daabm

Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet?

Loopback, immer wieder Loopback... Warum man es nicht nutzen sollte: https://blogs.technet.microsoft.com/askds/2013/02/08/circle-back-to-loopback/ Und wie es wirklich funktioniert, kurz erklärt: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

Hast Du mit RUP auch Folder Redirection mit Offline-Verfügbarkeit eingerichtet? Ist evtl. der Offline-Cache voll?

Naja ich würde ein Skript von 2007 nicht unbedingt als Referenz für den WMI-Status eines 2012R2 nehmen, der bald 10 Jahre später rauskam... :-() Hast Du konkrete Probleme? Wenn nein, dann ignoriere den WMIDiag-Output einfach. Wir hatten das auch mal in der Wartung mitlaufen, aber das produziert viel zu viele false positives und ist nicht language neutral. Also flog es wieder raus.

Dann prüfe mal unter HKCU und HKLM, was Du so unter SOftware\Policies und unter Software\Microsoft\Windows\CurrentVersion\Policies an Einträgen findest. Verdächtige Einträge dürften leicht zu erkennen sein, einfach löschen. Wenn sie wiederkommen, dann ist da doch was am Start

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Ich würd ja mal mit "nslookup <domain>" anfangen - wer antwortet?

Jepp. Entweder nen Symlink dafür einrichten oder halt ein "Master-File" in alle Admin-Profile kopieren.

Repariere die Sysvol-Replikation. https://support.microsoft.com/en-us/kb/290762 (NTFRS) https://support.microsoft.com/en-us/kb/2218556 (DFSR)

Folgende Alternativen hast Du: 1. Stell Deine Laufwerksmappings um von "Ersetzen" auf "Aktualisieren". 2. Mach eine Zielgruppenadressierung auf "Verarbeitungsmodus" IST NICHT "Hintergrund", "Manuell" 3. Stell von GPP auf Anmeldeskript um (wäre meine Empfehlung)

Sorry für die späte Antwort - das geht mit WMI nicht. Du kannst mit WMI-Filtern nicht auf benutzerspezifische Eigenschaften zugreifen- Hab auch lange versucht, Ordnerumleitung zu deaktiviern für User ohne Homeset - geht nicht mit Bordmitteln...

Schließe mich 4zap an, favorisiere aber ganz klar "Firewall"... Warum? Leidvolle jahrelange Erfahrung :)

Du willst also Settings in GPOs suchen? http://activedirectory.ncsu.edu/advanced-topics/scripting-center/gpo-setting-search-powershell-example/

Frei Haus gibt es nichts - aber schau mal bei sdmsoftware.com vorbei :)

Noch was - willst Du "Druckeinstellungen" oder "Druckereinstellungen - Standardwerte" ändern? Ersteres geht nur in der Benutzersession, also nicht als Startskript, sondern nur als Anmeldeskript :) Und Nils hat absolut recht - erst lokal kopieren, und dann lokal ausführen ist zuverlässiger. Und funktioniert auch "offline".

Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal. Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.

Wenn ich mir https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/import-csv?view=powershell-5.1 anschaue, liegt das daran, daß get-member die Member automatisch zuerst nach Member Type sortiert und dann nach Member Name. Das mußt Du anders lösen... Könnte z.B. so gehen: $colheads = $defs.(NameDerNoteproperty) (Hab grad kein CSV zum Importieren da...)

Um das kurze "Nein" von Nils etwas zu verlängern: Beim DCPromo wird eine neue lokale SAM erstellt, die im DSRM (Verzeichnisdienst-Wiederherstellung) für die Anmeldung des DSRM-Admins verwendet wird - zumindest so hab ich das irgendwann mal gelernt. Aber die "alte" ist definitiv weg.

Das Problem ist nicht so sehr das Abmelden (jupp, shutdown /l erledigt das), sondern: Wie erkennst du zuverlässig, ob das jetzt erfolgen soll oder nicht? Wenn Du dafür ein paar Kriterien hast, dann helfe ich gerne weiter. Am einfachsten wäre wohl ein geplanter Task im Benutzerkontext "bei Leerlauf für 30 Minuten " oder so.

Meine "Interpretation": Suche die neueste .VBK-Datei und lösche alles, was älter ist als diese. Korrekt? $LatestVBK = get-childitem $path -include *.VBK | Sort-Object LastWriteTime -Descending | Select-Object -First $DeletionTimestamp = $LatestVBK.LastWriteTime Das Löschen des Rests geht sinngemäß mit Where-Object und Vergleich der LastWriteTime mit dem $DeletionTimestamp.

Und wo ist da jetzt das Problem? Zum Thema "Datei und Datum" mit Powershell findest Du genügend Tipps und Skriptbeispiele im Netz :)

Gibts nicht. Geht nur per geplantem Task mit nem "schlauen" Skript dahinter.

Doso, die GPP habern gegenüber einem Skript einen signifikanten Nachteil: Skripts kann ich asynchron ausführen, dann spielt die Laufzeit keine Rolle. Die GPP werden _immer_ synchron vor der Anmeldung ausgeführt. Wenn da ein neuer Druckertreiber installiert wird (womöglich noch über WAN) oder ein UNC-Pfad nicht erreichbar ist, dann führt das zu unangenehmen Verzögerungen bei der Anmeldung :cool:

Statt -filter würd ich eher -ldapfilter nehmen und mich dann hier bedienen: http://selfadsi.org/ldap-filter.htm :-)