daabm

Ja und? Das ist immer noch besser als ein domain-wide user mit local Admin überall... Im Zweifel nimm LOCALSERVICE, dann kommt er nicht raus. Und Domain Admins haben eh "Deny interactive logon" auf allem, was kein DC ist. (Ne, haben sie natürlich meistens nicht - sollten sie aber haben.)

Die meisten Agents laufen unter SYSTEM...

Wo kommt die Meldung - 2003 oder der andere? Was steht beim 2003 so in den Eventlogs? Und ja, irgendwas klingelt da bei mir, aber noch hab ich zu wenig Infos Wenn die Meldung auf den anderen kommt, installier mal englische Sprachpakete. Google hilft bei englischen Fehlermeldungen meist deutlich mehr als bei deutschen.

Gab mal ne recht pfiffige Lösung dafür: Per Logonskript einen DNS A-Record für den Usernamen erstellen/aktualisieren... Aber das löst natürlich das konzeptionelle Grundproblem nicht

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren?

Warum hast Du dann ein Problem? Du hast Vorlagen im Computerkontext, die legst Du in ein für den Computer schreibbares Verzeichnis (z.B: %programdata%) und füllst sie per Startupskript. Und Du hast Vorlagen im Benutzerkontext, die legst Du in ein für den Benutzer schreibbares Verzeichnis (z.B. %localappdata%) und füllst sie per Logonskript. Und wenn Du unbedingt ein gemeinsames Vorlagenverzeichnis für alle im Benutzerkontext verwenden willst: %public%...

Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

lol - stimmt, DFSR macht ja inzwischen Hashes...

Falls Dir sowas mal wieder passiert und Bitlocker nicht aktiv ist (oder Du den Recovery Key hast) -> utilman.exe austauschen

Das läuft dann glaub unter gelitten.com

Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.

Das mit den Profilausschlüssen ist etwas - hm - irritierend... By default ist %userprofile% das RUP. Fest codiert gibt es da Unterverzeichnisse, die NICHT mitgenommen werden (Appdata\Local ). Alles, was man sonst noch NICHT mitnehmen will, ist immer relativ zu %userprofile%.

Eventlog!

@PyroTFD Je nach Office-Version geht das viel einfacher - Group Policy Preferences mit Zielgruppenadressierung "Datei vorhanden" oder Registry -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun (der Pfad ist natürlich je nach Office-Version ein anderer...) Mit der Registry-Variante könnte man sich theoretisch wohl auch durch die File Associations über docx oder so was an Office herantasten Der WMI-Filter auf Dateien ist übrigens sauschnell, wenn man nicht vergißt, den vollständigen Pfad anzugeben - also vor allem inklusive Laufwerk und komplettem Pfad. Ein Filter auf "cmd.exe" dauert in der Tat sehr lange

BTT: Ich sehe, daß der Client zwar sich selbst erreicht, aber schon den 1. Hop (= Router) nicht. Die Ursache mußt Du in Deiner (W)LAN-Infrastruktur suchen.

pathping statt tracert, dann sieht man auch, wo es schief geht. Einen grundsätzlichen Fehler sehe ich nicht, läuft hier auch so.

Welche Fehlermeldung? Welche "Einstellungen" sind ausgegraut? Mehr Infos wären hilfreich, ggf. ein Screenshot. Kann man hier mit Strg-V einfügen

lol... Gestern fertig, aber kein Geld und niemand, der es kann?

Jo, da ist wohl mehr kaputt als "nix"....

Für nen Anfänger ist Dein Code aber ziemlich - hm - fortgeschritten... Import-CSV erzeugt ein Array von Arrays - für jede Zeile eines. Wenn die Spalten Header haben, kannst mit "Select-Object" die passende Spalte extrahieren. Und - das wirst Du von andern auch noch hören - hier gibt es keine Lösungen, nur Hilfe zur Selbsthilfe "Was genau wo genau" macht höchstens Olaf ab und zu...

Zuerst mal: Nein, du willst KEINE universellen Gruppen benutzen. Nie. Zweitens: dsa.msc bringt je nach UAC-Einstellungen zwar einen Admin-Credentials-Dialog. Da kann der User aber auch seine "normalen" Creds eingeben, dann läuft sie halt in seinem Kontext. Drittens: Was genau funktioniert wie genau nicht? "Users" ist übrigens die falsche Gruppe - ich würde bei Delegationen nie mit automatischen Builtin-Gruppen arbeiten. Kann sein, daß es schon alleine daran liegt. Und wenn Du die Verwaltung von "Users" delegierst, dann ist damit genau gar nichts erreicht - das ist eine automatische Builtin-Gruppe, was soll da delegiert werden? Du mußt schon die Rechte auf die jeweiligen Benutzer- und Gruppen-Objekte delegieren (bzw. auf die OU, wo die sinnvollerweise drin sind).

Ist das der reale Code? Du fügst $data hinzu, lange bevor es gefüllt wird? Und ich würde der Listbox halt ein eindimensionales Array verfüttern, kein mehrdimensionales (wie es Import-CSV erzeugt). Select-Object dürfte Dir helfen nach dem Import-CSV

Berechtigungsprobleme sind heutzutage eigentlich keine Berechtigungsprobleme, sondern tatsächlich Konzeptprobleme.

Ne, wird er nicht. Wie denn auch und vor allem - warum?

Oh - doch, das tun sie. Wenn Du das reinprogrammierst, sogar extrem granular und flexibel...