daabm

Kann man schon machen - mache sogar ich ab und zu, um schnell mal was auszuprobieren. Wenn es aber reproduzier- und nachvollziehbar sein soll (oder wie bei uns meistens sogar MUSS), dann ist ein Skript oder Befehlszeilenaufruf die bessere Variante. Die kann man irgendwo (revisionssicher) speichern und beliebig oft wiederholen. Und mit kleinen Anpassungen dann für ähnliche Aufgaben super schnell modifizieren - "code reuse"

Security by obscurity... Macht's nur unkomfortabler, verhindert aber nichts. Abfotografieren geht immer. Oder um's mal allgemeiner zu formulieren: "If you don't trust your admins, don't make them admins". Läßt sich auf jede andere Funktion im Unternehmen übertragen.

Jupp, so langsam wird es "rund". @RealUnreal Zeitverteilung ist ein hierarchischer Vorgang. Und für Kerberos ist Zeit essentiell, weil die Timestamps für die Preauthentication verwendet werden. Es kann nur einen "Chef im Ring" geben, und jeder, der teilnimmt, darf nur einen "Uplink" haben. Dem virtuellen Computer ist es grundsätzlich egal, ob er seine Zeit vom Host bekommt, der in der gleichen Domäne ist (ist er das?) oder ob er sie direkt aus der Domäne holt. Allerdings macht ein fehlkonfigurierter Host in dem Fall die Authentifizierung für alle VMs gleich mit kaputt. Also entscheidet man sich, alle Zeit-Integrationen der Virtualisierungsplattform abzuschalten und bei Domänenmitgliedern ausschließlich NT5DS zu verwenden.

Deine Quelle beim PDC ist der VM IC Provider, das ist falsch. Der muß auf ntp stehen -> Time Sync in VMWare abschalten. Und die Quelle beim Host ist Local CMOS, das ist auch falsch. Mit den 2 GPOs alleine kannst das nicht lösen, Du mußt die dämliche Zeitsynchronisation der VMWare Tools abschalten.

Shell Folders war möglicherweise schon deprecated, bevor Du geboren wurdest... https://devblogs.microsoft.com/oldnewthing/20031103-00/?p=41973 Also lass den Kram da einfach, wie er ist. Oder wenn's glücklich macht, dann patche es.

Kann leider nicht folgen. Wie kann das auf nem einzelnen DC passieren bzw. Auswirkungen haben? Er hat doch immer auf sich selber Zugriff und kennt sein aktuelles Maschinen-PW. Oder meinst was ganz anderes? Falls ja, was genau und wie kann ich es provozieren zur Test-Behebung? Wenn er der einzige ist, was hindert mich am Image-Restore/CopyPaste des DC vom Stand Tag davor. Ein DC verhält sich da genau wie ein Client - er kennt lokal (Registry) sein Kennwort, und es steht auch im Computerkonto im AD. Paßt das nicht mehr, hast das gleiche wie bei nem Member - entweder rejoin (also de-/promote) oder nltest /screset. Zweiteres geht aber nicht gegen ihn selber, sondern muß auf ihm selbst gegen einen anderen ausgeführt werden - hast Du nur einen, ist hier Ende. Und rejoin aus offensichtlichen Gründen das gleichen Problem.

Auch schon wieder 11 Jahre her... https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

Die gleiche Diskussion hatten wir doch grad schon mal Du kannst die Verzeichnisse problemlos umbenennen und dann in der Registry den Profilpfad korrigieren. Der User darf da nur grad nicht angemeldet sein - Shutdown-Skript z.B. Danach noch ntuser.dat laden und Environment/Volatile Environment überprüfen und ggf. korrigieren (wobei das bei Volatile Environment unnötig sein sollte). Ob das ein Domänen- oder lokaler Account ist, ist dabei wurscht. In eurer Automation habt Ihr halt leider die falschen Variablen ausgesucht.

