daabm

Set-ADGroup kennt keinen Parameter -info, sondern nur -ManagedBy: https://technet.microsoft.com/library/ee617199.aspx -ManagedBy akzeptiert dabei DN, GUID, SID oder sAMAccountName.

Wer auch immer das geschrieben hat, hat Active Directory und Kerberos nicht verstanden. Ohne Trust kein Shared Secret, ohne Shared Secret keine Authentifizierung in der vertrauenden Domäne. Zum Nachlesen: https://technet.microsoft.com/library/cc772815.aspx IMHO immer noch der beste "Einführungsartikel" dazu.

Hast Du Loopback Ersetzen oder Zusammenführen aktiv? Und welcher Sicherheitsfilter ist auf den User-GPOs? (Domänenbenutzer funzt nicht, das muß in dem Fall Authentifizierte Benutzer sein) PS: Man macht nicht gpresult /r, sondern "gpresult /h report.html && report.html". Gibt einen schönen grafischen Bericht, den man sehr einfach analysieren kann. Der Textoutput von gpresult /r ist dagegen Steinzeit :) Das mußt Du mir mal genauer erklären :D Loopback ist entweder an oder aus - in welcher GPO ich das konfiguriere, ist egal, solange die zuletzt verarbeitete (!) meine Einstellung enthält. Aber vielleicht übersehe ich ja was?

Ich schließe mich Sunny an - wie stellst Du einen Zusammenhang zwischen AD-Synchronisation der DCs und dem Standby der Clients her? Oder hat da einer mit einem geplanten Task per GPO experimentiert, und durch die Synchronisation wurde das jetzt korrekt rückgängig gemacht?

Das mit dem Proxy-Switcher klappt halt nur, wenn der Proxy nicht per ADM-Vorlage (oder IE Maintenance :D ) gesetzt wird. Die PAC-Datei ist universeller, und ja es reicht, wenn die dann nicht verfügbar ist - dann wird der "Standard-Proxy" verwendet, und das ist ja i.d.R. "kein Proxy".

GUIDs werden quasi überall erstellt. Sind Wegwerf- oder Einweg-Identifier - laut MS "eindeutig in Zeit und Raum". Hat mit AD nur wenig zu tun, nur dass halt auch dort eine GUID als eindeutiger Identifier erstellt wird :)

Gamescom - Rotkäppchen - ich bin im falschen Film :D

Set Lib = CreateObject( "Scripting.Typelib" ) strGuid = Lib.Guid Der Mechanismus ist nicht genau dokumentiert, aber es gehen (u.a. und sofern vorhanden) Datum/Uhrzeit, MAC-Adresse, Windows-Key, Installationsdatum etc. mit in die Berechnung mit ein.

Genau. Du sollst nicht die Replikation abstellen, die ist per se nicht schädlich. Du sollst die mehrfachen Verweisziel abschalten - für Homesets und Profile darf es zu JEDER Zeit nur genau EIN aktives Verweisziel geben :)

Brand ist wieder weggesperrt, danke fürs Feierabendbier, is' lekker :) BTW: Autohalterung fürs Eifon 6 von Brodit - und die ebay-Lightning-Kabel passen nicht rein, weil der mistige Stecker ca. 0,3mm dicker ist als der originale... Danke Apple :jau:

Ja, Du täüschst Dich. Du hast DFS-N eingerichtet, nur da gibt es "Ziele". Und Du hast mehr als ein aktives Verweisziel und bist damit _not supported_. Es ist nicht deterministisch, welches Verweisziel (bei mehr als einem aktiven) tatsächlich verwendet wird. Schon ein kurzer Netzwerk-Wackler reicht, und die Party beginnt :D

Eure Mutter? (Blödsinn wieder gelöscht....)

Aber wehe, das muß dann ein "fachkundiger Dritter" mal supporten, der das Konstrukt nicht kennt :D :D :D

Was hat denn ein RID mit einer GUID zu tun? Knapp vorbei: HKLM|HKCU\Software\Policies und HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Policies enthalten die Einstellungen aus GPOs. Der von Dir genannte Schlüssel enthält "Verwaltungsdaten" zur Verarbeitungshistorie (wie z.B. die jeweilige GPO-Version etc.)

"Nicht mehr möglich" endet mit welcher genauen Fehlermeldung?

Das ist kein Windows-Update, das ist Loopback :) http://evilgpo.blogspot.com/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx Wenn der Useraccount nicht im Anwendungsbereich der GPO ist, dann wird der Userteil nicht angewendet. PS: Wie viele DCs hast Du? AD- und Sysvol-Replikation funktionieren? (Eventlogs verraten Dir das recht schnell)

...und das zerrissene Huhn wurde heute auch vollends verspeist. Angenehmes Erlebnis - war ein 3 kg schweres Vieh, die normalen Supermarkt-Suppenhühner hier bringen gerade mal 1100 Gramm auf die Waage :) ...und ich dimme dann mal für den späten Abend ein wenig runter. Hochwertige Brände stehen im Schrank, man bediene sich!

Gar niemals nicht - wir haben bei uns den Schreibzugriff auf Freigabeebene für Netlogon sogar auf den PDC reduziert... Für Sysvol geht das leider nicht wegen dem "blöden" GPO-Gedöns :)

Meine hoffentlich :D

Benutzerprofile ins Sysvol???? Böarrgh... DFS-N ist ok, zwei Verweisziele und Replikation auch, solange nur ein Verweisziel aktiv ist UND Du weißt, was Du tust. Zum zweimal lesen und dauerhaft verinnerlichen: http://blogs.technet.com/b/askds/archive/2010/09/01/microsoft-s-support-statement-around-replicated-user-profile-data.aspx Und 800 MB als Profilgrenze? Wir haben 30 MB und leben prima damit. Bei 800 MB dauert der Profil-Sync unangenehm lange :D PS: Profile ins DFS-N zu legen, ist ein SEHR guter Gedanke. Ohne Ironie. Ist es wirklich. Nur das mit "mehrere Verweisziele" und DFS-R ist etwas - hm - heikler :D Problem dabei ist IMHO, daß DFS-N und DFS-R eigentlich nichts miteinander zu tun haben, aber bei den meisten in einen Topf geworfen werden.

Das latzte Mal, als ich mit dem IP-Filter was gemacht habe, war er kaputt... Ich weiß, daß die Antwort nicht hilft, aber das ILT läßt sich ja leider nicht wirklich debuggen :(

Genau dafür entfernen wir AuthUsers aus dem Default-SD relevanter Klassen, und List Object Mode sorgt dafür, daß das Traversal Checking aktiviert wird - hat er "oben" keine Rechte, sieht er auch "unten" nichts mehr :)

plz :)

Zu Deinem "PS" hätte ich einen guten Rat: Nimm ein einziges Skript für alles und überall. Sonst suchst Du Dir später wieder einen Wolf. An den Standort kommst Du auch anders ran - notfalls sogar aus der Registrierung (HKLM\System\CCS\Services\Netlogon\Parameters:DynamicSiteName).

"Dienste starten" kriegt man notfalls ja auch noch ohne Adminrechte in den Griff :) Für unsere Kunden gibt's dafür einen Validierungsprozess, der entscheidet, was eingesetzt werden darf und was nicht. Da fällt vieles durch...