dem Server zu überprüfen:
Welche Verfahrensweise zu Installation und Anwendungsrichtlinienergebnissatz in Windows Server 2003
http://support.microsoft.com/kb/323276
Oder man überprüft welche Richtlinien auf dem Client/Server wirken mit GPRESULT.
Behandlung von Problemen bei der Anwendung von Gruppenrichtlinien
http://support.microsoft.com/kb/250842/de

·         Das SMB-Signing sollte so eingestellt werden:
http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm
http://www.gruppenrichtlinien.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm

·         Mit PING sollte die Latenz und mit TRACERT der Weg den die Netzwerk-Pakete nehmen, überprüft werden:
Problembehandlung bei TCP/IP-Verbindungen in Windows XP
http://support.microsoft.com/kb/314067/de
How to Use TRACERT to Troubleshoot TCP/IP Problems in Windows
http://support.microsoft.com/kb/314868/en-us

·         Der Virenscanner/lokale Firewall sollte zum Testen auf dem Client sowie Server deaktiviert (besser deinstalliert) werden.

·         Alle Dienste/Programme (Filesharing) die zusätzlich die Netzwerkverbindung bzw. die Systeme belasten, sollten deaktiviert werden. Hilfreich wären hier die Programme: Taskmanager/Systemmonitor/Netzwerkmonitor:
Aufzeichnen von Netzverkehr mit dem Netzwerkmonitor
http://support.microsoft.com/kb/148942/de
Systemmonitor (Übersicht)
http://technet2.microsoft.com/WindowsServer/de/Library/9aa3769d-f7b0-4c7e-bafe-5d3e57f089a81031.mspx?mfr=true
Verwalten der Leistungsindikatoren des Systemmonitors in Windows XP
http://support.microsoft.com/kb/305610

·         Falls die Clients geimaget wurden, ist das SYSPREP angewendet worden?

  •   Auf dem Client sowie Server sollte die Ereignisanzeige nach Fehlern durchsucht werden.

 

Weitere Informationen:
Verbindung zwischen zugeordnetem Laufwerk und Netzwerkfreigabe geht eventuell verloren
http://support.microsoft.com/kb/297684/de
Niedrige Netzwerkleistung beim Kopieren von Dateien auf einen Domänencontroller,
auf dem Windows 2000 oder Windows Server 2003 ausgeführt wird
http://support.microsoft.com/kb/321098/de
Das Öffnen von Word-Dokumenten dauert sehr lange
http://support.microsoft.com/kb/D43829/de
Dateien auf Netzwerkfreigaben werden langsam oder schreibgeschützt geöffnet, oder eine Fehlermeldung wird angezeigt
http://support.microsoft.com/kb/814112/de
Die Installation des Sicherheitsupdates MS05-019 oder von Windows Server 2003 Service Pack 1 kann dazu führen,
dass die Netzwerkverbindungen zwischen Clients und Servern fehlschlagen
http://support.microsoft.com/kb/898060/de
Bei dem Arbeiten auf einem Windows Server 2003- oder einem Windows 2000 Server-Computer über das Netzwerk
mit Dateien können verschiedene Probleme auftreten
http://support.microsoft.com/kb/923360/de
Ein Domänencontroller, auf dem Microsoft Windows Server 2003 ausgeführt wird, reagiert möglicherweise
für einen Zeitraum von 2 bis 15 Minuten mehrmals am Tag nicht mehr
http://support.microsoft.com/kb/908370/de
Dateifreigabe in dem Netzwerk ist langsamer als erwartet in Windows Server 2003 SP1
http://support.microsoft.com/kb/904160/de
Langsame Netzwerkverbindung beim Öffnen einer Datei in einem freigegebenen Ordner auf einem Remotecomputer im Netzwerk
http://support.microsoft.com/kb/829700/de
Erwartetes Verhalten von mehreren Adaptern im gleichen Netzwerk
http://support.microsoft.com/kb/175767/de
TRACERT zum Beheben von TCP/IP-Problemen
http://support.microsoft.com/kb/162326/de
Diagnose und Behandlung von Black-Hole-Routern
http://support.microsoft.com/kb/q159211/
DNS-Abfrageantworten durchlaufen Firewall in Windows Server 2003 nicht
http://support.microsoft.com/kb/828263/de

Sunday, November 05, 2006 1:42:54 PM (W. Europe Standard Time, UTC+01:00)  #      Networking  | 
 Sunday, October 29, 2006
DNS Server umziehen

Wie kann man einen DNS-Server bzw. die DNS-Zonen umziehen ?

 

Falls sich der vorhandene DNS-Server auf einem Domänencontroller befindet und dieser seine DNS-Zonen im Active Directory speichert,

repliziert sich das DNS automatisch mit anderen Domänencontrollern (die ebenfalls das DNS installiert haben),

sofern mehrere Domänencontroller vorhanden sind.

 

Wenn die DNS-Zonen nicht im Active Directory gespeichert werden,

befinden sich die DNS-Zonendateien im Verzeichnis „%windir%\system32\dns“. Dort befinden sich die Zonendateien mit dem Namen „NamederFLZ.dns“.

