daabm

RDP bedingt interaktiv, und "nur eine Anwendung" ist halt auch eine Anmeldesitzung. Also "nein".

Ich oute mich als ahnungslos - was bitte ist ABC-Update?

Yupp, %clientname%. Und DNS sollte dann den Rest liefern können...

Edit: %clientname% kannst in RDS-Sessions weder bei Logonskripts noch in geplanten Tasks beim Reconnect verwenden - die wird zu spät in die aktuelle Session gebracht. Da mußt direkt in der Registry suchen unter Volatile Environment\<Session-Nummer>

Vielleicht erklärst mal, was Du vorhast?

Bin schon von Batch über VBS nach PS gewandert - InTune möchte ich mir nicht antun Aber wir sind schon wieder OT...

Welche Rechte? Lokaler Admin...

Wo ist das Problem? Die gibt's immer noch... Rechtsklick in den freien Bereich der Baumanzeige links, "Alle Ordner anzeigen". Das gibts übrigens auch schon länger

Das sieht MS leider anders - im MVP-Programm wurde die komplette GPO-Expertise letzes Jahr gekickt... "OnPremise - braucht doch keiner mehr..."

BTT: Wenn die Kennwortrichtlinien nirgends außer in der DDP gesetzt sind, könnte man alternativ auch direkt per ADSIEdit die Domain Attribute bearbeiten, die wandern dann - it's magic! - in die DDP zurück.

'Meiner ist länger wie Deiner'?

Und so ganz allgemein: Wenn Ihr Skripts entwerft - vermeidet Pipes (besser ForEach-Schleifen) und PS-Arrays und += (besser .NET ArrayList oder so was). Der Performancezuwachs dürfte hinlänglich bekannt sein.

Änderungen im UI macht MS bei Fixen extrem ungern, weil das alles in allen Sprachen getestet werden muß. Deaktivieren ist tatsächlich einfacher als ausbauen.

Und die Kennwörter in Preferences liest Dir PowerSploit im Handumdrehen aus, das mußte also tatsächlich unterbunden werden.

Edit: Funktionieren tun die Kennwörter in den Preferences übrigens nach wie vor, die Client-Seite wurde diesbezüglich nicht beschnitten. Man bräuchte also nur einen Rechner ohne MS15-025 - oder man trägt das Zeug manuell in das XML ein. Ist ausreichend dokumentiert, wie das gehen würde. Oder man schaut sich PowerSploit mal genauer an und macht da dann das gleiche, nur andersrum

MaxPWLen per DDP ist durch das dämliche UI von secedit limitiert... Das ist ne Implementierung aus W2K Zeiten, die nie aktualisiert wurde. Schon alleine der Kram mit sceregvl.inf und den zugehörigen Registry-Werten kann einem schlaflose Nächte bescheren. Wie kamen die damals auf dieses hirnrissige Konstrukt?

Für so Zeug ist nahezu immer Drittanbietersoftware verantwortlich.

Der Hersteller soll den Quatsch bleiben lassen. MSI-Pakete lassen sich mit der jeweils neuesten (OS-integrierten) Installer-Version problemlos installieren, nahezu egal wie alt sie sind.

Dürfte ein Bluescreen sein. Schalte mal den automatischen Neustart aus, konfigurere auf Full oder Kernel Dump und dann ab nach windbg Eventlogs hast Du sicher schon geprüft - oder nicht?

Ja, das ist so ungefähr wie "wenn ich von P auf D schalte, fährt das Auto. Egal ob ich einen Führerschein habe oder nicht" SCNR...

...und außerdem ist das keine INI-Datei im MS-Format, sondern "irgendwas" (Nur damit ich auch was dazu gesagt habe...) Wie @BOfH_666 schon schrub: Es gibt genügend "gute" Formate für so was, warum muß es ein derart krudes Konstrukt sein? Zudem Ihr das wohl selbst programmiert.

vor 5 Stunden schrieb testperson:

BTW.: Wenn das kein DC ist, würde ich auch keinen Domänen-Admin zum administrieren nutzen. ;)

Das kommt erst in der nächsten Evolutionsstufe (aka "Klasse") dran Tier-Trennung ist für die meisten Admins noch relativ neu.

Abgesehen von dem, was hier schon viel diskutiert wurde (und wovon ich zugegeben wenig Ahnung habe): Ich halte ein Umfeld von 40 Rechnern/Usern ohne User-/Rechteverwaltung für grob fahrlässig, da gehört dringend ein Verzeichnisdienst dahinter. Ob der dann AD heißt oder Azure AD oder wie auch immer, egal - wie Nils schon sagte.

Ich würde auch erst mal nicht konkrete Tools betrachten, sondern die organisatorische Gesamtlage...

vor 9 Stunden schrieb kaineanung:

Ich will mich nicht in unsere Werbeabteilung einmischen. Die machen das schon seit JAhrenso und sind auch etwas 'eigen' und daher belasse ich das so wie es ist.

Entweder es geht mit GPP, was mir echt am liebsten wäre (alles andere empfinde ich als gepfuscht -> noch mehr als ihr das vielleicht gerade seht) oder ich muss es dann per Logonscript machen.

 

Gibt es eine Möglichkeit dies per GPP zu lösen?

 

 

@mba

was ist 'net drive'? Softwarelösungen von Drittanbieter: eher ungern wenn es auch mit Bordmitteln geht. Meine letzte Lösung ist eben 'net use' in einem Logon-Script.

 

"Das haben wir immer schon so gemacht"??? #grützebleibtgrütze

Und NEIN, es geht nicht mit GPP. MS15-025 ist in Server 2016 fest eingebaut.

Wie @speer schreibt - da werden bei "Aktualisieren" nur die Dateiattribute geändert. Der INHALT ist den GPP völlig egal, und das ist auch das K.O.-Kriterium dafür - um geänderte Dateien zu kopieren, mußt Du "Ersetzen" auswählen, und dann wird halt IMMER ALLES kopiert. Völliger Unfug

Hm - IMHO ist das kein "schwarzer Bereich", sondern einfach eine dreizeilige Taskleiste. Und sich nach über 5 Wochen mal wieder zu melden - so dringend kann es dann ja nicht sein

Kennst Du den Unterschied zwischen NTLM und Kerberos? Ich vermute "noch" nicht... IP = NTLM, Name = Kerberos...

Lohnt sich zu lesen: http://technet.microsoft.com/library/cc772815.aspx

Saurer Apfel...

Ja und? Das ist immer noch besser als ein domain-wide user mit local Admin überall... Im Zweifel nimm LOCALSERVICE, dann kommt er nicht raus. Und Domain Admins haben eh "Deny interactive logon" auf allem, was kein DC ist. (Ne, haben sie natürlich meistens nicht - sollten sie aber haben.)

Die meisten Agents laufen unter SYSTEM...

Wo kommt die Meldung - 2003 oder der andere? Was steht beim 2003 so in den Eventlogs? Und ja, irgendwas klingelt da bei mir, aber noch hab ich zu wenig Infos

Wenn die Meldung auf den anderen kommt, installier mal englische Sprachpakete. Google hilft bei englischen Fehlermeldungen meist deutlich mehr als bei deutschen.