Sunny61

Mit einem lokalen User hebelst Du sehr viel aus, GPO-Einstellungen für Domänen Benutzer greifen dann nicht mehr. Und vieles andere vermutlich auch nicht. Der Domänen User kann doch am Client selbst sein PW ändern, sobald der Client dann im AD ist, wird das PW AFAIK gegen das AD gesynct. Er kann es natürlich auch zusätzlich gleich über OWA ändern.

Dafür braucht man aber nichts zu tun, wenn der User und der Computer in der Domain ist, dann ist nichts weiter zu tun. Auch dafür braucht man keinen User lokal anlegen/erzeugen. Wo genau hängst Du? STRG, ALT + ENTF > Kennwort ändern auswählen. Über welches Webmail meinst Du? OWA = Outlook Web Access? Damit die Anmeldedaten am PC auch geändert werden, muss der Client eine Verbindung zum AD bekommen, richtig. Das macht man am sichersten über einen VPN Zugang.

Weshalb möchtest Du einen User aus der Domain auch lokal anlegen? Was sind die Anforderungen? Was möchtest Du erreichen? Nicht den Weg beschreiben, sondern die Anforderungen, die Aufgabe die erfüllt werden soll.

Wie lange nach der Anmeldung wird das Script ausgeführt? Wie bekommt der User das Script? Per GPO? Per GPP oder liegt das Script im Netlogon Verzeichnis?

Danke für die Rückmeldung. ;)

Mit W10 hat MSFT die Servergespeicherten Profile verschlimmbessert. Auch unter den früheren Betriebssystemen hat das immer wieder zu Fehlern geführt, unter W10 wurde es IMO gefühlt viel schlimmer. Ordnerumleitung mit Offlinesychronisierung für die User einstellen, die mit mobilen Geräten unterwegs sind. Die von dir gen. Einstellungen sollte man vollständig per GPO erschlagen, das ist dann zentral gesteuert.

Für uns schon... :)

Eine Aktualisierung des BIOS kann sicherlich auch nicht schaden. ;)

OK, bin gespannt auf ein Feedback dazu. ;)

Servergespeicherte Profile entsorgen und nur die Ordnerumleitung weiter einsetzen. Zumindest solltest Du das testen. BTW: Es ist ein Ha*k*en. ;)

Gekauft? Das sind doch alles frei erhältliche PS-Scripts. Zumindest finde ich in den Features nichts neues: https://www.ajtek.ca/wam/features/

Die Reindexierung der SQL Server Datenbank bei großen Umgebungen täglich laufen lassen. Auch sollte man bei größeren Umgebungen eine Standard Edition vom SQL Server verwenden. Den Speicher im IIS ändern, so wie in dem von dir geposteten Artikel auch genannt ist. Je mehr Clients gleichzeitig anfragen, desto langsamer wird es natürlich. In einer kleinen Umgebung schadet alle 4 Stunden beim WSUS melden nicht, in einer großen bis sehr großen sicherlich dann etwas mehr. Je größer sollte man sich auch mit Downstream-WSUS befassen.

Nett wäre es, wenn das Stück Hardware auch für Türöffnungen und ein- bzw. ausstempeln benutzt wird. Das ist dann eine erweiterte Hemmschwelle. ;)

AV-Scanner sind gerne für alle möglichen und unmöglichen Fehler verantwortlich.

Ist es eine bestimmte Software oder jede zu installierende Software? Falls ersteres, kannst Du uns mehr verraten? Ich hab nicht alles aus diesem Thread gelesen, aber evtl. kannst Du diesen Ansatz an einem Testclient ausprobieren: https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

Ist das diese Software? https://www.server-eye.de/ Falls der Schuldige diese SW ist, Ticket beim Hersteller eröffnen. Die sollen das fixen. Bis dahin eine Batch erstellen, warten bis der Dienst beendet ist, dann einen Shutdown durchführen. Entweder Reboot (-r) oder Shutdown (-s).

Die Updates für 2019 sind installiert? Nach der Installation der Updates hast Du mindestens einen Reboot gemacht?

Auf einem DC kannst Du natürlich auch den DNS Server für das AD installieren. Zum Test und für eine Spieleumgebung kannst Du auch den DHCP auf dem DC installieren. Aber das wichtigste ist beim DNS für die Windows Clients im AD: Niemals etwas anderes als einen DNS Server eintragen, der NICHT die DNS AD-Zonen kennt. In den Eigenschaften des DNS-Servers kannst Du eine Weiterleitung auf die FB einrichten, das reicht aus. Zusätzlich kann sicherlich dieser Artikel helfen: https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Die FB kann IMO nur als GW fungieren, für sonst nichts. Und falls die FB IPV6 DHCP offeriert, dann unbedingt abschalten.

Das was Du vorhast, ist bei uns mit Hilfe von OPSWAT umgesetzt: https://www.opswat.com/ Genauer beschrieben, wir haben so ein Kiosk System im Einsatz: https://www.opswat.com/products/metadefender/kiosk Kannst Du auch einen W10 PC hinstellen und das System dort installieren.

Es liegt aber nur an den Updates, wenn Du direkt vor dem Reboot auch tatsächlich welche installiert hast. Ansonsten ist das nicht normal.

Die Reboots nach der Installation von Updates dauern bei W2016 sehr lange, aber das wird bei unseren zig Servern dabei nicht angezeigt. Findet sich etwas im Eventlog des Servers? Besteht das Problem auch, wenn Due GDATA *rückstandsfrei* deinstallierst?

Einfach die Event ID eintippen und suchen lassen. Die Source must du noch berücksichtigen, ansonsten bekommst Du damit schon mal Hinweise. Ansonsten EventID + Source bei MSFT eingeben und suchen.

Zusätzlich hilft natürlich auch eine vernünftige Entwicklungsumgebung. Visual Studio Code ist kostenlos und hilft ungemein beim täglichen Scripten. https://code.visualstudio.com/

Das Anmelden auf das Netzwerk ist an der Stelle zwar schön, hilft aber nicht. Sieht man am verbinden von Netzlaufwerken. Sichtbar sind die Drucker immer, Du siehst sie, der Nachbar sieht sie auch, aber für Windows sind sie nicht erreichbar, weil der Netzwerkstack einfach noch nicht komplett geladen ist. Und deshalb ist immer der Hinweis Pflicht: 2 Minuten warten *VOR* der Anmeldung. All das hätte unbedingt gleich ins erste Posting gehört, solche Informationen später nachliefern ist nicht gut. Welche GPO Einstellungen für die Drucker hast Du gesetzt? Bitte nur die Einstellungen posten, nicht die ganze GPMC Ansicht, Danke.

Sind das Netzwerkdrucker die der User selbstständig auswählen kann? Falls ja, wäre IMO eine Möglichkeit dass die Drucker für den Client(!) zum Zeitpunkt der Anmeldung nicht erreichbar sind. Passiert das auch, wenn die User 2 Minuten warten *bevor* sie sich anmelden? Sind es immer die gleichen Drucker? Oder die gleichen User/Clients?