Sunny61

Auf dem Server selbst solltest Du den Server selbst eintragen, in den Weiterleitungen dann den Router, falls dort ein DNS eingetragen ist, oder eben den DNS vom Provider eintragen. Mir dünkt das Problem ist hausgemacht.

Welchen DNS haben die Clients eingetragen? Welcher DNS ist beim DC in den Weiterleitungen eingetragen?

Dann war es die falsche Entscheidung in der Planung. DHCP der Fritzbox abschalten und den Dienst vom DC anschalten. Du hast dort wesentlich mehr Optionen und vor allem sind es die richtigen Optionen für die Clients.

Wir nutzen auch nur die Verwaltung, keine AV-Funktion.

Starte die Access-DB mit gedrückter Shift-Taste, dann wird per se nix ausgeführt. Und Du kannst dann die Pfade abändern. BTW: Eine Access-DB auf dem Netzlaufwerk liegen zu haben, ist eine sehr schlechte Idee. Jeder User sollte seine eigene Kopie haben.

DriveLock läuft bei uns für solche Fälle. Kann sehr fein konfiguriert werden. Und notfalls kann man auch einen Rechner für eine bestimmte Zeit 'freischalten'.

Wie sind die Energieeinstellungen der Netzwerkkarten im Gerätemanager konfiguriert? http://www.gruppenrichtlinien.de/artikel/computer-kann-das-geraet-ausschalten-um-energie-zu-sparen-netzwerkkarte/

Bei uns sind Software Restriction Policies im Einsatz. Funktioniert auch mit den Pro Versionen. Da kann es schon vorkommen, dass 'komisch geschriebenen SW' anschließend nicht mehr funktioniert. Applocker zieht nur auf Enterprise, das wirst du in kleinen Umgebungen vermutlich nicht finden. SRP sind schnell eingerichtet und greifen nach einem Neustart des Client sofort. Auf Computerebene ist dann auch der Admin betroffen. Der Benutzer wird normalerweise nicht eingeschränkt.

Was spricht gegen einen SPN? https://technet.microsoft.com/en-us/library/cc731241(v=ws.11).aspx

Hallo zusammen, lt. https://blogs.technet.microsoft.com/windowsserver/2016/07/12/windows-server-2016-new-current-branch-for-business-servicing-option/ findet der Launch im September statt. In dem o.g. Artikel findet man noch die ein oder andere Information.

Das hat man doch in 2 Minuten in einer Testumgebung getestet. TestOU und so weiter. Sollte man immer parat haben. ;)

Lesen heißt ja auch nur, die Auth. Benutzer dürfen sie lesen, nicht übernehmen. Das ist doch ein eigener Haken im Dialog. Lies doch mal den Artikel ganz genau: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Und hier NUR die Screenshots: http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtlinien-auf-eine-gruppe-von-computern-filtern/ GPO lesen und übernehmen sind zwei von einander unabhängige Dinge.

Ihr könntet natürlich auch den Homeusern Domain-Geräte geben oder sie von dieser Kennwortrichtlinie ausnehmen. Oder ihr verwendet für diese Benutzer ein passendes Tool. Norbert hat ein Tool in diesem Artikel beschrieben: http://www.faq-o-matic.net/2011/11/07/kennwrter-selbst-zurcksetzen/

Administrative Commandline öffnen: gpresult /H & gpresult.html [ENTER]. Anschließend das HTML-File öffnen und auswerten.

Über OWA kann der Benutzer auch sein Kennwort ändern. http://www.faq-o-matic.net/2010/10/14/abgelaufenes-kennwort-per-owa-ndern/

Nein, lies den Artikel einfach mal ganz genau und aufmerksam durch. Sie dürfen das GPO nur lesen, nicht die Einstellungen übernehmen. Und das funktioniert auch nur richtig, wenn Du die Gruppe über die Delegierung und über den Button Erweitert hinzufügst.

Das hier wird dir fehlen: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Steht doch da: Kannst Du die abhängigen Dienste manuell starten? Aut automatisch stellen und wenn möglich, den Server durchstarten.

Was wurde denn vor ein paar Tagen am Server verändert? Updates installiert? Platz auf der HDD ist noch genügend? Wird es besser wenn Du der VM mehr RAM gibst?

Was sagt denn der Hersteller der Software zu dem Problem?

Zeig doch ein ipconfig /all vom DC und von einem betroffenen Client. Start > Ausführen > cmd [ENTER] > ipconfig /all | clip [ENTER]. Und den Inhalt dann hier in einen Code-Tag einfügen, Danke. BTW: In einer Firmenumgebung ist die Fritz.Box so ziemlich das schlechteste was man einsetzen kann. DHCP auf der Fritz.Box abstellen, am besten die Fritzbox durch etwas vernünftiges ersetzen. Eine Fritzbox ist für Homeuser gut, nicht für Firmen.

Irgendeine Gruppenrichtlinie? Ordnerumleitung?

Weshalb möchtest Du das tun? Ein User hat nichts am Datum und an der Uhrzeit zu fummeln. Das kann Windows alleine viel besser. In einer Windows Domain kannst Du mit Hilfe von Gruppenrichtlinien auch die Zeit einstellen: http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

Es gibt GPOs die bleiben im System, auch wenn Du das GPO löscht. Jetzt wäre es schon mal ein erster Schritt den Proxy in der Registry zu suchen, evtl. findest Du ja etwas.

Kommen die betroffenen Clients problemlos ins Internet? Gibt es bei den Benutzern evtl. ein GPO mit dem alten Proxy noch? Funktioniert es denn im abgesicherten Modus mit Netzwerkunterstützung auf den betroffenen Clients?