daabm

Ich kenn das von O2016 so nicht... Screenshots wären vmtl. hilfreich :)

Stimmt, wenn der User kein Admin ist und die UAC nicht angepasst wurde, kommt ein Anmeldedialog. Gibt man jetzt einen Admin-User an, startet der Task Manager als Admin. Gibt man seinen eigenen Nicht-Admin-User ein, startet er als User. Konfigurere das Verhalten des UAC Prompt für Standardbenutzer passend, dann kommt kein Anmeldedialog mehr. Wenn Du wissen willst, woran das liegt: Such mal nach "asInvoker highestAvailable requireAdministrator" :)

Hat da mal jemand im AD mit den Containern unter System gespielt? Ist der einzige Fall, der mir bisher untergekommen ist... Da waren unter WMIPolicy die Rechte falsch.

Und wenn den TO das interessiert, werfe ich mal Tier0/1/2 in den Raum :-) https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access Wie Blub schon schreibt: Ein Domain Admin macht genau das - er administriert die Domäne und sonst nichts. Das ist NICHT identisch mit dem AD oder GPOs oder Fileservern, das kann man alles ganz easy delegieren.

Prima Beschreibung... Sorry, aber mit "einen Fehlercode" kann hier niemand was anfangen. Und wie Du googelst, weiß ich nicht - frag lieber jemand, der sich auskennt, aber sag ihm Deine Fehlermeldungen bitte im Wortlaut. SCNR...

Ja, und in unserem Fall war das eben keine Datei, sondern eine LDAP-URL. Der Timeout steckt irgendwo im Webzugriff, wenn der Request gedroppt wird, konnten wir im Trace gut sehen.

Wie Nils schon schreibt: In Sites und Services sollten die Standorte, Subnetze und Site Links der tatsächlichen Konfiguration entsprechen. Und dort solltest Du auch prüfen, daß die DCs in den Sites aufgeführt werden, in denen sie tatsächlich sind. Über die Site Link Costs kannst Du ggf. sogar noch eine Priorisierung umsetzen.

Zeig mal Deine Regel... Screenshot hilft

Nö, das ist ja nicht LDAPS spezifisch, sondern allgemein bei Zertifikaten :-) Wenn die im Zertifikat angegebene CRL- oder OCSP-Adresse nicht erreichbar ist (weil z.B. per Firewall geblockt), dann rennt der Revocation Check in einen Timeout von 30 Sekunden. Hatten wir mal beim IE, wo ein CA-Zertifikat (Infonotary) als CRL nicht http:// verwendet hat, sondern ldap:// - und das wurde natürlich nicht durchgelassen, sondern verworfen. Lösung war, die zu der ldap-Adresse gehörenden IPs in der lokalen Windows-Firewall zu blocken, dann geht's sofort.

Wenn der Gast-Account deaktiviert ist (das sollte man eh machen), dann ist "Jeder" identisch mit "Authentifizierte Benutzer".

Debug Logging für GPP Drive Mappings aktivieren und schauen, was genau protokolliert wird... https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Hast Du UAC abgeschaltet? Und ansonsten hat Dunkelmann Recht - Roaming Profile sind nicht zielführend. Stell auf lokale Profile um und arbeite mit Ordnerumleitung. Das übrigens natürlich auch, wenn Du RUP verwendest - damit sorgst Du für kleine Profile, die schnell kopiert/zurückgeschrieben werden können.

Sind es 40 Sekunden oder eher 30? Bei LDAPS fällt mir revocation checking ein, das hat nen Timeout in der Größenordnung

Wenn Du ein MSI baust, geht das einfach. Bei NullSoft weiß ich es nicht. Du lieferst zu wenig Infos "Ich habe mir eine eigene Installation gebastelt" ist etwas dünn...

Nein, macht er nicht - das mußt Du von Hand erledigen. Da wurde keine Ordnerumleitung "eingerichtet" (dann würde das automatisch gehen), sondern der Zielpfad der Ordner manuell konfiguriert.

Du scheiterst daran, daß Dein Setup ein 32 Bit Programm ist...

Jetzt meckert doch net gleich rum - er will halt das Rad neu erfinden, also lasst ihn halt

Damit bist glaub im Technet besser aufgehoben: https://social.technet.microsoft.com/Forums/de-de/home?forum=powershell_de

..bist Du lokaler Administrator? Dann könnte UAC dazwischen funken

Doch, Du kannst auch alle "normalen" Umgebungsvariablen verwenden - aber natürlich nicht in der Computerkonfiguration Im Stammordner "Ersteller-Besitzer" entsprechend konfigurieren. Oder mal was längeres durchlesen - da geht's (unter anderen) auch um das automatische Erstellen von umgeleiteten Ordnern: http://evilgpo.blogspot.de/2014/10/implementieren-von-ordner-nur-auf.html

Windows 8? Deaktiviere den Schnellstart...

Schreib doch einfach mal "Offline" in das Suchfeld im Startmenü - vielleicht hat die ja jemand deaktiviert...

Nutzt nix, er redet ja vom Homelaufwerk aus dem AD-Account, da sind GPOs außen vor

Naja ich werf mal noch Spanning Tree in den Raum... Vielleicht haben ja die Kollegen aus der Blackbox-Fraktion "Router und Switche" was umgebaut oder optimiert :) Also was ist jetzt noch mal genau die Frage? Ich habe Dir oben 4 Ansatzpunkte für Dein - altbekanntes! - Problem genannt. Hast Du alle 4 schon verprobt? ..und auch die sind absolut eindeutig und lassen keine alternativen Deutungen zu. Weil er 20 Jahre Erfahrung hat

Nur so als Tip: Kennst Du schon "clip"? Das mit nslookup domain ist kein Fehler - da kriegst Du round robin die IP-Adressen aller DCs zurück. Was passiert denn bei folgenden Befehlen? nltest /dclist: nltest /dsgetdc: nltest /server:dc1 /dsgetdc: nltest /server:dc2 /dsgetdc: dsquery server (Ja, hinter den ":" steht nichts mehr...) Und eine Bitte: Ich hab nen 1600x1200 Monitor - Dein Screenshot ist dafür viel zu groß... Benutze Clip :)