daabm

@mwiederkehr ich würd mir da nicht zu viele Gedanken machen. Wir haben das auch regelmäßig. "Eigentlich" sind alle Server gleich, aber immer wieder verhackstückt sich einer CBS. Da muss man gut überlegen, ob sich aufwändige Reparaturversuche lohnen oder ein Redeploy die bessere Wahl ist.

Wonach organisierst Du denn Deine OUs derzeit? Sie sind nicht dafür gedacht, Unternehmensstrukturen abzubilden

Fehlt das passende ADML ?

Naja, vielleicht schaffen sie es bis dahin auch, SQL-Cluster und SCVMM/HyperV-Cluster ohne NTLM lauffähig zu machen... 🙈 Und zwar in Multi-Domain Umgebungen mit Disjoint Namespaces.

Chuck Norris macht Liegestützen. Wie viele? Alle.

Wenn Ihr Skripts in GPOs habt, dann passt auf, daß der "Parameter"-Eintrag nicht länger wird als 144 Zeichen Der Code dahinter dürfte 27 Jahre alt sein. https://evilgpo.blogspot.com/2026/05/the-secrets-of-gpresult-access-denied.html

Tests mit Explorer sind Goggolores - oder auch "obsolet". Commandline, "net view" und "net use", was kommt dabei raus?

Wenn Du willst, daß User-GPOs auf bestimmten Rechnern (nicht) angewendet werden: Danke an MS16-072 :-)) Die User(-Gruppen) müssen in den Sicherheitsfilter, und in der Delegierung müssen die Authenticated Users/Domain Computers mit Read raus und die Gruppe der Rechner rein, die das anwenden sollen.

Bissele spät, aber das geht mit Item level targeting und einer WMI-Abfrage. Muss dann aber von Anfang an implementiert sein - wenn die Beschreibung mal weg ist, ist sie weg Wmi-Abfrage wäre "select description from win32_group where localaccount=true", dann kannst Du description in einer Variablen speichern und die in der Beschreibung verwenden.

@cj_berlin so einfach ist es nicht. Es gibt nicht nur die Vererbungsreihenfolge der GPOs, sondern - viel wichtiger und viel unbekannter - die Verarbeitungsreihenfolge der CSEs. Dazu kommt dann noch, daß je nach Konfiguration manche nur Foreground, Changed oder Everytime aktualisiert werden... Letzteres könnte hier der Schlüssel zur Lösung sein. Hier gibt's in der ersten Tabelle die CSE-Verarbeitungsreihenfolge: https://evilgpo.blogspot.com/2012/11/guids-guids-guids-2.html Und wie gesagt, wichtig ist nicht nur diese Reihenfolge, sondern auch welche "wann anwenden"-Richtlinie sie haben.

@Nobbyaushb Hut ab! 👍😘

Ich bin überwältigt - nicht 😂

Security Eventlog des Clients und der relevanten DCs prüfen - da müssen Einträge zu dem "Fehler" vorhanden sein. Und zwar mehr, als das was Du angehängt hast.

dsa.msc ist nur eines von vielen Werkzeugen. Grundsätzlich geht das alles mit allem, was LDAP sprechen kann, genauso. Die "Rechte" stecken nicht in dsa.msc, sondern in Active Directory.

War da nicht noch was mit 15? Zu lange her, ich war noch ein Kind