daabm

Wir diskutieren hier zwar inzwischen ohne den TO, aber was solls - Spaß machts auch so Jeder weitere Faktor erhöht die Sicherheit, da sind wir uns glaub einig. Und auch, daß er den Komfort verringert - das ist der Knackpunkt: Wann wird Sicherheit so unbequem, daß sie nicht mehr akzeptiert wird... Wenn ich so im Bekanntenkreis rumschaue, wie viele MFA wenigstens für das E-Mail Konto haben, da kriege ich eine Hand nicht voll. Versuch mal Deiner Frau beizubringen, daß das nicht nur wichtig ist (das klappt vielleicht noch), sondern auch wie es funktioniert - und was sie machen muß, wenn es mal Probleme gibt - viel Spaß damit. Und "deine Frau" kannst Du jetzt durch beliebige Nicht-IT-affine Kollegen ersetzen, dann weißt Du (vermutlich eh schon), vor welchen Herausforderungen sicherheitsbewußte Unternehmens-IT steht. Ich will gar nicht drüber nachdenken.

Man könnte auch noch auf die Idee kommen, in der Windows-Firewall ausgehend die gängigen VPN-Verbindungsmöglichkeiten zu blocken. Aber da kommt immer jemand daher, der es dann doch schafft

Olaf, laß ihm doch die Chance, sich auf einer Lernkurve zu verbessern. Ich hab vor ner Woche auch Code von mir angeschaut, den ich vor 2 Jahren produziert habe. Oha.... Splatting war mir damals noch fremd, also Backticks :-( Nur ein Beispiel...

Hast Du mehrere Domain Controller? AD-Replikationslatenz?

Nimm mal im Sicherheitsfilter "Authentifizierte Benutzer" auf und wieder raus. Da verhakt sich gerne ein ACL-Eintrag im Sysvol, den die GPMC nicht mag ("Synchronize"-Recht für AuthUsers).

Zum Verständnis: Im DFSRoot kannst Du Ordnerstrukturen bauen, wie Du willst, beliebig tief verschachtelt. Aber "irgendwann" muß der unterste Ordner halt mal auch auf einen Server/Share verweisen. Oder auf mehrere - was die o.a. Nachteile bringt wegen Replikation und out of sync und und und.

Links enthält Verknüpfungen. Ein Ordner enthält Ordner. Und der Flyout ist keine Funktion von Ordnern. Oder verstehe ich das falsch?

Ja. RuP ist ein dämliches Prinzip auf FAT Clients, hätte nie gemacht werden sollen... Verlängert Anmeldezeiten, verhindert bei Serverproblemen die Anmeldung, ist zwischen OS-Versionen nicht kompatibel und und und. Laß es einfach... RuP haben nur eine Berechtigung in einer TS-Umgebung, sonst nirgends. Und bewährt hat sich da gar nichts.

Ich schließe mich Nils und mwiederkehr an: Das biometrische Merkmal ist quasi mein Public Key. Wenn die Gegenstelle die Überprüfung verkackt, ist das i.d.R. ein Problem der Gegenstelle, nicht des Keys. Und die Kombi aus Chipkarte, PIN und Venenscanner haben wir auch - da muß einer schon echt lange arbeiten, bis er ohne Insider-Hilfe und wirklich unbemerkt durchkommt...

Nils, nicht nur pfiffitsch, sondern auch extrem störungsfrei. Großer Vorteil: Last Writer wins ist ausgehebelt, Du kannst jederzeit "unten" weitere Member dazunehmen. Das hat uns mit RG schon heiße Stunden beschert, wenn oben plötzlich ein neuer Account für irgendwas berechtigt werden mußte, wo unten schon in spezifischen GPOs Accounts berechtigt waren...

Harte Worte dazu: Servergespeicherte Profile sind Technik aus dem letzen Jahrtausend - weg damit! Mit Apps funktionieren die eh nicht..., Ordnerumleitung und fertig. Die Probleme kannst Du Dir raussuchen - kurz zusammengefaßt: Alle

Fehlermeldungen im Wortlaut sind immer hilfreich. "Alle möglichen Fehlermeldungen" kennt hier niemand, und "alles mögliche ausprobiert" haben schon viele...

Ich versteh die Frage nicht. Bzw mir fehlt das Problem...

Du lügst doch... Du kannst gar nicht anders Ich war auch schon drauf und dran, wollte aber noch abwarten bis mehr Infos zur Eingabedatei und dem Ziel da sind - so wie jetzt. Und Du hattest natürlich schon wieder früher Zeit @wethlo Es hilft immer ungemein, wenn das tatsächliche Ziel und die tatsächliche Ausgangslage bekannt sind. Wenn Du Deinen ersten Post anschaust, wirst Du verstehen, was ich damit meine.

Wenn es etwas flexibler sein darf: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Setzen wir grad im Enterprise-Umfeld "gaaaaanz langsam" um - und funktioniert prima. Jeder, der das einmal verstanden hat, kommt damit klar. Was ist Dir an dem managedBy unklar? BTW: Die Domain Admins haben in den lokalen Admins auf Clients NICHTS verloren, die kriegen einen expliziten "Deny" auf Interactive Logon. Der Artikel von Miriam ist technisch korrekt, aber einige Jahre hinterher.

Ist es das? Ok, ich bin aus der HW-Ecke schon ewig raus... Und in jedem Fall muß es ja switchseitig auch konfiguriert sein.

Hab noch nie ne OU verschoben (ehrlich nicht...), aber die verlinkten GPOs sind ein Attribut der OU, die sollten mitwandern. Was hindert Dich, das kurz auszuprobieren? Test-OU erstellen, 2 GPOs verlinken, verschieben, schauen:-)

Ist Teaming hier nicht das falsche Stichwort? Das war doch nur Failover... Was er sucht, ist Port Aggregation oder Trunking. Aber ich lass mich gerne korrigieren

Abgesehen davon, daß die ja hoffentlich nicht wirklich gleich heißen - da wirst von mir keine Hilfe bekommen könnern. Das Startmenü ist mir schon seit Vista völlig egal - "Win" drücken und lostippen ist die Devise.

Du mußt einfach intensiver suchen lassen, dann findet es schon was. Oder Du suchst mal selber.

Und Dr. Google liefert Dir das nicht als ersten Treffer? Das kann ein xyz-Account sein, der braucht gar nichts.

Ich verweise da gerne auf meine Lieblingsanlaufstelle für Policy-Settings: https://gpsearch.azurewebsites.net/#1842

Für Firefox gibt es m.W. AddOns, die die relevanten Benutzerdaten sichern/wiederherstellen können. Die Lesezeichen kann man am einfachsten per Mozilla "sichern" aka synchronisieren. Das Firefox-Profil würde ich nicht auf ein Netzlaufwerk legen, das kann bei der Performance ganz komische Auswirkungen haben Und wie Sunny schreibt: Kennwörter gehören in eine Kennwortverwaltung. Nicht in das, was FF dabeihat... LastPass/KeePass/xyz...

Lustiger Thread - der TO rückt Infos nur scheibchenweise raus, und alle Beteiligten antworten ensprechend scheibchenweise :-)) Mach ich dann auch mal gerne: Einen 4740 zu auditieren ist ja nicht die riesen Herausforderung, und das Delegieren von "Account Management" per DSA auch nicht. Beides scheint der TO aber nicht zu wollen, dann warten wir mal ab.

Mit Set kannst Du auch Teilstrings extrahieren, dann sparst Du Dir das mit "ohne Doppelpunkt": set LWCHAR=%LWCHAR:~0,1% Bei dem Net Use /Del noch ein /Yes dahinter, damit es auf jeden Fall getrennt wird :)