daabm

Die LogonID ist ein 64 Bit Wert. Warum die Programmierer das in klist als zwei DWords parametrisieren statt einfach die komplette ID zu übergeben, weiß ich nicht :D http://msdn.microsoft.com/de-de/library/windows/desktop/aa379261%28v=vs.85%29.aspx

Guck mal bei win32_logonsession - da gibt es eine LogonID, das ist m.W. ein UINT64 (auch wenn WMI das als String ausspuckt)...

Wo steht, daß man icacls lokal aufrufen muß? :D

Ausgegraut - vom Admin verwaltet - da hat mal einer mit gpedit.msc gearbeitet :-)

klist purge - dann sind alle Tickets weg, und beim nächsten Zugriff werden "normalerweise" neue ausgestellt. BTW: Du mußt unterscheiden zwischen TGT und TGS - ersteres enthält die Gruppenmitgliedschaften, zweiteres ermöglicht den Ressourcenzugriff. http://technet.microsoft.com/library/cc772815.aspx

Die Übersetzung sollte mit subinacl funktionieren - vielleicht auch mit setacl, da bin ich mir nicht sicher... Und wenn Du mit ein wenig Skripting arbeiten willst, dann geht das sogar mit der Export/Import-Funktion von icacls :)

Was stört Dich an der Sichtbarkeit von Namen? Und wenn doch: http://gpsearch.azurewebsites.net/#2663(dran denken: Das gilt nur für Explorer, nicht für Commandline oder andere wie Total Commander etc...)

Kein Problem - aktiviere die Objektüberwachung auf allen Servern für alle freigegebenen Ordner und aktiviere die Prozessüberwachung auf allen Clientcomputern. Dazu noch das Security Auditing für alle Server (Member und DCs) und Clients. Viel Spaß beim Abholen und Auswerten der Logs... "Daß man etwas kann, heißt nicht, daß man es machen sollte". Egal was hinter der Anforderung steckt: Sie ist unsinnig.

Du hattest nicht nur ein Buch, Du hast es sogar gelesen und verstanden :-)) Daß man etwas kann, heißt nicht, daß man es auch tun sollte. Darüber sind wir uns sicher einig. @Zahni: Deinen Post verstehe ich nicht...

Edgar, genau das (Unternehmensstruktur) ist sinnlos... OUs dienen der Organisation des AD und nicht der Organisation des Unternehmens :D Dieses Mißverständnis existiert von Anfang an und ist der unglücklichen Übersetzung von "Organizational Unit" geschuldet - sinngemäß müßte das nämlich "Organisierungseinheit" heißen, das träfe den Verwendungszweck besser.

Wenn Du nur die Daten brauchst: Entweder Platte in einen anderen Rechner zusätzlich einbauen oder USB-Platte ranhängen und von einer Notfall-CD booten (z.B. c't Notfallwindows, ein Win7-Installationsmedium reicht aber auch...). Dann einfach wegkopieren :)

@Daniel: Ersetze "!!" durch "||", dann stimmt's :) Und man kann es auch in einen Aufruf packen: WasFile.exe C:\test.txt modified after today-1 && eventcreate (wahr) || eventcreate (unwahr) @triebwerk: Die Idee mit dem Suchpfad könnte stimmen - wenn Du bei einem Task kein Ausführungsverzeichnis angibst, wird %windir%\System32 verwendet.

Powershell ändert am ursächlichen Problem vmtl.wenig :) Läuft der Task unter dem gleichen Account? Wenn nein: Welche Rechte hat der Task-Account auf die Datei?

"Server unknown" heißt nur, daß der Reverse Lookup auf die IP des DNS kein Ergebnis liefert... Bisher hast Du immer nur von 2 DCs gesprochen - das Ergebnis oben sagt mir aber, daß es fünf sind?!? Oder sind die multi-homed? Und manche Verwaltungswerkzeuge verbinden sich nicht mit "einem" DC, sondern per Default nur mit dem PDC-Emulator. Wenn der weg ist, kannst Du alternativ einen anderen DC auswählen.

Du könntest es im Specialize unattended installieren. Oder Sysprep :)

"Taglicht einschalt" - hier schneit es seit 3 Tagen mehr oder weniger, und richtig hell war es an Heiligabend das letzte Mal...

Nachdem der Sync-Client von Onedrive im Benutzerkontext und als GUI-Anwendung läuft, hilft Dir wohl nur AutoAdminLogon... Und wenn Du dann noch "rundll32.exe user32.dll,LockWorkStation" im Autostart (oder in http://gpsearch.azurewebsites.net/#1837)ausführst, sollte das überschaubar sein :D

...und beim Trust das Suffix Routing nicht vergessen...

-> "Well known SIDs"...

...und damit mal wieder die Forenregeln vergessen... Tststs... :-) PS: Zitieren geht mit Abstand am einfachsten, wenn man Skripts deaktiviert...

"Trust erstellen", fertig :) Was genau ist das Problem?

+1 :)

Doch, wenn Du "Administratoren" das Übernehmen verweigerst, dann schon :)

Brauchst nicht - hab's ja selber aus nem gpresult kopiert :-)

In GPP gibt es auf dem Reiter "Gemeinsam" eine Option "Im Sicherheitskontext des angemeldeten Benutzers ausführen". Die muß in diesem Szenario angehakt sein - war das bei Dir der Fall?