MurdocX

Alles liste ich mal nicht auf, sonst wird das hier zu lang Die aufgelistete Hardware ist aktiv in Benutzung. Meine kleine Spielwiese... HP DL380 G7, 128GB, SAS10K 8x 140GB, 1TB NVME Fujitsu E720, 32GB, 2x 1TB NVME HP 2810-24G HP 1810-24G Synology 5 Bay Lenovo T470s, 20GB, 512GB 2x DELL U2415

Ja

Neueste Firmware eingespielt?

Hier verlässt du aber die Norm. Denn das Netz 192.168.0.0/16 geht bis 192.168.255.255/16. 192.169.x.x/x -> Entspricht einer öffentlichen IP-Adresse und das sollte vermieden werden.

Das passt schon. Dein Netz geht von 10.16.0.0 bis 10.31.255.255. Alles im gleichen Netz muss nicht geroutet werden. Gehe ich ich recht in der Annahme, das ihr nur ein Segment in Benutzung habt?

Warum braucht man ein Netz für 1.048.574/Subnet Geräte? Da würde sicher auch eine Standardmaske von /16 für 65534 reichen. Vielleicht erledigt sich dann auch dein Problem damit.

Hier kann ich mich anschließen

Lese dich mal hier: https://www.it-explorations.de/windows-bereitstellungsdienste/ ein. Generell ist zu sagen, dass die Setup-Unattended nichts mit der Betriebssystem-Unattended zu tun hat. Die werden an zwei verschiedenen Orten hinzugefügt. Ändere niemals die XML-Datei von Hand, sondern immer vom Editor! Nur ein gut gemeinter Ratschlag! Du benötigst nur 64-Bit und 64-Bit für UEFI, also solltest du auch nur dort die XML zuweisen.

Nein die sehe ich nicht. Bisher keine Probleme damit gehabt.

Dann hast du die neuen Konfigurationsmöglichkeiten für das jeweilige Betriebssystem. Nimm die des aktuellsten Betriebssystems im Unternehmen. Deine GPO-Vorlagen (Templates) speichern nicht deine Konfiguration. Die liegt auch auf dem Sysvol auf dem auch deine Vorlagen liegen.

Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. Vorteil Variante 1: - Es wäre einmal definiert und für alle gleich nutzbar. Nachteil Variante 1: - Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach. Vorteil Variante 2: - Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler Nachteil Variante 2: - Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben.

Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist.

Ich meine hier im Forum mal vernommen zu haben, dass man das aus Kompatibilitätsgründen nicht machen sollte. In den Technet-Foren wurde auf diesen Thread https://social.technet.microsoft.com/Forums/windowsserver/en-US/01db509a-1ce0-405a-81c3-4f782a6e5d57/remove-domain-admins-for-member-server8217s-local-administrators-group?forum=winserverManagement verwiesen. Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

Genau das gleiche Problem hatte ich vor Wochen auch mal. Jetzt hast du es ja selbst lösen können.

Bei Server 2012 ist die Standardeinstellung für MaxTokenSize bei 48.000 Bytes.