daabm

>bin müde, das raff ich jetzt doch nimmer. Und morgen kriegen wir eh nen Anschiß wegen OT...

War kein Vorwurf - ich kenn das Problem.... "Der Server ist doch da, kann das da nicht noch mit drauf"

Bäh...

Naja, dann weißt Du ja sicher auch: Ein DC ist ein DC - und sonst nichts. Und spezielle Verwaltungstools haben da ohnehin nichts zu suchen.

Jetzt habt Ihr den TO vmtl komplett überfordert

Da wären wir wieder bei ProfileList - mit Dir ist fachlich echt immer nice, da habe ich nie das Gefühl, noch was erklären zu müssen

...vielleicht mal zurück auf Null und einen aktuellen Status? Dann kann ich bestimmt helfen.

Immer wieder erstaunlich, diese Frage...

Da fehlt es wohl ein wenig am Verständnis, was "Kontext" bedeutet... Wenn Du den Job so erstellst, läuft der zwar bei Anmeldung eines beliebigen Users, aber er läuft - da "Elevated" - nur dann, wenn der User Admin ist. Und ebenfalls da "Elevated" läuft er in einer anderen Logon-Session... Und wie Du $Cred befüllst, das will ich gar nicht wissen.

Ich könnte ja noch ne Fortgeschrittenen-Aufgabe einwerfen Ermittle die Profilpfade aus der Registry (ProfileList), und hole Dir aus der jeweiligen NTUSER.DAT aus den User Shell Folders dann die tatsächlichen Pfade zu den Zielordnern. Oder falls es der aktuelle User ist: Verwende ShGetSpecialFolders dafür

Wir diskutieren hier zwar inzwischen ohne den TO, aber was solls - Spaß machts auch so Jeder weitere Faktor erhöht die Sicherheit, da sind wir uns glaub einig. Und auch, daß er den Komfort verringert - das ist der Knackpunkt: Wann wird Sicherheit so unbequem, daß sie nicht mehr akzeptiert wird... Wenn ich so im Bekanntenkreis rumschaue, wie viele MFA wenigstens für das E-Mail Konto haben, da kriege ich eine Hand nicht voll. Versuch mal Deiner Frau beizubringen, daß das nicht nur wichtig ist (das klappt vielleicht noch), sondern auch wie es funktioniert - und was sie machen muß, wenn es mal Probleme gibt - viel Spaß damit. Und "deine Frau" kannst Du jetzt durch beliebige Nicht-IT-affine Kollegen ersetzen, dann weißt Du (vermutlich eh schon), vor welchen Herausforderungen sicherheitsbewußte Unternehmens-IT steht. Ich will gar nicht drüber nachdenken.

Man könnte auch noch auf die Idee kommen, in der Windows-Firewall ausgehend die gängigen VPN-Verbindungsmöglichkeiten zu blocken. Aber da kommt immer jemand daher, der es dann doch schafft

Olaf, laß ihm doch die Chance, sich auf einer Lernkurve zu verbessern. Ich hab vor ner Woche auch Code von mir angeschaut, den ich vor 2 Jahren produziert habe. Oha.... Splatting war mir damals noch fremd, also Backticks :-( Nur ein Beispiel...

Hast Du mehrere Domain Controller? AD-Replikationslatenz?

Nimm mal im Sicherheitsfilter "Authentifizierte Benutzer" auf und wieder raus. Da verhakt sich gerne ein ACL-Eintrag im Sysvol, den die GPMC nicht mag ("Synchronize"-Recht für AuthUsers).

Zum Verständnis: Im DFSRoot kannst Du Ordnerstrukturen bauen, wie Du willst, beliebig tief verschachtelt. Aber "irgendwann" muß der unterste Ordner halt mal auch auf einen Server/Share verweisen. Oder auf mehrere - was die o.a. Nachteile bringt wegen Replikation und out of sync und und und.

Links enthält Verknüpfungen. Ein Ordner enthält Ordner. Und der Flyout ist keine Funktion von Ordnern. Oder verstehe ich das falsch?

Ja. RuP ist ein dämliches Prinzip auf FAT Clients, hätte nie gemacht werden sollen... Verlängert Anmeldezeiten, verhindert bei Serverproblemen die Anmeldung, ist zwischen OS-Versionen nicht kompatibel und und und. Laß es einfach... RuP haben nur eine Berechtigung in einer TS-Umgebung, sonst nirgends. Und bewährt hat sich da gar nichts.

Ich schließe mich Nils und mwiederkehr an: Das biometrische Merkmal ist quasi mein Public Key. Wenn die Gegenstelle die Überprüfung verkackt, ist das i.d.R. ein Problem der Gegenstelle, nicht des Keys. Und die Kombi aus Chipkarte, PIN und Venenscanner haben wir auch - da muß einer schon echt lange arbeiten, bis er ohne Insider-Hilfe und wirklich unbemerkt durchkommt...

Nils, nicht nur pfiffitsch, sondern auch extrem störungsfrei. Großer Vorteil: Last Writer wins ist ausgehebelt, Du kannst jederzeit "unten" weitere Member dazunehmen. Das hat uns mit RG schon heiße Stunden beschert, wenn oben plötzlich ein neuer Account für irgendwas berechtigt werden mußte, wo unten schon in spezifischen GPOs Accounts berechtigt waren...

Harte Worte dazu: Servergespeicherte Profile sind Technik aus dem letzen Jahrtausend - weg damit! Mit Apps funktionieren die eh nicht..., Ordnerumleitung und fertig. Die Probleme kannst Du Dir raussuchen - kurz zusammengefaßt: Alle

Fehlermeldungen im Wortlaut sind immer hilfreich. "Alle möglichen Fehlermeldungen" kennt hier niemand, und "alles mögliche ausprobiert" haben schon viele...

Ich versteh die Frage nicht. Bzw mir fehlt das Problem...

Du lügst doch... Du kannst gar nicht anders Ich war auch schon drauf und dran, wollte aber noch abwarten bis mehr Infos zur Eingabedatei und dem Ziel da sind - so wie jetzt. Und Du hattest natürlich schon wieder früher Zeit @wethlo Es hilft immer ungemein, wenn das tatsächliche Ziel und die tatsächliche Ausgangslage bekannt sind. Wenn Du Deinen ersten Post anschaust, wirst Du verstehen, was ich damit meine.

Wenn es etwas flexibler sein darf: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Setzen wir grad im Enterprise-Umfeld "gaaaaanz langsam" um - und funktioniert prima. Jeder, der das einmal verstanden hat, kommt damit klar. Was ist Dir an dem managedBy unklar? BTW: Die Domain Admins haben in den lokalen Admins auf Clients NICHTS verloren, die kriegen einen expliziten "Deny" auf Interactive Logon. Der Artikel von Miriam ist technisch korrekt, aber einige Jahre hinterher.