4
Sicherheitsrichtline des Domänen Controller ändert Registrierung ungewollt ab
Das SMB Protokoll soll in der Registry auf 0 gesetzt bleiben.
Hi @ all
Folgendes Problem:
Der Windows 2003 Server der Domäne wird auch als Fileserver genutzt.
Da das kopieren von Dateien auf diesen DC lange dauerte habe ich folgende Lösung gefunden / eingesetzt.
http://support.microsoft.com/kb/321169/de
Dies funktioniert auch soweit ganz gut.
Problematisch wird, wen ich die Sicherheitsrichtlinien der Domäne verändere oder den Server neustarte.
Ab dann, sind die Einstellungen in der Registrieung wieder zurück auf 1 gesetzt.
1. Kann man das SMB nicht auch in den Policy des DC deaktivieren ? Wen ja wo.
2. Kann man das überschreiben der Registrierung des DC verhindern (zumindest in Teilen)?
"müsste gehen" ist mir bekannt
Ich mach mir sorgen um die Auswirkungen, wenn Sicherheitsrichtlinien nicht angewandt werden können
(so was kann in einer Domäne schwere folgen haben)
3. Da ich mit Scripten nicht soooo fit bin,. . . . . wie könnte man das bequem umsetzen (als Notlösung) das ein Script oder Batch die Registry in gewissen Abständen bzw. auf Wunsch mit den "korekten" Werten wieder verändert.
Hi @ all
Folgendes Problem:
Der Windows 2003 Server der Domäne wird auch als Fileserver genutzt.
Da das kopieren von Dateien auf diesen DC lange dauerte habe ich folgende Lösung gefunden / eingesetzt.
http://support.microsoft.com/kb/321169/de
Dies funktioniert auch soweit ganz gut.
Problematisch wird, wen ich die Sicherheitsrichtlinien der Domäne verändere oder den Server neustarte.
Ab dann, sind die Einstellungen in der Registrieung wieder zurück auf 1 gesetzt.
1. Kann man das SMB nicht auch in den Policy des DC deaktivieren ? Wen ja wo.
2. Kann man das überschreiben der Registrierung des DC verhindern (zumindest in Teilen)?
"müsste gehen" ist mir bekannt
Ich mach mir sorgen um die Auswirkungen, wenn Sicherheitsrichtlinien nicht angewandt werden können
(so was kann in einer Domäne schwere folgen haben)
3. Da ich mit Scripten nicht soooo fit bin,. . . . . wie könnte man das bequem umsetzen (als Notlösung) das ein Script oder Batch die Registry in gewissen Abständen bzw. auf Wunsch mit den "korekten" Werten wieder verändert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55235
Url: https://administrator.de/contentid/55235
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
RequireSecuritySignature ist die Signierung von SMB Paketen. Du kannst das auch per GPO auf kosten der Sicherheit deaktivieren:
Default-DC-Policy -> Computer -> Windows-Einst. -> Sicherheitseinst. -> Lokale Richtlinien -> Sicherheitsoptionen
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) -> DEAKTIVIERT
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) -> DEAKTIVIERT
Für den RegKey TcpDelAckTicks müsstest du dir eine eigene .adm Vorlage erstellen.
Default-DC-Policy -> Computer -> Windows-Einst. -> Sicherheitseinst. -> Lokale Richtlinien -> Sicherheitsoptionen
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) -> DEAKTIVIERT
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) -> DEAKTIVIERT
Für den RegKey TcpDelAckTicks müsstest du dir eine eigene .adm Vorlage erstellen.
Die Änderungen in der GPO haben leider das Problem nicht lösen können
Für den RegKey TcpDelAckTicks
müsstest du dir eine eigene .adm Vorlage
erstellen.
Wie geht das ?
Gruß Nex
Für den RegKey TcpDelAckTicks
müsstest du dir eine eigene .adm Vorlage
erstellen.
Wie geht das ?
Gruß Nex
Das würde, denke ich, das Forum sprengen. Aber wenn du das wirklich selber machen willst, schau dir das hier mal an:
http://www.gruppenrichtlinien.de/index.html?/adm/OReilly_Uebersetzung.h ...
Das dauert aber eine ganze weile bis man da wirklich weiß was man macht.
http://www.gruppenrichtlinien.de/index.html?/adm/OReilly_Uebersetzung.h ...
Das dauert aber eine ganze weile bis man da wirklich weiß was man macht.
Der Fehler war im Sommer 2007 von alleine verschwunden.
Vermutlich mit einem der Updates.
Bis dahin hatte ich mir mit einem V-Basic tool geholfen welches brav jeden Morgen die Werte "koregierte".
Der Fehler trat ja eh nur bei der Kombination "DC und Filsever in einem" auf.
Gruß Nex
Vermutlich mit einem der Updates.
Bis dahin hatte ich mir mit einem V-Basic tool geholfen welches brav jeden Morgen die Werte "koregierte".
Der Fehler trat ja eh nur bei der Kombination "DC und Filsever in einem" auf.
Gruß Nex
