daabm

RoyalTS kann das z.B. - aber "richtig machen" ist die bessere Alternative.

...der zweite Client kann ja auch eine VM sein, die die 2. NW-Karte exklusiv nutzt :) Und warum das nicht geht - Du hast einen DNS, der muß beide Zielumgebungen auflösen können. Kann er wahrscheinlich nicht.

Tip aus der Praxis: WMI Filter sind zuverlässiger, die laufen nämlich immer und sind nicht abhängig von AD-seitigen Skripts. Außerdem muß der Rechner danach nicht neu booten, wie das beim Verschieben der Fall ist. Aber jeder ist seines Glückes Schmied :)

Der TO will wohl das alte LocalGPO.wsf nachbasteln - aber das gibt's eigentlich schon fertig neu von Aaron Margosis: https://blogs.technet.microsoft.com/secguide/2016/09/23/lgpo-exe-v2-0-pre-release-support-for-mlgpo-and-reg_qword/ Naja als Übung vielleicht net soo schlecht :) :) :)

Warum? Das funktioniert prima, mit oder ohne List Object Mode :)

Das hab ich doch im Technet auch schon mal gesehen... Egal :) dsa.msc, Menü "Ansicht" - Erweiterte Funktionen aktivieren. Dann nach System/WMIPolicy/SOM, Rechtsklick "Eigenschaften" - "Sicherheit". Sollte so aussehen wie hier: Vergleiche mit einer funktionierenden Domäne (notfalls eine VM hochziehen und promoten, ist schnell erledigt).

Ich kenn das von O2016 so nicht... Screenshots wären vmtl. hilfreich :)

Stimmt, wenn der User kein Admin ist und die UAC nicht angepasst wurde, kommt ein Anmeldedialog. Gibt man jetzt einen Admin-User an, startet der Task Manager als Admin. Gibt man seinen eigenen Nicht-Admin-User ein, startet er als User. Konfigurere das Verhalten des UAC Prompt für Standardbenutzer passend, dann kommt kein Anmeldedialog mehr. Wenn Du wissen willst, woran das liegt: Such mal nach "asInvoker highestAvailable requireAdministrator" :)

Hat da mal jemand im AD mit den Containern unter System gespielt? Ist der einzige Fall, der mir bisher untergekommen ist... Da waren unter WMIPolicy die Rechte falsch.

Und wenn den TO das interessiert, werfe ich mal Tier0/1/2 in den Raum :-) https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access Wie Blub schon schreibt: Ein Domain Admin macht genau das - er administriert die Domäne und sonst nichts. Das ist NICHT identisch mit dem AD oder GPOs oder Fileservern, das kann man alles ganz easy delegieren.

Prima Beschreibung... Sorry, aber mit "einen Fehlercode" kann hier niemand was anfangen. Und wie Du googelst, weiß ich nicht - frag lieber jemand, der sich auskennt, aber sag ihm Deine Fehlermeldungen bitte im Wortlaut. SCNR...

Ja, und in unserem Fall war das eben keine Datei, sondern eine LDAP-URL. Der Timeout steckt irgendwo im Webzugriff, wenn der Request gedroppt wird, konnten wir im Trace gut sehen.

Wie Nils schon schreibt: In Sites und Services sollten die Standorte, Subnetze und Site Links der tatsächlichen Konfiguration entsprechen. Und dort solltest Du auch prüfen, daß die DCs in den Sites aufgeführt werden, in denen sie tatsächlich sind. Über die Site Link Costs kannst Du ggf. sogar noch eine Priorisierung umsetzen.

Zeig mal Deine Regel... Screenshot hilft

Nö, das ist ja nicht LDAPS spezifisch, sondern allgemein bei Zertifikaten :-) Wenn die im Zertifikat angegebene CRL- oder OCSP-Adresse nicht erreichbar ist (weil z.B. per Firewall geblockt), dann rennt der Revocation Check in einen Timeout von 30 Sekunden. Hatten wir mal beim IE, wo ein CA-Zertifikat (Infonotary) als CRL nicht http:// verwendet hat, sondern ldap:// - und das wurde natürlich nicht durchgelassen, sondern verworfen. Lösung war, die zu der ldap-Adresse gehörenden IPs in der lokalen Windows-Firewall zu blocken, dann geht's sofort.

Wenn der Gast-Account deaktiviert ist (das sollte man eh machen), dann ist "Jeder" identisch mit "Authentifizierte Benutzer".

Debug Logging für GPP Drive Mappings aktivieren und schauen, was genau protokolliert wird... https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Hast Du UAC abgeschaltet? Und ansonsten hat Dunkelmann Recht - Roaming Profile sind nicht zielführend. Stell auf lokale Profile um und arbeite mit Ordnerumleitung. Das übrigens natürlich auch, wenn Du RUP verwendest - damit sorgst Du für kleine Profile, die schnell kopiert/zurückgeschrieben werden können.

Sind es 40 Sekunden oder eher 30? Bei LDAPS fällt mir revocation checking ein, das hat nen Timeout in der Größenordnung

Wenn Du ein MSI baust, geht das einfach. Bei NullSoft weiß ich es nicht. Du lieferst zu wenig Infos "Ich habe mir eine eigene Installation gebastelt" ist etwas dünn...

Nein, macht er nicht - das mußt Du von Hand erledigen. Da wurde keine Ordnerumleitung "eingerichtet" (dann würde das automatisch gehen), sondern der Zielpfad der Ordner manuell konfiguriert.

Du scheiterst daran, daß Dein Setup ein 32 Bit Programm ist...

Jetzt meckert doch net gleich rum - er will halt das Rad neu erfinden, also lasst ihn halt

Damit bist glaub im Technet besser aufgehoben: https://social.technet.microsoft.com/Forums/de-de/home?forum=powershell_de

..bist Du lokaler Administrator? Dann könnte UAC dazwischen funken