daabm

Wie gesagt, seit Vista ist das OS bei sowas wurscht. Und den Trigger "alle außer" mußt halt skripten - Configfile dazulegen mit passenden Einträgen. Entweder als clixml (bei Powershell) oder halt ein triviales Textfile.

Zur Authentifizierung? Gerne: http://technet.microsoft.com/library/cc772815.aspx Gehört in die Bookmarks

Ums mal anders zu formulieren: Es gibt keine "Anmeldung" in dem Sinne. Es gibt eine Authentifizierung am DC, dann kriegt der Account ein TGT (Ticket granting ticket). Und dann gibt es Zugriffsanforderungen auf Server und Clients, dabei gibts ein TGS (Ticket granting service). Beide gelten default 8 Stunden... Und solange braucht der Account dann keinen DC mehr. (Grob vereinfacht )

Man kann VS komplett skripten. Als Einstieg: https://blogs.msdn.microsoft.com/stuartleeks/2014/03/19/scripting-visual-studio-with-powershell-great-for-demos/ https://www.mztools.com/Articles/2005/MZ2005005.aspx $IDE = New-Object -ComObject VisualStudio.DTE

Grad ausprobiert - bei mir kommt der Auswahldialog. Frag mich jetzt bitte nicht, warum der bei Dir nicht kommt

Ja, isso, SA erforderlich. Aber wie schon gesagt: Den Berater würde ich entraten, der versteht davon nix.

Wer ist 192.168.5.1? Und es hilft, wenn Du sowas nicht einfach ungefiltert hier reinwirfst, sondern sinnvoll selektierst... Die "Ok-Meldungen" von DCDiag interessieren ja hier nicht

...auch wenn die Passwörter möglicherweise nicht wichtig sind: Trotzdem gehören die rausgenommen.... Jetzt weiß jeder, der Deine Installation später nutzt, welche Admins es gibt Und wenn der Join-User auch noch Dom-Admin ist: Welcome, be my guest

Stimmt - manche Leute haben eigenartige Verhaltensmuster beim Bedienen von Maus und Tastatur Ich wär so spontan nicht draufgekommen...

Share geht schon auch, ist aber nicht empfehlenswert wegen Performance. Welche Edition - Pro oder Enterprise oder xyz? Die Lockscreen-Settings gehen nicht mit allen SKUs...

Ich sehe nichts, was dafür spricht, einen Client NICHT ins AD aufzunehmen. Der Rest steht oben schon

Manchmal ist es mit Norbert und Sunny schwer - die Antworten sind zwar fachlich korrekt, aber meist sehr "reduziert"

...oder man überlegt sich halt vorher "was mache ich wenn" und spart jede Menge Ressourcen und Lizenzen

Da fällt mir nur eins ein, auch wenns zynisch klingt: Warum erfindet man ein Rad, wenn man schon eines hat? Und zum Thema Outlook-Skripting: http://www.dimastr.com/redemption/home.htm Gibt soweit ich weiß nichts besseres. Du kannst natürlich auch mal schauen, was $EmailSignature | Get.-Member so an Membern ausspuckt. Vielleicht ist die Property ReplyMessageSignature ja Readonly, und Du kannst sie per Set_ReplyMessageSignature setzen? Ne, ist nur ein String, grad geschaut. Aber da gibt es noch EmailSignatureEntries - da mußt wohl ein wenig durch das Objektmodell forschen

Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind. Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden.

Und um ganz sicher zu gehen: Win-R "dsa.msc" - geht das? mmc.exe starten, Snapin hinzufügen - sind sie da sichtbar? Habt Ihr evtl. per GPO die Snapins restriktiert?

lol - meine Cocktailkenntnisse und auch Spanisch könnten wohl ein Upgrade vertragen Ok, Mojito.

Ja, ok. Und wenn ich sie starte, kommt das aus meinem Screenshot. Auch deutsch installiert. Was kann ich jetzt machen? Entweder Du lebst damit, bis es offiziell behoben ist, oder Du wechselst in den Fast Ring.

Was genau ist das Problem? Ok, Insider-Preview

RDP ist lokal (interaktiv). Kommt noch "über Terminaldienste" dazu. Aber warum adminstrieren alle immer über RDP direkt auf den Servern? Das ist Technik aus dem letzten Jahrhundert... Falls es Dich interessiert: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Long Island Ice Tea oder Moquito - aber Du bekommst gerne, was immer Deinem Gaumen behagt

Windows Update geht nicht über die IE-Settings. winhttp set proxy...

Garantiefall... Display kaputt.

Naja, daß er seine self signed Certs manuell verwalten muß, dürfte schon rübergekommen sein. Und daß das "automatisch" nur mit einer AD-integrierten CA oder jede Menge Skripting geht, dürfte auch klar sein. https://docs.microsoft.com/en-us/windows/win32/seccrypto/time-stamping-authenticode-signatures https://serverfault.com/questions/582554/time-stamped-digital-signatures-with-ad-cs Sieht so aus, als wenn AD CS kein Timestamp Server sein kann... :-(

Dann brauchst Du ein Timestamp Zertifikat von einer ofiziellen CA. Level 100: https://www.thesslstore.com/knowledgebase/code-signing-time-stamping/time-stamping-matters/ Level 300: https://www.digicert.com/blog/best-practices-timestamping/