Sunny61

Was kosten deine Versuche? Was kostet die große Version des Tools, das alles macht?

Dann beschreib doch nochmal ganz genau was Du wie und wo gemacht hast. Hast Du wirklich eine OU angelegt und dort NUR eine Gruppe abgelegt? Keine Computer- und Benutzerobjekte? Und wie genau hast Du die Sicherheitsgruppe in das GPO gebracht? Bitte genau den Weg beschreiben. Und um noch mehr Verwirrung zu stiften: Ein GPO greift nicht auch Gruppen, nur auf (Gruppen von) Comuter- und/oder Benutzerobjekten. :)

WMI Abfrage in Powershell/VBScript erstellen, an einem Testclient anschauen ob das die benötigten Angaben sind, SQL Server installieren, konfigurieren. Datenbank und Tabellen dafür anlegen, Zugriffsrechte einrichten, verteilen, fertig. Bevor die vom Script gesammelten Daten in die DB geschrieben werden, müssen die bereits vorhandenen Daten gelöscht werden. Man kann noch einbauen, schicke die Daten nur, wenn man den SQL Server per Ping erreicht und vieles andere mehr. Dazu müsst ihr euch zuerst vollkommen im Klaren sein, was genau ihr wie oft bekommen und aktualisieren wollt. Falls Du auf ein fertiges Script anspielst, das kann ich dir nicht hier posten. Aber dafür finden sich genügend Beispiele im Netz wie man sowas schreibt und testet. Hilfreich für das Schreiben eines Scriptes, egal ob in PS oder VB ist der WMI Creator von MSFT. Alt aber immer noch aktuell: https://www.microsoft.com/en-us/download/details.aspx?id=8572 https://www.windowspro.de/script/get-computerinfo-systeminformationen-auslesen-powershell Grundsätzlich bietet sich auch Docusnap für so etwas an, das inventarisiert nicht nur Clients/Server. Kommt immer auf die Größe der Umgebung an.

Wo genau schaust Du denn im Eventlog nach? Für GPOs gibt es einen eigenen Zweig. Mit gpresult /h kommt nichts, gar nichts? Keine Ausgabe? Den letzten Satz verstehe ich überhaupt nicht. Was willst Du uns damit mitteilen? Wir filtern hier auch immer wieder auf Computergruppen, funktioniert wie gewünscht und gedacht. Liegen Computer- und Benutzerobjekte in der gleichen OU? Liegt das GPO auch auf dieser OU oder höher? Die User- und Computerobjekte müssen unterhalb dem GPO liegen, ansonsten funktioniert das Gewünschte nicht. Die Gruppe kann liegen wo Du sie hinlegen willst. Wichtig ist auch noch der Weg wie man die Gruppe in die Sicherheitsfilterung des GPO bringt. Und natürlich muss die Gruppe, wenn Computer- und Benutzerobjekte in der Gruppe sein, auch das Recht zum Lesen und Übernehmen des GPO haben.

Der USB-Anschluß ist in Ordnung? Funktioniert ein anderer Drucker an dem Anschluß? An einem anderen Anschluß hast Du getestet?

Druckerdienst bzw. Spooler beenden, jetzt in C:\Windows\System32\spool\PRINTERS alles löschen was da ist. Spooler wieder starten und nochmal probieren.

Lesen reicht völlig bei den Authentifizierten Benutzern.

Wo genau in der GPMC.MSC hast Du die Gruppe eingefügt? Über den Reiter delegiert? Falls nein, dann mach es erneut, aber über den Reiter delegiert. Und unbedingt diesen Artikel lesen, dann sollte es klarer sein: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Dort sind die Infos auch nicht zu finden. Du brauchst natürlich weitere Attribute. Wie die heißen findest Du z.B. hier: http://www.selfadsi.de/user-attributes-w2k8.htm profilePath suchst Du.

Grundlagen: Copy and Paste. :)

Ausprobieren und ausprobieren und ausprobieren. Dann weißt Du was funktioniert, was nicht funktioniert. Bei MSFT ist wirklich alles sehr ausführlich dokumentiert mit Beispielen die natürlich auch funktionieren. Code bitte in die dafür vorgesehenen Code-Tags packen, Screenshots davon sind schlecht für die Helfer, denn, falls der Code manuell geprüft werden muß, müssen sie deinen Code abtippen.

@daabm Danke, den Artikel hatte ich bei meiner Suche nach einer Lösung/nach einem Hinweis auch gefunden. Sobald es ein User/eine Gruppe aus der DomainA eingetragen wird, funktioniert es ja. Es sollen ja aber Gruppen aus DomainB eingetragen werden. Wir haben das jetzt so wie ich in geschrieben habe gelöst. Damit können wir leben.

Und wenn Du \\Server\home$\%username% ausprobierst? Funktioniert das dann?

Hier 30 Sekunden eingeben und gpupdate hilft nicht?

Hast Du denn auch schon diesen Teil aus dem Artikel von Nils beachtet? Auszug aus: https://www.faq-o-matic.net/2015/04/06/ssd-zu-schnell-synchroner-startvorgang-nicht-mglich/ Du kannst ja mal mit 30 Sekunden Wartezeit beginnen.

