daabm

Warum haben die Leute immer so panische Angst davor, was im Schema zu ändern? Den Default-SD kann man ja bei Bedarf sogar wieder zurückändern - und ja, wir haben das auch immer so gelöst: Erst Default-SD für die jeweilige Objektklasse angepaßt, dann per Skript alle bereits bestehenden Objekte dieser Klasse aktualisiert.

Abgesehen von dem seit Jahren unsupporteten Betriebssystem könnte ihm ja auch mal jemand helfen

Using the BurFlags registry key to reinitialize File Replication Service replica sets

Edit: Ich werd alt - sehe grad "Zugriff verweigert" da war's dann doch wohl MS16-072 oder was in der Richtung...

Ich glaube, die Fehlersuche geht in die falsche Richtung. Office verwaltet doch die Dateiöffnung durch andere User selber über seine .lck Files (oder wie die genau heißen) - oder ist das nicht mehr so?

vor 2 Stunden schrieb mus.zah:

 

Wenn ich jedocheinen Neustart des QNAP mache, dann verliert er die Anbindung zum DC, in den Einstellungen werdendie Computer des Netzwerks erkannt, jedoch keine Benutzer oder Benutzergruppen. Auch wird der DC in den redundanten DC Einstellungen angezeigt, jedoch ist dieser auf Standby gesetzt. 

(Liegt wohl daran, dass der Server erst nach dem Hochfahren des NAS verfügbar ist)

 

Wenn ich jedoch eine gewisse Zeit warte, ca 1-2 Stunden, dann ist die Verbindung wieder aufgebaut und es werden alle Benutzer, Gruppen etc angezeigt.

Auf dem QNap muß ein User Mapper laufen, der die Pinguin-UIDs und GUIDs in Windows-SIDs übersetzt und umgekehrt. Damit das klappt, muß der User Mapper beim Start natürlich einen DC erreichen. Wie oft der Mapper das dann erneut versucht, das mußt Du bei QNap herausfinden.

Ansonsten wurde alles gesagt.

AppData in der Ordnerumleitung leitet nur AppData\Roaming um, nicht .\Local oder .\LocalLow. Das paßt also schon.

Der Unterschied zwischen RUP und FR: Das Benutzerprofil liegt während der Verwendung IMMER lokal auf dem Rechner, wird zur Anmeldung dahin kopiert und am Ende wieder zurück. Umgeleitetete Ordner sind NICHT mehr Bestandteil des Profils, sondern liegen statisch immer da, wohin sie halt umgeleitet wurden.

Und wie Jan würde ich auf RUP verzichten (außer in einer RDS-Farm).

Am 8.3.2019 um 14:46 schrieb Pitti259:

die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität.

Kleine Korrektur: Verfügbarkeit gehört da nicht rein, dafür Nichtabstreitbarkeit. Oder auf englisch: Confidentiality, Integrity, Nonrepudiation.

1. Wurde ja schon angemerkt - das Suchen von 1000 Adressen in jeder einzelnen Zeile geht schneller als die Logdatei 1000 mal zu lesen

2. Umstellen - dringend. .Net Streamreader - das Inet liefert Dir das HowTo dazu. Get-Content ist um Potenzen langsamer.

3. += ist böse. Besser ein .Net ArrayList (oder wie das heißt ) verwenden, auch da liefert das Inet.

4. Pipes vermeiden - immer und überall. Pipes sind auch schnarch...

Ne, so machst Du das nicht. Schau mal hier: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Wir setzen das grad im RZ-Betrieb um und es funktioniert prima. Wenn man die OU-Namen passend zu den Namen der administrativen Gruppen wählt und die Server sich immer direkt in ihrer "Anwendungs-OU" befinden, kann man das sogar mit einer einzigen Preference erschlagen

Kurz zusammengefaßt: Finger weg von Restricted Groups, und Finger weg von direktem Zuweisen von Benutzerrechten zu AD-Gruppen. Immer eine lokale Gruppe erstellen und berechtigen und die dann mit den AD-Gruppen nach Bedarf füllen. 2 Ausnahmen: Lokale Admins (klar) und Remote Desktop Users - da funktioniert es warum auch immer nicht, da muß tatsächlich die Standardgruppe Remote Desktop Users verwendet werden.

