daabm

Hast Du mehrere DCs an verschiedenen Standorten? (AD-Replikationsintervall...)

Zielgruppenadressierung weiß nix von Migrationstabellen - wenn Du da den Object Picker verwendest, hast IMMER SIDs in der Ziel-GPO... Das geht aber auch anders, drück mal F3. Da verwendet man nicht den Object Picker, sondern schreibt die Gruppen/User/Computer mit entsprechenden Variablen einfach rein.

Rufs mal mit /? auf - soweit ich das im Kopf habe, erstellt es auf Wunsch alle Gruppen ebenfalls, und es kann m.W. auch mit Migtables umgehen. Ist zu lange her, und Migtables brauchen wir nicht mehr wirklich - innerhalb der GPOs haben wir keine SIDs mehr außer WellKnown, und der Sicherheitsfilter geht bei den Skripts über den Namen, nicht über die SID.

AppLocker hilft bei .doc relativ wenig - und .doc ist per se auch nicht gefährlich, wenn man Makros passend verbietet. Mit SRP könnte es gehen, hab ich aber noch nie probiert - ich finde es grundsätzlich besser, auf eine sichere Konfiguration der zugehörigen Anwendung zu achten (inkl. Deaktivieren von Javascript in Adobe Reader )

Hm - worauf wird denn da der Zugriff verweigert? Und ist UAC aktiviert oder nicht? Klingt jetzt sehr obskur, das Problem - aber ist vermutlich nur eine ganz obskure Kleinigkeit

Das ganze gibt es sogar fertig, ist nur relativ unbekannt: https://msdn.microsoft.com/de-de/windows/desktop/aa814152?f=255&MSPPError=-2147217396 CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf sind genau dafür gemacht: Übertragen von Gruppen, Usern, OUs und GPOs aus einer Domäne in eine andere. Durch Bearbeiten des XML kann man fast nach Belieben customizen.

Startup Skript - dann reden wir über eine Domäne? Warum berechtigst Du nicht einfach die "Domain Computers" auf der Freigabe? Oder Authenticated Users... Ich verstehe den Sinn nicht, das als anonymous unter Guest laufen zu lassen.

Nils hat Recht. Zum Nachlesen: https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/

Ich blick hier nicht durch... Wie ist der Name der Website? Was sagt nslookup dazu? Ist im Browser ein Proxy konfiguriert? Und wenn die Website im Internet liegt, wäre ein Forwarder eigentlich die Lösung der Wahl.

Wenn Du "Warteschlangen je Server" meinst: IMHO nein. Wenn doch, dann ist sie so hoch, daß sie in der Praxis keine Relevanz hat.

Warum ist Nachforschen in der Ereignisanzeige mühsam? Filter konfigurieren - Event-ID, Quelle, Zeitraum - und fertig... Oder XML schreiben

Konfiguriere https://gpsearch.azurewebsites.net/#319 auf einen Wert, der für dich passt. Standard sind 30 Sekunden.

Den Kram kenn ich alles. Nutzt nur kaum was, sieht halt auf dem Papier gut aus. Was ich sehe, kann ich weitergeben. Isso

Nils, das war mir schon klar. Aber %clientname% ist speziell, weil es nicht direkt im (Re-)Connect bereitsteht, sondern erst danach. Wenn Du bginfo per Logonskript aufrufst, hat es verloren. Und wenn es beim Reconnect-Event läuft, ebenfalls. Beide Möglichkeiten laufen aus einem Prozess, in dem %clientname% nicht verfügbar ist... Also haben wir uns seinerzeit mit Volatile Environment beholfen. Herausforderung dabei: Die richtige Sitzungsnummer, die den Unterschlüssel darstellt, unter dem der aktuelle Clientname zu suchen ist.

Manche Anforderungen des Managements gehen an der Praxis einfach meilenweit vorbei... Traust Du deinem Admin? Wenn nein, besorge Dir einen neuen Admin. Traust Du deinem Mitarbeiter? Wenn nein... usw. Niemand kann das Abfotografieren von Bildschirmen verhindern. Wenns schnell gehen muß, filmt man beim Durchscrollen mit. Und dann? ym2c...

Also wir hatten schon Kunden mit knapp 300 Druckern auf einem einzigen Printserver - bist Du sicher, daß das Dein Problem ist?

Wenn im Eventlog nix zu sehen ist, ist es ein HW-Problem und kein Bluescreen. Ich wäre auch beim Netzteil, ggf. beim Mainboard.

WDS mit ADK/MDT ist an einem Tag funktionsfähig eingerichtet. Der Feinschliff kann dann noch mal ein paar Tage dauern - oder auch Monate Dann noch WSUS mit dem WPP, und Du bist schon beinahe im Enterprise-Komfort angekommen.

Irgendwas war halt immer wichtiger... Ist bei uns genauso, noch einige k Server auf 2008R2... Irgendwann geht dann die Update-Prio nach oben, weil die Supportkosten präsenter werden

BGInfo geht, aber ich bin nicht sicher, ob das den %clientname% mitbekommt. Und beim Reconnect wird es ohnehin schwierig - oder Du machst nen geplanten Task darauf mit 30 Sekunden Verzögerung, das sollte klappen und wäre auch für mich dann die bessere Lösung.

https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/ Wenn Du dazu Fragen hast - einfach fragen ?

Das orientiert sich ganz stumpf an der GUID der CSEs - alphabetisch. Einzige Ausnahme: Registry... Und wunderbar, irgendwer hat immer schon einen Blogpost dazu geschrieben http://evilgpo.blogspot.com/2012/11/guids-guids-guids.html PS: Ob Computer oder User gewinnt, entscheidet der Implementierer. Bei mir kommt es drauf an - meistens ist es in der Tat der Computer, aber z.B. in unserer Druckerlösung gewinnt der User.

RDP bedingt interaktiv, und "nur eine Anwendung" ist halt auch eine Anmeldesitzung. Also "nein".

Ich oute mich als ahnungslos - was bitte ist ABC-Update?

Yupp, %clientname%. Und DNS sollte dann den Rest liefern können... Edit: %clientname% kannst in RDS-Sessions weder bei Logonskripts noch in geplanten Tasks beim Reconnect verwenden - die wird zu spät in die aktuelle Session gebracht. Da mußt direkt in der Registry suchen unter Volatile Environment\<Session-Nummer> Vielleicht erklärst mal, was Du vorhast?