daabm

Hm, ok. Ich gebe zu, daß ich im ILT noch nie auf Variablen zurückgreifen mußte... Hab das grad mal nachvollzogen. Du hast recht: Mit %DomainName%\Group erhalte ich im Debug-Log 2019-10-15 21:43:56.210 [pid=0x1708,tid=0x1d60] Starting filter [AND FilterGroup]. 2019-10-15 21:43:56.211 [pid=0x1708,tid=0x1d60] Set user security context. 2019-10-15 21:43:56.289 [pid=0x1708,tid=0x1d60] Set system security context. 2019-10-15 21:43:56.290 [pid=0x1708,tid=0x1d60] Failed filter [FilterGroup]. 2019-10-15 21:43:56.291 [pid=0x1708,tid=0x1d60] Filters not passed. Lasse ich %DomainName% weg und nehme nur "Group" (als String, nicht über den Object Picker), geht es. Ich würde sagen "it's a feature, not a bug" Leider gibt's beim Evaluieren der Filter kein ausführlicheres Logging...

Ja, das stimmt. Spear Phishing ist die Hölle...

Naja, diese Zertifikatszeugs ist eh kaputt, von daher... https://gpsearch.azurewebsites.net/#447

Ich würde auch Technet empfehlen. Denniver ist da echt fit...

Aus nachvollziehbaren Gründen alles anonymisiert und damit halt für die Analyse wertlos. Das ist halt per Forum echt schwierig...

Wenn IP geht, Hostname nicht, dann ist der Höllenhund (aka Kerberos) kaputt. KDC-Kennwort out of sync, SPN nicht registriert, man weiß es nicht

Das Problem dürfte sich bei den meisten hier nicht stellen - "Wartung" macht man doch nicht per RDP. Vielleicht hilft es, wenn Du erklärst, was genau Du machen willst in diesem Moment.

Weiß ich doch, alter Mann Man kann heute kaum genug Awareness haben... Ich hab kürzlich eine Mail einer Spedition bekommen - NACHDEM schon geliefert worden war, tagsüber natürlich wo ich nicht zuhause war. Die Lieferung kam im Auftrag des Herstellers, der wiederum vom Verkäufer beauftragt wurde, ich wußte also nicht, daß diese Spedition mir was liefern würde. Aber lest selbst: Da hing dann noch netterweise ein PDF dran. "Näher an Spamverdacht" kann man gar nicht sein. Und wie gesagt, die Mail kam unerwartet, da ich von XYZ im Vorfeld keine Nachricht bekam, vom Hersteller oder Verkäufer auch nicht.

Naja, dann zeig doch mal einen vollständig aufgeklappten Screenshot von dssite.msc Und von jeder Site dann bitte noch die zugeordneten Subnetze. Und die Inhalte der Site Links.

Mode oder nicht - wo Not am Mann ist, muß gehandelt werden... Und zwar sofort, nicht erst hinterher

Au weia, das wird ein Augenöffner... Woher ich das weiß? Pfeiff...

Nachdem das grad in einem anderen Thread hier auch aufkam: Ich empfehle, die Stadt-OUs wegzulassen. OUs sind dazu da, das AD zu organisieren - nicht das Unternehmen abzubilden.

Ich könnte ein Buch dazu empfehlen, da hab ich das glaub mehr als einmal reingeschrieben: OUs bilden nicht die Organisation des Unternehmens ab - sie dienen dazu, das AD zu organisieren. Es sind keine "Organisationseinheiten", sondern "Organisierungseinheiten" (ja, ich weiß wie b***d dieses Wort klingt ). OUs haben genau 2 Zwecke: Verlinkung von GPOs und Delegation von Berechtigungen.

Ich kanns nicht nachvollziehen... Wenn Sites und Subnetze korrekt sind, dürfte NIE ein DE-Client nach China wollen. Und wenn Sysvol per DFS repliziert wird und nicht per NTFRS, dürfte auch NIE ein Client auf Sysvol in China zugreifen wollen (bei NTFRS war das noch schwierig).

Nimm %DomainName% - ich hab %LogonDomain% noch nie verwendet, bin mir grad unsicher was da drin steht

Mit Deinem Befehl versucht er das direkt auf dem Druckserver... Und korrekterweise stellst Du dort in den Standard-Druckeinstellungen auch das korrekte Format ein. Lokal auf dem Client geht es einfach, indem Du fertige Settings von einem passend konfigurierten Drucker (auf einem Referenzclient) exportierst und auf allen anderen Clients wieder importierst. Ich hab das immer mit printui gemacht, weiß leider nicht ob es ein Powershell-Pendant dazu gibt.

Dem ist kaum was hinzuzufügen Nach mehreren Fusionen und Umbenennungen landet unser interner Namensraum jetzt auch in einer DNS-Zone, die mit dem Firmennamen nichts zu tun hat. Für Großunternehmen ist ein Ändern des DNS-Namensraums eine mittlere Katastrophe...

Du erwartest jetzt aber nicht, daß ich 1058/1129 auswendig weiß oder suche? Da wäre der Event-Text schon nett... Und der von Dir verlinkte Artikel ist keine Lösung, sondern - siehe @NorbertFe - nur ein kruder Workaround. Bei Dir stimmt was nicht im Gesamtsetup - Kerberos scheint nicht zu funktionieren, möglicherweise asynchrone KDC-Kennwörter oder fehlende SPNs, vielleicht auch Fehler im DNS, aber das kann über ein Forum niemand beantworten.

Das ist die Krux bei den meisten MS-Lizenzen - der Nachweis muß beim Audit ggf. erbracht werden können, daß keine fehlen. Das Stück Papier mit den erworbenen Lizenzen reicht als Lizenznachweis, wenn Du "irgendwie" auch nachweisen kannst, daß nicht mehr User/Clients zugreifen.

SMB alleine bringt bei DCs wenig, da gibts noch DFSR/NTFRS, RPC, LDAP, KDC usw. Rein technisch funktioniert das mit IPSec, die Frage ist halt nach dem Nutzen. Wenn ich nur zwischen den DCs nen Tunnel habe, was mache ich mit Anwendungen, die nicht Site-aware sind?

Mark Heitbrink hatte da mal ein Tool dafür. Die Firma hat aber leider zugemacht und das Tool ist nicht mehr zu finden... Und ich brauch's nicht, sonst hätte ich schon längst ein Skript gebaut, das den Export und Import übernimmt und dabei on the fly gleich passende Migtables inkl. GPP erstellt. Aber es gibt bei GPP genügend Möglichkeiten, mit Variablen zu arbeiten, so daß man gut ohne Migtables auskommt.

Für Dich ja, für mich war das weit weg... BTT: DC Locator - https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ Da stimmt was mit den Sites nicht, wenn die Clients in DE nach China wollen. Hatte Norbert schon drauf hingewiesen.

Das ist jetzt vielleicht fies von mir, aber: Grütze bleibt Grütze... LW-Mappings mit IP-Adresse - geht gar nicht.

Ich verstehe schon die Anfangsbeschreibung nicht: "Ich habe 2 Root-DC s und 2 Child DCs". Was ist denn ein Root DC und was ist ein Child DC?

Das bringt jetzt zwar niemand weiter und auch das BSI wäre mit mir nicht konform, aber: Wofür bitte ist ein Virenscanner auf einem DC hilfreich, der nur DC ist? Ich weiß es nicht... Edit: Unsere DCs können nicht ins Internet, und iexplore.exe sowie firefox.exe und chrome.exe sind per AppLocker gesperrt. Was nutzt mich ein Virenscanner auf diesen Systemen?