Diese kopiert man auf den anderen/neuen Server in das gleiche Verzeichnis „%windir%\system32\dns“ und richtet dort im DNS Snap-In

(das DNS muss bereits installiert sein) eine neue Zone ein. Man folgt den Anweisungen des „Assistenten zum Erstellen neuer Zonen“

und gibt im Menü-Punkt „Zonendatei“ den Namen der vorhandenen (kopierten) Zonendatei ein:

 

  


 

Eine weitere Möglichkeit stellt das Tool „dnscmd“ (aus den Windows Support Tools, dass sich im Verzeichnis Support auf der Windows Server 2003 CD befindet)

dar, worauf ich hier auf die wichtigsten Befehle eingehen möchte, denn das Tool kann weitaus mehr [1].

 

Mit dem Befehl „dnscmd <Servername> /ZoneExport <Zonenname> <Zonendatei>“ kann man eine Active Directory integrierte Zone exportieren,

wobei die exportierte Text-Datei im Verzeichnis „%windir%\system32\dns“ gespeichert wird.

 

Der Export-Befehl sieht folgendermaßen aus [2]:

dnscmd mzdcon01.contoso.com /ZoneExport intra.contoso.com intra.contoso.com.dns

 

 

Der Import einer Zonendatei, die aus einer primären Active Directory integrierten Zone exportiert wurde, kann über folgenden Befehl realisiert werden:

dnscmd <Servername> /Zoneadd <Zonenname> /Primary /File <Dateiname> /Load

 

dnscmd mzdcon01.contoso.com /Zoneadd intra.contoso.com /Primary /File intra.contoso.com.dns /Load

 

 

 

Damit diese Zone im Active Directory integriert gespeichert werden soll, gilt es folgenden Befehl einzugeben [3]:

dnscmd <Servername> /ZoneResetType <Zonenname> /Dsprimary

 

dnscmd mzdcon01.contoso.com /ZoneResetType intra.contoso.com /Dsprimary

 

 

 

Des Weiteren kann man z.B. noch die Option „Nur sichere dynamische Updates zulassen“ aktivieren. Dies geht mit dem Befehl [4]:

dnscmd <Servername> /Config <Zonenname> /AllowUpdate 1

 

dnscmd mzdcon01.contoso.com /Config intra.contoso.com /AllowUpdate 1

 

 

Eine Erleichterung stellt dieses Skript [5] dar. Damit lassen sich nicht nur die Zonen exportieren,

sondern auch die DNS-Server Konfiguration abspeichern. Das Skript muss als *.CMD gespeichert werden, bevor es ausgeführt werden kann.

 

 

Eine andere Variante wäre noch, dass man eine Kopie (sekundäre Zone) von der primären Zone erstellt und diese dann ggf. zur primären Zone deklariert.

Wenn eine sekundäre- zu einer primären Zone gestuft wird, müssen allerdings alle anderen sekundären Zonenserver umkonfiguriert werden,

um ihre Kopien vom „neuen“ primären Zonenserver anzufordern.

 

 

 

Weitere Informationen:

 

[1] Dnscmd Syntax

http://technet2.microsoft.com/WindowsServer/en/library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true

[2] Dnscmd Examples

http://technet2.microsoft.com/WindowsServer/en/library/ed0e4eeb-34a5-420e-aa6a-961ae5fa0f291033.mspx?mfr=true

[3] Ändern des Zonentyps

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6bf2981f-085c-4ed8-bce0-53412a83463f.mspx?mfr=true

[4] Zulassen von dynamischen Updates

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/f90323fc-dcd0-4242-9b2c-755053670b78.mspx?mfr=true

[5] http://www.reskit.net/DNS/dnsdump.cm_

How to move Windows 2000 DNS zones to another Windows 2000-based server

http://support.microsoft.com/kb/280061/en-us

 

Sunday, October 29, 2006 9:43:11 PM (W. Europe Standard Time, UTC+01:00)  #      DNS  | 
 Saturday, October 21, 2006
Anmeldezeiten


In den Eigenschaften eines Benutzers (im Snap-In Active Directory-Benutzer und -Computer), kann man im Reiter Konto die „Anmeldezeiten…“

(eine Periode der erlaubten Anmeldung) eintragen, in denen sich der Benutzer am Netzwerk (Domäne) anmelden darf.

 

 

 

Fallbeispiel 1:

 

Versucht sich der Benutzer außerhalb der dort eingetragenen Zeiten an der Domäne anzumelden, bekommt er die folgende Fehlermeldung:

 

„Ihr Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden. Wiederholen Sie den Vorgang später“.

 

Während dieser Zeit kann sich der Benutzer zwar mit seinen „cached Credentials“ (zwischengespeicherte Benutzerinformationen)
lokal an seinem Rechner authentifizieren, so lange keine Verbindung zum Netzwerk/Domäne besteht (Netzwerkkabel entfernen).
Ein Zugriff auf Domänen-Ressourcen ist aber nicht möglich (auch nach erneutem einstecken des Netzwerkkabels).

