daabm

Was für eine Strategie genau? Ich hab den Begriff noch nie gehört...

Ne, Olaf. Richtig, SYSTEM ist immer nur LOKAL. Aber extern ist das entweder der Computeraccount (%computername%$), der z.B. in Domain Computers oder Authenticated Users enthalten ist, oder - wenn so konfiguriert (Allow Null Session Fallback) - eine Null Session, wenn Kerberos nicht funktioniert. Das dürfte das Problem des TO sein. SYSTEM muß man nirgends berechtigen. Lokal darf der eh immer alles, und nach außen kommt er sowieso nicht

Du kannst für solche GP-Settings auch gerne auf https://gpsearch.azurewebsites.net/ verlinken mit der Textbeschreibung, was jeweils eingestellt ist. Das macht den Beitrag etwas übersichtlicher Ansonsten danke fürs Posten und hoffentlich hilft es dem einen oder anderen ?

Ich hab den C64 verkauft, als ich mit "Open(1,8,15)" nichts mehr anfangen konnte ??

Das ist wohl ein Samba-Share mit Anonymous Access - Pfui... Meine Empfehlung dazu: ALLE Skripte "irgendwie" nach lokal kopieren und per GPO das lokale Skript aufrufen. Dann läuft das nämlich auch, wenn das Netz weg ist. Und "lokal" heißt bei Computerstartskripts "ein Verzeichnis, in dem der User KEINE Schreibrechte hat".

Kann man so machen, wird vermutlich auch funktionieren, aber mit Verlaub: Das sind Methoden aus dem letzten Jahrtausend... Sogar bei Batch ging das mit "for /l" schon eleganter, von Powershell wollen wir jetzt nur mal träumen.

Interessant wäre noch Peers (alle verfügbaren Quellen) und Source (die tatsächlich verwendete Quelle). 0x80070005 heißt schlicht "Zugriff verweigert".

Ja, das nennt man betriebsblind - woher ich das weiß? Da fehlt dann halt ein Kollege, der auch mal mit draufschaut. Credits wären noch nett... ?

Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?

Naja, Haken dran. Falsche Subnet-Zuordnung in den Sites...

Das Debug Logging interessiert Dich nicht? Das würde ich als erstes einschalten.

Du hast sicher weder eine PS/2 Tastatur noch eine PS/2 Maus Bei Fortsetzen aus S3 steht "einschalten". Heißt das jetzt, daß es aktuell ausgeschaltet ist (und dann eingeschaltet werden müßte), oder daß es eingeschaltet ist und dann eigentlich das bewirken sollte, was Dir fehlt?

Das unterschreibe ich sofort...

Was haben die AD-Sites mit Routing zu tun?

Steht hier drin: https://www.amazon.de/dp/3866456956 Kurz zusammengefaßt: "Organisationseinheiten" ist eine blöde Übersetzung, es müßte "Organisierungseinheiten" heißen. Ihr einziger Zweck ist die Organisation des AD - welche GPOs muss/will ich verlinken, welche Berechtigungen will ich delegieren. Mehr Zwecke haben OUs (fast) nicht.

Mir fehlt der konkrete Fehler bei der konkreten Aktion: Was genau machst Du, und was genau passiert dann? BTW: Die GPMC hat ein Debug Logging, das könnte helfen. https://lmgtfy.com/?q=gpmc+debug+logging&s=d&t=w

[OT] Was ist eine CD? SCNR [/OT]

Hattest Du für DE ein Netz, das auch China eingeschlossen hat?

...und genau damit legt man den Grundstein für Probleme, die dann 2 Jahre später auftreten. NEIN, das macht man eben NICHT.

Kein Win10 Problem - Hardware... Hängt da irgendwas zwischen Grafikkarte und Monitor?

Naja, wenn der Client keinen DC findet, wird alles schwierig Das wäre jetzt die Zeit für Grundlagendiagnose: ipconfig /all, ping etc.

Das mit .Target geht erst ab PS Version xyz (weiß ich grad nimmer), war nicht von Anfang an dabei. Mit PS 2 geht es auf jeden Fall noch nicht

Ich glaube, Du meldest Dich vorher schon wieder Das Befüllen eigener Felder geht "einfach" nur per Skript. Wenn Du das UI ergänzen willst, mußt Du MMC SnapIn-Extensions in C++ programmieren. Oder Du machst nen zusätzlichen Kontextmenüeintrag über die DisplaySpecifiers, das kann dann auch ein VBS/PS1/xyz sein.

Ja, nur "HBA" reinschreiben. https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Irgendwie bleiben alle dabei, daß die Site-Konfig buggy ist Wenn Du's nicht veröffentlichen kannst, dann hol Dir jemand, der das mal mit Dir durchgeht. Den kannst dann auch ein NDA unterschreiben lassen.