daabm

Jaja - und die haben dann alle das gleiche Kennwort, weil die Anwender sonst nen Koller kriegen :) Kommt mir bekannt vor...

Weil der Computerkonfiguration die Benutzer egal sind... Die interessiert sich nur für Computerberechtigungen.

Weil UAC nur für Admins relevant ist... Und der Explorer ist der natürliche Feind der UAC. Entweder deaktivierst Du die Elevated-Unelevated Factory, dann kannst Du einen Explorer auch als Admin starten. Oder - viel besser! - Du besorgst Dir einen alternativen Dateimanager wie Total Commander oder EF Commander, die kannst Du dann auch als Admin starten. Oder Du legst Dir eine eigene Admin-Gruppe an, der Du entsprechende Berechtigungen erteilst, das wäre die beste Lösung. BTW: Beim integrierten Admin-Konto funktioniert das nur deshalb out of the box, weil für dieses Konto UAC im Standard deaktiviert ist.

Naja, steht doch oben eigentlich schon alles... Deaktiviere den KDC auf allen DCs außer dem PDC. Und die startest Du dann neu.

Will er sich neu anmelden oder will er nur die Bildschirmsperre aufheben? Wenn zweiteres, dann prüf mal, ob das hier evtl. aktiviert ist: https://technet.microsoft.com/en-us/library/jj852260(v=ws.11).aspx

Vom AP aus? Dann machs lokal auf dem jeweiligen Server - Ursache dafür ist das oben geschilderte krbtgt-Problem :-)

Jetzt lass mal DNS und DHCP weg - wir reden nur über Domain Controller: dsquery server Das sind alle Deine DCs. Auf jedem lokal fragst Du jetzt mal bitte alle Betriebsmaster ab - aber nicht per GUI, sondern per dsquery: @for %f in (schema name infr pdc rid) do @dsquery server -hasfsmo %f -server %computername% Kannst auch lokal vom Arbeitsplatz aus machen, dann ersetze hinten %computername% nacheinander durch die Namen Deiner DCs. Dann kannst Du weiter überlegen.

"dsquery server -hasfsmo pdc" und die anderen 4 auch prüfen: -hasfsmo {schema | name | infr | pdc | rid} Die sollten in einem Single Domain Single Forest Design alle auf dem gleichen DC liegen. Auf dem machst Du nix. Auf allen anderen: net stop kdc sc config kdc start= disabled shutdown -r Dann warten bis alle wieder da sind, Eventlog Verzeichnisdienst und DFSR/FRS prüfen. Edit: Wenn alles in den Eventlogs grün ist: sc config kdc start= auto net start kdc Was hat DHCP oder GC mit dem ganzen zu tun?

Hm - in den Logs, die ich so schreibe, hat jeder Eintrag einen Zeitstempel. Wenn das bei Dir auch so ist, müßtests Du ja nur den Zeitstempel extrahieren und Dir merken...

Alternative, wenn das DNS nicht integriert werden kann: Verpasse den DCs (auch den zukünftigen) statische IP-Adressen und lass diesen IP-Adressen im externen DNS Schreibrechte geben. Dann können die alle ihre Service-Records selbst aktualisieren.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2 Löschen...

2 verschiedene Probleme... 1. Du hast mehrere Domain Controller, und das krbtgt-Kennwort ist auf mindestens einem davon nicht mehr synchron... Deaktiviere auf allen DCs mit Ausnahme des PDC den Dienst "KDC" und boote sie dann neu. Damit werden sie gewzungen, sich ein TGT/TGS vom PDC zu holen, können das AD dann wieder synchronisieren und das Kennwort sollte wieder synchron sein. 2. Dein Sysvol repliziert nicht mehr. Entweder auch wegen dem krbtgt-Problem (ziemlich sicher sogar) oder wegen USN Journal Wrap. Das siehst Du im DFSR- bzw. FRS-Eventlog auf den Domain Controllern. Lösung im zweiten Fall: D2-Restore auf allen, die NICHT der PDC sind. Mit DNS hat das nix zu tun :)

Naja wenn Du Roaming Profile verwendest und das TS-Profil des Users das gleiche ist wie das AP-Profil (das sind 2 verschiedene Reiter in dsa.msc...), dann wird das, was Du am TS anwendest, natürlich im Profil gespeichert... "Eigentlich" müßte es dann beim Anmelden am AP wieder verschwinden (echte GPO-Einstellungen tun das, wenn sie nicht mehr aktiv sind). Wenn das nicht passiert, hilft nur das GPSVC Debug Logging - hier werden alle Reg-Werte aus GPOs (Administrative Vorlagen genauer), die beim Anwenden gelöscht und geschrieben werden, protokolliert. PS: http://gpsearch.azurewebsites.net/#1839 hast Du hoffentlich aktiviert?

Ignorieren, einfach ignorieren.

Das war noch nie eine gute Idee - besser den Fehler identifizieren und beheben, der zum Fehlschlagen der Replikation führt. Willkommen in der Welt nach MS16-072 :)

Also ich find das nicht gerade dürftig :) ;; [General] ;; BackgroundColor = <COLORREF value> ; The background color to use (default = 0 (black)) ;; AutoBackground = [0 | 1] ; Use background color of current desktop (default = 0) ;; BackgroundBitmap = <path to BMP file> ; Overrides AutoBackground and BackgroundColor values. Loads background bitmap from BMP file ;; XOffset = <horizontal offset in pixels> ; Horizontal offest of the entire text block from the bitmap's center. Can be negative. Default = 0 ;; YOffset = <vertical offset in pixels> ; Vertical offest of the entire text block from the bitmap's center. Can be negative. Default = 0 ;; Output = <file name> ; Name of output bitmap file (default = "", use popup message) ;; UpdateDesktop = [0 | 1] ; Update background desktop bitmap (default = 0) ;; ForceDesktopCenter = [0 | 1] ; Force the desktop to display the bitmap as cenetered (instead of tiled / streched). Default = 1 Gefunden bei http://www.msdonkey.com/server/backinfo-desktop-background/

Nein beim Unattend.xml alleine geht das nicht. Entweder da steht einer drin (das macht ggf. das MDT dann) oder Setup würfelt einen aus.

Man fragt sich nach dem Sinn :)

Als Denkanstoß: ( get-aduser -filter * | select-object name ) + ( get-aduser -filter * | select-object name ) > file.txt

Das wäre mir neu... Der würde mich dann auch interessieren. "Motzt der Client" ist eine wenig aussagefähige Fehlermeldung - was genau passiert?

Falls das noch aktuell sein sollte: Prüfe mal, ob http://gpsearch.azurewebsites.net/#4948 ggf. aktiviert ist (regedit, direkt den angegebenen Registrierungswert checken...). Und auch die anderen Settings unter diesem Knoten.

Bordmittel - EFS. Drittsoftware gibts reichlich, kenn ich mich aber nicht damit aus :() VeraCrypt wäre eine Lösung, wenn immer nur einer damit arbeiten muß.

Escaping auf der Commandline ist immer lustig - mal ist es ein Backtick, mal ein Caret. Ich glaub hier brauchst Du das Caret: ^%

DefaultIPGateway ist ein Array - das wird von BGInfo vmtl. falsch interpretiert, oder da spuckt IPv6 mit rein. VBS kann ich Dir liefern, aber erst nach Fasching - steckt in nem DHCP Check Skript, das wir bei uns einsetzen :-) PM mich dann bitte mal ab 7. März oder so.

Für NTFS-Rechte gibts in der Gallery ein recht brauchbares Modul: https://www.powershellgallery.com/packages/NTFSSecurity/4.0.0