Hallo Newsgroup!

Mit folgendem Problem schlage ich mich derzeit herum:

Wir benutzen Windows 2000 Server mit Windows XP Pro/Windows 2000 Pro
Clients.

Nach einem Virenbefall mussten wir den Server komplett neu aufsetzen und
auch die
Domäne neu einrichten. Die alten Benutzerprofile wurden weiterverwendet und
mit
entsprechenden Benutzerrechten versehen. Das klappt auch alles wunderbar
soweit,
dank neuem Virenschutz wird ein solcher Ausfall auch hoffentlich nicht mehr
vorkommen.

Das Problem ist jedoch, dass sämtliche Benutzer, die sich an die Domäne
anmelden,
kein SSL mehr mit dem Internet Explorer benutzen können. Mit alternativen
Browsern
wie Firefox und Opera klappt das problemlos, allerdings gibt es auch
Programme, die
ebenfalls SSL benutzen und nicht funktionieren, wie z.B. der eBay
Turbo-Lister.
Wahrscheinlich benutzt dieses Programm den gleichen Weg wie der IE, um SSL
zu
benutzen.

Wenn man sich als lokaler Administrator einloggt, funktioniert der
SSL-Zugriff
problemlos. Auch wenn man ein neues Profil anlegt, funktioniert es damit.

Ich habe schon ausgegoogelt, dass es am Profil liegt, da es von der "alten"
Domäne
übernommen wurde.

Man könnte natürlich die Profile einfach löschen und neue anlegen, das wäre
aber ein
ziemlich großer Aufwand. Selbst wenn man nur die Registry aus dem Profil
herausnimmt,
gehen damit ja sämtliche Einstellungen von Programmen verloren.

Gibt es eine Möglichkeit, das Profil so zu ändern, dass der SSL-Zugriff
wieder
funktioniert? In früheren Newsgroup-Beiträgen habe ich einen Beitrag
gefunden, wo
jemand schreibt, dass er dies durch setzen von Berechtigungen in der
Registry in den
Griff bekommen hat
(http://groups.google.de/groups?hl=de&lr=lang_de&q=ssl+profil+behalten&btnG=Suche).
Leider hat er nicht geschrieben, welche Berechtigungen er wo verändert hat.

Hoffentlich reichen diese Informationen aus, um sich ein Bild der Situation
zu machen.

Ich wäre für eure Hilfe sehr dankbar!

MfG
Gabriel Schumann

Hi,

Gabriel Schumann schrieb:
> Ich habe schon ausgegoogelt, dass es am Profil liegt, da es
> von der "alten" Domäne übernommen wurde.

Nur weil die Domäne so heisst wie die alte ist sie doch
eine komplett andere! Unterschiedliche SIDs

Deswegen können sich die Benutzer halbweg anmelden aber in Wirklichkeit
sind sie garnicht die Benutzer der neuen Domäne, denn auch sie
haben eine andere SID, Herr Müller ist nicht gleich Herr Müller,
nur weil die Namen zufällig gleich sind.

> Man könnte natürlich die Profile einfach löschen und neue anlegen,
> das wäre aber einziemlich großer Aufwand. Selbst wenn man nur
> die Registry aus dem Profil herausnimmt, gehen damit ja sämtliche
> Einstellungen von Programmen verloren.

System -> Benutzer profile -> kopieren nach -> "ändern" auf neuen BEnutzer.

Du wirst da nicht drumherum kommen. Denn solange du die Benutzer nicht
wirklich zu den "neuen" Benutzern machst, geht garnichts.
Es wäre dir direkt aufgefallen, wenn du alle PC einmal in die Arbeitsgruppe
und dann in die Neue Domäne gebracht hättest, denn dann hätte Herr Müller
automatisch ein neues Profil bekommen.

Übrigens kommst du auch bei den Computerkonten nicht drumherum,
diese erneut ins AD zu integrieren, denn auch für Computer wird
eine eindeutige SID (GUID) geführt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: Vorname@Homepage, Versende-Adresse wird nicht abgerufen.

Am Thu, 27 Jan 2005 11:18:31 +0100 schrieb Gabriel Schumann
>:

> Nach einem Virenbefall mussten wir den Server komplett neu aufsetzen und
> auch die Domäne neu einrichten.

Allein diese Zeilen lassen mich aufschrein: Wozu hat der Leibe Gott
Backpus erfunden???
Server die so was zentrales wie eine Domäne halte nicht zu backupen ist
der Wahnsinn. Der hat zugeschalgen.
Ich kann mich nämich Mark nur anschließen…

PS: Wie kommen 4en auf einen Server???? Ich (als alter Novell-Mensch)
fasse das einfach nicht!

--
Eric March

»Schreibe kurz - und sie werden es lesen. Schreibe klar und sie werden es
verstehen. Schreibe bildhaft - und sie werden es im Gedächtnis behalten.«
Joseph Pulitzer

"Mark Heitbrink [MVP]" schrieb:
>> Ich habe schon ausgegoogelt, dass es am Profil liegt, da es von der
>> "alten" Domäne übernommen wurde.

> Nur weil die Domäne so heisst wie die alte ist sie doch
> eine komplett andere! Unterschiedliche SIDs
> Deswegen können sich die Benutzer halbweg anmelden aber in
> Wirklichkeit
> sind sie garnicht die Benutzer der neuen Domäne, denn auch sie
> haben eine andere SID, Herr Müller ist nicht gleich Herr Müller,
> nur weil die Namen zufällig gleich sind.

Die Benutzerrechte der Konten wurden natürlich den neuen Benutzern
entsprechend angepasst (den Besitz übertragen), damit mit der neue Herr
Müller wieder wie der alte Herr Müller ist.

>> [Benutzerprofil neu einrichten?]

> System -> Benutzer profile -> kopieren nach -> "ändern" auf neuen
> BEnutzer.
> Du wirst da nicht drumherum kommen. Denn solange du die Benutzer nicht
> wirklich zu den "neuen" Benutzern machst, geht garnichts.
> Es wäre dir direkt aufgefallen, wenn du alle PC einmal in die
> Arbeitsgruppe
> und dann in die Neue Domäne gebracht hättest, denn dann hätte Herr
> Müller
> automatisch ein neues Profil bekommen.
> Übrigens kommst du auch bei den Computerkonten nicht drumherum,
> diese erneut ins AD zu integrieren, denn auch für Computer wird
> eine eindeutige SID (GUID) geführt.

Haben wir natürlich alles so erledigt, sonst würde jetzt gar nichts mehr
gehen.

Es gibt übrigens doch einen Weg, wie wir jetzt herausgefunden haben, SSL
mit dem "alten" Benutzerprofil zu benutzen:
Man muss Benutzerrechte der Registry-Ordner "HKCU\Software\Policies" und
"HKCU\Software\Policies\Microsoft" so abändern, dass sie denen eines neu
erstellten Profils entsprechen. Dafür muss man dem Benutzer des zu
ändernden Profils vorübergehend Administratorrechte geben, da die Rechte
der Schlüssel sonst nicht geändert werden können.

MfG
Gabriel Schumann