Nein. Die Skript-CSE schreibt nur die Skripts aus GPOs in die Registry, ausgeführt werden sie immer als letztes.

Als Lösung würde ich vorschlagen:

Erstelle 4 Preferences. 1 und 2 löschen beide Drucker, 3 und 4 erstellen mit ILT den korrekten neu.

Aufpassen, daß es nicht zu kompliziert wird, sonst scheiterst Du an der Akzeptanz... Ein Anwendungs-Admin braucht auf den zugehörigen Servern nur RDP/Interactive, da braucht es keinen extra User. Und wenn da nur die eine Anwendung läuft, dann schadet lokaler Admin auch nicht wirklich. Wenn die Anwendung nicht ohnehin remote zu administrieren ist.

Jo, man vermeide in Servern alles, was mehr als MLC hat - und auch das halte ich persönlich schon für grenzwertig Wenn ich dran denke, daß die inzwischen QLC bauen, da sind 16x so viele Bitfehler systemimmanent...

In depth: XPerf. In short: Group Policy Eventlog, ggf. mit gplogview - da steht schon ziemlich viel drin über Zeiten.

Zu 1: Möglicherweise läßt sich das nicht als Standardeinstellung festlegen - wäre für mich logisch.

Zu 2: Anderer Mechanismus, gleiches Ergebnis. Beide Mechanismen taugen nix - für Drucker und Laufwerke sind gute Skripts die mit Abstand beste Lösung.

Löschen und neu anlegen geht natürlich auch, finde ich aber vergleichsweise aufwändig

vor 8 Stunden schrieb NorbertFe:

Nein die Übernahme. Man könnte ja auch lesen was einem geantwortet wird. :)

Bei User-GPOs braucht der Computer nur Lesen, ob Du dem Apply verweigerst oder nicht ist herzlich egal. Du mußt dem einen Computer also explizit das Lesen verweigern.

Ich werfe mal noch spaßeshalber Symlinks und Junctions mit in den Ring Der Explorer folgt diesen NICHT.

Der TO ist doch schon längst wieder weg. Der will doch nur mehrfache Sessions für den gleichen User - was sonst niemand will.

Ja, tut man Ist echt Grütze, daß Microsoft das bei den meisten MMC-Snapins selber auch verkackt hat. dsa, domain, dssite, gpmc - alle brauchen normalerweise keine Admin-Rechte, wenn die nur ein delegierter User benutzen soll. Okay, bei domain und dssite evtl doch

Ich verstehe es nicht. Der User ist in einer Gruppe, die lokal Admin wird, soweit ok. Was meinst Du jetzt mit "als anderer Benutzer"? Als welcher andere Benutzer?

Nee, Norbert - steh zu Deinen Schwächen und Stärken, wie ich auch. Ich kann nur AD und hab von XCH keine Ahnung, ich kenn nur das blöde ProxyAdresses-Attribut mit seiner Groß- und Kleinschreibung (wenn das überhaupt noch so ist...).

vor 10 Stunden schrieb Nobbyaushb:

Och menno, wieder vergessen - mache einfach aktuell viel zu wenig mit AD...

Vielleicht ist das in dem Fall dann auch besser so

Warum auf dem DC? Und warum in einer Admin-Commandline? Beides nicht erforderlich zum Auslesen von SPNs

Sollte kein Problem sein - wenn der angemeldete User kein Admin ist und Du an den Standardrechten nichts gedreht hast, kommt er an das Kennwort nicht ran. Und wenn er auch die Dateien nicht ändern kann, die der Task ausführt, ist alles ok.

Interessehalber: Wie startet man eine XML-Datei? SCNR...

Oha, der Chef ist heute sehr milde :-)))

Und wenn es nur um die Wiederherstellung geht: Nicht lachen - "GPMC sample scripts", CreateXMLfromEnvironment und CreateEnvironmentFromXML. Legt sogar Gruppen und User ggf. an...