@MurdocX Vielen Dank für das Script, es hat mir sehr geholfen. Ich kann zwar als ausführender User der DomA, Accounts und Gruppen in DomB anlegen, aber wenn es um NTFS-Berechtigungen geht, wird zur Auflösung immer nur die DomA verwendet. Über die GUI kann ich die DomB auswählen. Auf der FW zwischen den beiden Doms ist auch alles in Butter. @NilsK Auch mit der SID eines Users die gleiche Fehlermeldung. Es funktioniert nur, wenn eine Gruppe/SID/User aus der DomA verwendet wird. Führe ich das alles auf einem Rechner der DomB, angemeldet als User der DomA, aus, funktioniert alles wie gewünscht. Meine Vermutung: Intern wird immer mit der Domain gearbeitet, in der der benutzte Client beheimatet ist. Wir arbeiten ab jetzt an den Scripten auf Rechnern der DomB mit Accounts aus der DomA. Falls jemand weitere Ideen hat, immer her damit, ich werde alles sehr gerne testen und Ergebnisse posten. Vielen Dank für die rege und informative Beteilung und Unterstützung. Get-ADGroup bringt, 1 Zeile weiter oben, den CN der gewünschten Gruppe. Beispiel: $Global:SRVGlobal="DomB.local" Import-Module ActiveDirectory -ErrorAction Stop #Zum 'Verbindungstest! Es werden alle DCs aus der DomB gelistet. Get-ADDomainController -Server "DomB.local" -Filter * $Folder = "\\DomB.local\Daten\Teilnehmer\Name\Nummer" $Gruppe = "DomB.local\ACC_TNG_Nummer_DL" $Result = Get-ADGroup -Identity $Gruppe -Server $SRVGlobal Write-Host $Result #Es wird der CN der Gruppe gelistet.

Das kann ich probieren, ist aber später auch nicht so angedacht. Und wenn ich eine SID nehme wird die gleiche Meldung ausgegeben, also kann es das nicht sein.

@Nilsk Anderen Gruppentyp hab ich auch schon probiert. Morgen teste ich nochmal was, wenn das nichts hilft, dann wird umgestiegen. Danke bisher für die Unterstützung. :)

@NilsK Ja, der NetBIOS-Name der Domain ist DOMB, ich hab es schon mit allen Varianten probiert. @BOfH_666 Mit dem Tool von Raimund hat es ja mit den Begriffen in englisch funktioniert, allerdings nur mit der SID. Hmm, ich schau mir die Ausgabe morgen nochmal an. Und bei einem Benutzer funktioniert es ja auch mit den englischen Begriffen.

Hallo zusammen, beim Versuch NTFS-Berechtigungen auf per Script neu erstellte Ordner zu setzen, bekomme ich beim folgenden Code die ebenfalls folgende Fehlermeldung: # Code ist nicht von mir, copy + paste aus dem Netz $Folder = "\\DomB.local\Daten\Teilnehmer\Name\Nummer" $Gruppe = "DomB.local\ACC_TNG_Nummer_DL" $acl = Get-Acl $Folder $AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($Gruppe, "FullControl", "ContainerInherit, ObjectInherit", "None", "Allow") $acl.SetAccessRule($AccessRule) $acl | Set-Acl $Folder Fehlermeldung beim $acl.SetAccessRule($AccessRule): Ausnahme beim Aufrufen von "SetAccessRule" mit 1 Argument(en): "Manche oder alle Identitätsverweise konnten nicht übersetzt werden." Der ausführende User ist in DomA angemeldet und hat in DomB auf dem Ordner die entsprechenden Rechte um die Berechtigungen hinzufügen. Tausche ich den Namen der Gruppe gegen die SID der Gruppe bekomme ich die gleiche Fehlermeldung. Auch wenn ich die DomB.local weglasse kommt die gleiche Fehlermeldung. Trage ich einen Benutzer ein, funktioniert es. Hat jemand noch eine Idee wie man das lösen kann? Vielen Dank schon im Voraus. BTW: Es gibt ja auch von Raimund Andrée File System Security PowerShell Module: https://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef-90dbb2b84e85 das hab ich auch ausprobiert, funktioniert nur mit der SID, nicht mit dem Namen der Gruppe. Ja, man kann natürlich die SID zum Namen auslesen, aber es sollte ja eigentlich auch nur mit dem Namen funktionieren. Beim User geht es ja auch.

BTW: Der Exchange ist immer noch nicht auf dem aktuellsten Stand, es fehlen noch 3 Sicherheitsupdates: https://buildnumbers.wordpress.com/exchange/#ex2013

Jede Software die du installierst braucht Admin Rechte? Sicher? Schlechte Idee, ganz schlechte Idee.

Wenn das Gerät in der Firma ist über WLAN anbinden, oder geht das nicht? Und dann mobile Daten abschalten.

Aber eben sonst nichts. Du hast also keinerlei Kontrolle darüber, welche Updates gedownloadet und installiert werden. Ebenfalls werden die Upgrades gedownloadet und installiert, so wie sie MSFT freigibt. Und alle Clients/Server holen sich die Updates direkt aus dem Netz. Eigentlich hast Du gar keine Kontrolle über deine Server und Clients.

Hat denn die Einstellung mit dem GPOs jetzt gepasst? Was steuerst Du dann über GPO?