daabm

Dann prüfe mal unter HKCU und HKLM, was Du so unter SOftware\Policies und unter Software\Microsoft\Windows\CurrentVersion\Policies an Einträgen findest. Verdächtige Einträge dürften leicht zu erkennen sein, einfach löschen. Wenn sie wiederkommen, dann ist da doch was am Start

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Ich würd ja mal mit "nslookup <domain>" anfangen - wer antwortet?

Jepp. Entweder nen Symlink dafür einrichten oder halt ein "Master-File" in alle Admin-Profile kopieren.

Repariere die Sysvol-Replikation. https://support.microsoft.com/en-us/kb/290762 (NTFRS) https://support.microsoft.com/en-us/kb/2218556 (DFSR)

Folgende Alternativen hast Du: 1. Stell Deine Laufwerksmappings um von "Ersetzen" auf "Aktualisieren". 2. Mach eine Zielgruppenadressierung auf "Verarbeitungsmodus" IST NICHT "Hintergrund", "Manuell" 3. Stell von GPP auf Anmeldeskript um (wäre meine Empfehlung)

Sorry für die späte Antwort - das geht mit WMI nicht. Du kannst mit WMI-Filtern nicht auf benutzerspezifische Eigenschaften zugreifen- Hab auch lange versucht, Ordnerumleitung zu deaktiviern für User ohne Homeset - geht nicht mit Bordmitteln...

Schließe mich 4zap an, favorisiere aber ganz klar "Firewall"... Warum? Leidvolle jahrelange Erfahrung :)

Du willst also Settings in GPOs suchen? http://activedirectory.ncsu.edu/advanced-topics/scripting-center/gpo-setting-search-powershell-example/

Frei Haus gibt es nichts - aber schau mal bei sdmsoftware.com vorbei :)

Noch was - willst Du "Druckeinstellungen" oder "Druckereinstellungen - Standardwerte" ändern? Ersteres geht nur in der Benutzersession, also nicht als Startskript, sondern nur als Anmeldeskript :) Und Nils hat absolut recht - erst lokal kopieren, und dann lokal ausführen ist zuverlässiger. Und funktioniert auch "offline".

Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal. Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.

Wenn ich mir https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/import-csv?view=powershell-5.1 anschaue, liegt das daran, daß get-member die Member automatisch zuerst nach Member Type sortiert und dann nach Member Name. Das mußt Du anders lösen... Könnte z.B. so gehen: $colheads = $defs.(NameDerNoteproperty) (Hab grad kein CSV zum Importieren da...)

Um das kurze "Nein" von Nils etwas zu verlängern: Beim DCPromo wird eine neue lokale SAM erstellt, die im DSRM (Verzeichnisdienst-Wiederherstellung) für die Anmeldung des DSRM-Admins verwendet wird - zumindest so hab ich das irgendwann mal gelernt. Aber die "alte" ist definitiv weg.

Das Problem ist nicht so sehr das Abmelden (jupp, shutdown /l erledigt das), sondern: Wie erkennst du zuverlässig, ob das jetzt erfolgen soll oder nicht? Wenn Du dafür ein paar Kriterien hast, dann helfe ich gerne weiter. Am einfachsten wäre wohl ein geplanter Task im Benutzerkontext "bei Leerlauf für 30 Minuten " oder so.

Meine "Interpretation": Suche die neueste .VBK-Datei und lösche alles, was älter ist als diese. Korrekt? $LatestVBK = get-childitem $path -include *.VBK | Sort-Object LastWriteTime -Descending | Select-Object -First $DeletionTimestamp = $LatestVBK.LastWriteTime Das Löschen des Rests geht sinngemäß mit Where-Object und Vergleich der LastWriteTime mit dem $DeletionTimestamp.

Und wo ist da jetzt das Problem? Zum Thema "Datei und Datum" mit Powershell findest Du genügend Tipps und Skriptbeispiele im Netz :)

Gibts nicht. Geht nur per geplantem Task mit nem "schlauen" Skript dahinter.

Doso, die GPP habern gegenüber einem Skript einen signifikanten Nachteil: Skripts kann ich asynchron ausführen, dann spielt die Laufzeit keine Rolle. Die GPP werden _immer_ synchron vor der Anmeldung ausgeführt. Wenn da ein neuer Druckertreiber installiert wird (womöglich noch über WAN) oder ein UNC-Pfad nicht erreichbar ist, dann führt das zu unangenehmen Verzögerungen bei der Anmeldung :cool:

Statt -filter würd ich eher -ldapfilter nehmen und mich dann hier bedienen: http://selfadsi.org/ldap-filter.htm :-)

ipconfig /registerdns auf nem Client - was passiert? Eventlog-Einträge auf Client und DHCP/DNS? (Ist schwierig, so was per Forum zu supporten... :-()

Ne der Server druckt nicht. Der User druckt. Ist das ein Terminal Server? Client Printer Redirection aktiv? Dann wäre das normal...

Aus der Erfahrung: Wer skripten kann, sollte für Laufwerke und Drucker Skripte verwenden. GPP sind nur eine Krücke. Und wegen der Laufwerkzuordnungen: Wie Edgar schon schreibt - verbinde einen DFS-Stamm für alle immer auf dem gleichen Buchstaben und regle den Rest über ABE. Ist auf mittlere und lange Sicht der mit Abstand einfachste Weg.

Da bin ich raus, ohne den Rest des Threads gelesen zu haben... Klartextkennwörter in Skripten :cry: :jau: :cry: