daabm

Nochmal zum Verständnis: Du meldest Dich als Normaluser an und startest was als Admin. Da gibst Du Adminuser 1 ein und es geht nicht, und mit Adminuser 2 geht es?

Moin moin. 200 Filialen, da seid Ihr weit über 1000 Leute, oder? Und kein Sysadmin... Aber das bringt Dich jetzt nicht weiter. Kennst Du Ausgabeumleitung? Bau die net use Befehle mal so um: net use s: \\xyz\abc >>%temp%\netuse.log 2>&1 Damit erhältst Du im %temp% des Users ein Logfile, in dem ein wenig was dazu stehen sollte, was genau schiefgeht. Und im Zweifel hast Du recht - der Netzwerkstack braucht bei neuen PCs länger zum Initialisieren als der Logon, dann geht es schief. Da hilft dann http://gpsearch.azurewebsites.net/#1839 (kannst Du auch direkt als Registrierungswert setzen da Ihr keine Domäne zu haben scheint )

Bei deiner Sig hätte ich das aber erwartet :-)) SCNR...

"Effektiver Zugriff" in der ACL sagt für diesen User was genau?

Hast Du "INhalt an den neuen SPeicherort verschieben" aktiviert? Dauert das evtl. zu lange? Oder hast Du ein Problem mit Offline-Cache? BTW: Das hab ich doch im Technet auch schon gelesen, oder?

Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet?

Loopback, immer wieder Loopback... Warum man es nicht nutzen sollte: https://blogs.technet.microsoft.com/askds/2013/02/08/circle-back-to-loopback/ Und wie es wirklich funktioniert, kurz erklärt: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

Hast Du mit RUP auch Folder Redirection mit Offline-Verfügbarkeit eingerichtet? Ist evtl. der Offline-Cache voll?

Naja ich würde ein Skript von 2007 nicht unbedingt als Referenz für den WMI-Status eines 2012R2 nehmen, der bald 10 Jahre später rauskam... :-() Hast Du konkrete Probleme? Wenn nein, dann ignoriere den WMIDiag-Output einfach. Wir hatten das auch mal in der Wartung mitlaufen, aber das produziert viel zu viele false positives und ist nicht language neutral. Also flog es wieder raus.

Dann prüfe mal unter HKCU und HKLM, was Du so unter SOftware\Policies und unter Software\Microsoft\Windows\CurrentVersion\Policies an Einträgen findest. Verdächtige Einträge dürften leicht zu erkennen sein, einfach löschen. Wenn sie wiederkommen, dann ist da doch was am Start

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Ich würd ja mal mit "nslookup <domain>" anfangen - wer antwortet?

Jepp. Entweder nen Symlink dafür einrichten oder halt ein "Master-File" in alle Admin-Profile kopieren.

Repariere die Sysvol-Replikation. https://support.microsoft.com/en-us/kb/290762 (NTFRS) https://support.microsoft.com/en-us/kb/2218556 (DFSR)

Folgende Alternativen hast Du: 1. Stell Deine Laufwerksmappings um von "Ersetzen" auf "Aktualisieren". 2. Mach eine Zielgruppenadressierung auf "Verarbeitungsmodus" IST NICHT "Hintergrund", "Manuell" 3. Stell von GPP auf Anmeldeskript um (wäre meine Empfehlung)

Sorry für die späte Antwort - das geht mit WMI nicht. Du kannst mit WMI-Filtern nicht auf benutzerspezifische Eigenschaften zugreifen- Hab auch lange versucht, Ordnerumleitung zu deaktiviern für User ohne Homeset - geht nicht mit Bordmitteln...

Schließe mich 4zap an, favorisiere aber ganz klar "Firewall"... Warum? Leidvolle jahrelange Erfahrung :)

Du willst also Settings in GPOs suchen? http://activedirectory.ncsu.edu/advanced-topics/scripting-center/gpo-setting-search-powershell-example/

Frei Haus gibt es nichts - aber schau mal bei sdmsoftware.com vorbei :)

Noch was - willst Du "Druckeinstellungen" oder "Druckereinstellungen - Standardwerte" ändern? Ersteres geht nur in der Benutzersession, also nicht als Startskript, sondern nur als Anmeldeskript :) Und Nils hat absolut recht - erst lokal kopieren, und dann lokal ausführen ist zuverlässiger. Und funktioniert auch "offline".

Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal. Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.

Wenn ich mir https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/import-csv?view=powershell-5.1 anschaue, liegt das daran, daß get-member die Member automatisch zuerst nach Member Type sortiert und dann nach Member Name. Das mußt Du anders lösen... Könnte z.B. so gehen: $colheads = $defs.(NameDerNoteproperty) (Hab grad kein CSV zum Importieren da...)

Um das kurze "Nein" von Nils etwas zu verlängern: Beim DCPromo wird eine neue lokale SAM erstellt, die im DSRM (Verzeichnisdienst-Wiederherstellung) für die Anmeldung des DSRM-Admins verwendet wird - zumindest so hab ich das irgendwann mal gelernt. Aber die "alte" ist definitiv weg.

Das Problem ist nicht so sehr das Abmelden (jupp, shutdown /l erledigt das), sondern: Wie erkennst du zuverlässig, ob das jetzt erfolgen soll oder nicht? Wenn Du dafür ein paar Kriterien hast, dann helfe ich gerne weiter. Am einfachsten wäre wohl ein geplanter Task im Benutzerkontext "bei Leerlauf für 30 Minuten " oder so.