 

 

 

Fallbeispiel 2:

 

Wenn die Periode der erlaubten Anmeldung abläuft während der Benutzer angemeldet ist, erfolgt keine Zwangstrennung. Der Benutzer bemerkt nichts,

bis er sich abmeldet und erneut anmelden würde bzw. einen Neustart tätigt. Danach erhält er die o.g. Fehlermeldung.

 

Möchte man dieses Verhalten ändern, kann man folgende Richtlinie einstellen:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\

Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

 

 

Diese Richtlinie bewirkt, dass nach Ablauf der Periode der erlaubten Anmeldung,

alle bestehenden SMB-Sitzungen (Server Message Block) mit dem Server getrennt werden.

 

Es erscheint folgende Fehlermeldung am Client (nach Ablauf der Anmeldezeit), wenn man auf das Netzlaufwerk zugreifen möchte:

 


Falls man eine Datei bearbeitet und die Periode läuft ab, erhält man beim abspeichern folgende Fehlermeldung (gefolgt von der vorherigen Fehlermeldung):

 


Anschließend bekommt der Benutzer die Möglichkeit, die Datei lokal abzuspeichern.

 

 

Damit diese Einstellung (die standardmäßig deaktiviert ist) auf Domänenkonten greift,

gilt es diese Richtlinie auf Domänen-Ebene (z.B. in der Default Domain Policy) zu aktivieren.

 

 

Weitere Informationen:

Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

HOW TO: Limit User Logon Time in a Domain in Windows Server 2003
HOW TO: Limit User Logon Time in a Domain in Windows 2000

 

Saturday, October 21, 2006 4:27:46 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Friday, October 13, 2006
Wie stellt man sicher, dass ein Benutzer sich nur an einem Client anmelden kann?

In einer Domäne kann es vorkommen, dass ein Benutzer an mehreren Clients zeitgleich angemeldet ist. Um dieses Verhalten zu verhindern, gibt es mehrere Wege.

 

  • Ein Weg ist, im Snap-In „Active Directory-Benutzer und –Computer“ in die Eigenschaften des jeweiligen Benutzers zu gehen, danach im Reiter „Konto“ auf „Anmelden…“ zu klicken und dort die jeweiligen „Prä-Windows 2000-Computernamen“ einzugeben, an denen sich der Benutzer anmelden darf. Dazu wird die Netbios-Namensauflösung benötigt und daher ist es ein Grund mehr, einen WINS-Server im Einsatz zu haben.

  • Eine andere Möglichkeit bietet das Tool „Limitlogin“. 

    http://www.it-administrator.de/aktuell/13585.html
    http://www.microsoft.com/technet/technetmag/issues/2005/05/UtilitySpotlight/default.aspx

    Der Nachteil dieses Tools ist, dass man einen recht hohen Aufwand betreiben muss bis man es konfiguriert hat.
    Daher kann man sich die Frage stellen, ob es sich bei dem Preis-Leistungsverhältnis lohnt, dieses Tool einzusetzen.

    Über Limitlogin und den notwendigen Aufwand, kann man sich im folgenden Artikel einen Überblick verschaffen:
    http://www.faq-o-matic.net/2006/04/02/limitlogin-in-der-praxis/

  • Eine recht einfache Variante um das zu realisieren ist diese Vorgehensweise:

    Falls jeder Benutzer z.B. ein Home-Laufwerk haben sollte (das er per Login-Script zugewiesen bekommt), kann man darauf die Rechte auf der Freigabe so setzen, dass sich nur "einer" mit diesem Laufwerk verbinden darf.
    Danach fügt man noch eine Zeile in das Login-Script ein (If not exist h: goto logout), so das der User abgemeldet wird, wenn das Home-Laufwerk nicht verfügbar ist.

  • Eine weitere Möglichkeit stellen diese Gruppenrichtlinien dar:

    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Lokal anmelden zulassen"
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Lokal anmelden verweigern

    Man kann dann z.B. eine OU erstellen und alle Clients in diese OU verschieben, an denen sich der Benutzer nicht anmelden darf und verlinkt auf diese OU die GPO "Lokal anmelden verweigern".
    Oder man erstellt zwei OUs. In der einen OU befinden sich die Clients an denen sich der Benutzer anmelden darf und in die zweite OU verschiebt man die Clients, an denen sich der Benutzer nicht anmelden darf.
    Auf die OU mit den Clients an denen sich der Benutzer anmelden darf verlinkt man die GPO "Lokal anmelden zulassen" und auf die andere OU mit den Clients an denen sich der Benutzer nicht anmelden soll verlinkt man die GPO "Lokal anmelden verweigern".

 

 

Weitere Informationen:
Error message when you try to add more than 64 logon workstations in Windows Server 2003 or in Windows 2000 Server: "This property is limited to 64 values"

How to Use a Network Share to Limit a User's Concurrent Connections in Windows 2000

Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0

 

Friday, October 13, 2006 12:43:10 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: