daabm
-
Gesamte Inhalte
5.609 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von daabm
-
-
Du hast die reg-Datei wo genau hinterlegt? Und was passiert auf Euren Clients beim Doppelklick auf eine reg-Datei?
Ansonsten sind die Vorredner auf dem richtigen Weg - das macht man nicht per reg-Datei, sondern per GPP Registrierung. Oder - soweit es die vertrauenswürdigen Speicherorte betrifft - richtigerweise mit den ADMX-Vorlagen für Office und da direkt per "Administrative Vorlagen".
-
Naja, "nur sichere" heißt "nur authentifizierte Clients" :)
-
Eventlogs prüfen - File Replication Service und DFSR. Deine Tests oben gehen fast alle nur gegen die AD-Replikation... Du hast ziemlich sicher nen Journal Wrap Error auf dem PDC-Emulator :)
-
Das funktioniert noch genauso... AD-Gruppe "Service-Accounts", die kriegt "Anmelden als Dienst" und "lokal anmelden verweigern".
Oder noch besser: Per GPP eine lokale Gruppe "seDenyInteractiveLogonRight" und eine Gruppe "seServiceLogonRight" erstellen. Die beiden Gruppen per GPO in die Benutzerrechte eintragen. Und dann den Account in diese lokalen Gruppen schieben. Klingt kompliziert? Ist es aber nicht: http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html
:)
-
magheinz, der Sunny gehört nicht mehr zu den Jüngsten, da muß man manchmal "gaaaanz einfach erklären" und auch langsam schreiben :) :) :)
-
Noooorbeeert.... :)
-
Sunny.... "mv" = "move" - wir würden "ren" dazu sagen :D
-
Profile sind unwichtig - wichtig sind "Eigene Dokumente" und Videos/Musik :) Also immer schön die Ordnerumleitung konfigurieren, dann hat der User nach dem Löschen des Profils alles das wieder im Zugriff, das ihm wirklich am Herzen liegt :)
-
Doktor Melzer sagt immer, Hinweise auf Google seien unfein... :)
"Desktop Experience" dürfte wohl das Stichwort sein.
-
Win7 war super :) :) :) Win10 wird noch... :)
-
Das mit dem Kopieren ist so ne Sache - wenn Standalone-Rechner, steht in der ntuser.dat hinterher die falsche SID drin. Kriegt man zwar hin, ist aber unschön :)
-
Na, die Methode ist einfach "trage im AD-Account des Benutzers einen UNC-Pfad ein", mehr ist das nicht...
Und auch wenn lokal schon eine Kopie vorhanden ist: Der "Abgleich" muß trotzdem stattfinden. Zum Ausprobieren: Melde Dich mit einem anderen Benutzer an, mach nen "Robocopy \\server\testuser c:\users\testuser /e /xj /r:0"- wie lange dauert das? (Rein technisch macht die Profilsynchronisation das gleiche)
-
nach Neustart, Neuanmeldung dauerte das Warten auf Benutzerprofildienst ewig, nicht nur ein paar Minuten ewig, eher ewig zwei Stunden oder mehr. Auch der Vorgang nach dem Abmelden dauerte Stunden.
Verweise leider nein... Aber ein paar Ansätze:
Wie groß war denn vorher das lokale Profil? Wenn da bisher keine "Disziplin" im Spiel war, sind das gerne etliche Gigabyte, vor allem in Verbindung mit "Eigene Dokumente/Musik" etc, die ja ohne Ordnerumleitung AUCH zum Profil gehören...
Und die Netzwerkverbindung - war das LAN oder WLAN? Servergespeicherte Profile über WLAN synchronisieren ist fast ein No-Go, dauert immer ewig.
In der GPO-Verarbeitung, sind die ausführlichen Meldungen aktiviert? (Dann läßt sich etwas einfacher einschätzen, wo der Anmeldeprozess grad beschäftigt ist - http://gpsearch.azurewebsites.net/#1842)
-
Woher weißt Du, daß Dich nur die ersten beiden interessieren? Die Reihenfolte ist nicht deterministisch :-)
Mit Select-Object kannst Du die "interessierenden" Eigenschaften rausfiltern, und mit Where-Object kannst Du die rausfiltern, die bestimmten Kriterien entsprechen.
Ohne das jetzt auszuprobieren: Müßte irgendwas mit IdentityReference -match "Domain" sein :)
-
Ich ergänze Nils' Antwort mal um seinen eigenen Tip zum Thema CSV/Excel: https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/
-
1
-
-
Nein, das geht so nicht :-) HKU\.DEFAULT interessiert den IE nicht wirklich.
Loopback:
http://evilgpo.blogspot.de/2012/02/loopback-demystified.html
http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx
Einfacher: Group Policy Preferences (im Benutzerkontext) mit Zielgruppenadressierung "Computername" oder "Sicherheitsgruppe - Computer ist Mitglied von".
-
Was genau ist denn Dein Filter, und was genau willst Du erreichen bzw. macht der Filter nicht?
Wenn es um die BuildNumber geht und Du Win10 herausfiltern willst: Das ist blöderweise ein String, daher funktioniert "BuildNumber > 9900" nicht wie gedacht - http://evilgpo.blogspot.de/2014/11/wmi-filters-os-versions-and-buildnumber.html
-
Nur wenn Du Auditing für diese Datei aktiviert hast und File Auditing auf dem Server als solches.
-
AppLocker hat ein eigenes Eventlog. Schon mal reingeschaut?
-
Nur mal so ne Anmerkung für alle /force-Debattanten hier: Wenn man Roaming Profile beim User Account im AD einträgt, haben GPOs damit relativ gar nichts zu tun :)
-
Haken bei der Umleitungskonfiguration vergessen rauszunehmen - "Administratoren hinzufügen" oder so ähnlich :)
-
Sunny ich bin Sysadmin, kein Programmierer :) C# würde vielleicht noch gehen, C++ gar net:(
-
Hmmm - wo zeigt der Taskmanager, auf welchem Port ein Prozess lauscht?
-
Wie man sie dann an die Taskleiste andocken kann, weiß ich nicht.
Genau das ist das Problem... Nen Ordner mit Shortcuts zu füllen, kriege ich hin, nur den dann als Symbolleiste zu definieren scheitert... Da scheints nur ein C++-API zu geben :(
Password expires effektiven Wert auslesen
in Active Directory Forum
Geschrieben
"Ich passe das Problem der Lösung an?" :) :)