Syspro verwende ich selbst auch, kann ich nur empfehlen. Und da das eine Ein-Mann-Firma ist, ist das auch gut angelegtes Geld.

Ist das eine Zustandsbeschreibung? Oder ein Ziel? Wenn es eine Zustandsbeschreibung ist, der Zustand aber nicht zu den Anforderungen passt, dann solltest du den Zustand ändern. Sprich: dann sind die Einschränkungen wohl nicht passend. Ack - oder auf Deutsch: Ich bin der selben Meinung Mach User nicht zum Admin, laß sie aber ansonsten einfach in Ruhe. Explorer einschränken, Regedit und Eingabeaufforderung verbieten usw - alles "Security by obscurity".

Letzter Arbeitstag in der K-Woche - viel Genuss mit dem Feierabend-🥃

28 ist das neue 42

Und "im Kontext des Benutzers" auch aktiviert?

Wir würden da ganz viele Tode sterben... Wenn ich dran denke, wie viele Mueller2 alleine wir bei den Mailadressen haben Von Schmidt2 nicht zu reden. Und solange sich User mit ihrer ID anmelden (die übrigens deutlich schneller eingegeben ist als der drecks UPN - jm2c), können sie Dir bei Problemen auch diese ID problemlos sagen.

"Schöner Frühlingstag" und "-1° C" - finde den Fehler

Man kann sie umbenennen, wenn sie bereits existieren - kein Problem. Ordner umbenennen, Profilpfad in der Registry anpassen, fertig. Aber - siehe meine erste Antwort - der automatische Mechanismus muss auch für lokale Konten funktionieren. Die haben keinen UPN, sondern nur einen Namen. Für AD-Konten "könnte" man das Umbenennen sogar per Shutdown-Skript machen - geplanter Task eignet sich weniger, weil der asynchron läuft Ich sehe nur den Mehrwert dahinter nicht. Mit "net user <userid> /dom" habe ich in Sekundenbruchteilen die Namen zu den IDs. Sogar ganz ohne RSAT. Und wenn ich geil drauf bin, dann baue ich mir ein Logon-Skript, das im Profilordner ne Desktop.ini anlegt und den Anzeigenamen in Windows Explorer "modded" @NorbertFe Super anonymisiert ist ne Mailadresse als UPN natürlich nie. Die User-ID kommt bei uns aus der Personalverwaltung (SAP/HR) und ist tatsächlich nur ein akronymisches Kürzel, das anhand irgendwelcher Kriterien bei den ersten 3 Stellen Buchstaben bekommt und dann fortlaufend hochgezählt wird (padded to 4 digits). PS @info@vision4d.de wenn Du Daten in Benutzerprofilen hin- und herkopierst (und damit lesend und schreibend auf Daten anderer Benutzer zugreifst), wie sieht das mit Nachvollziehbarkeit, Legitimation und DSGVO aus? Du stehst da schon mit einem Bein vor Gericht, wenn Du das manuell machst. Und wenn Du es automatisierst (aka "skriptest"), kannst Du easy alles an Daten herausfinden, was Du brauchst, um den richtigen Ordner zu finden.

Nein. Der Mechanismus muss auch für lokale Benutzer funktionieren, die haben keinen UPN.

ACK. Geist ist raus, Flasche wieder zu hilft nix. Tatsächlich hilft da nur "vorwärts denken".

Bin gesund geblieben. Mal sehen wie's weitergeht 😂

Genau die definitiv nicht - ChatGPT kann weder Regale einräumen noch Pakete sortieren oder ausliefern. Nein. Bis wir soweit sind, daß man einer KI abstrakt formulierte Abstimmungsprobleme vorsetzt und sie darauf antwortet "Entlasse A, stelle B ein, bringe C und D zusammen" wird's noch länger dauern als ich lebe. Im übrigen bin ich bei @Damian

Ja. Sind AFAIK nur 2 Entwickler für GPOs und das ganze Zeug drum rum. "Intune" heißt die goldene Zukunft... Ich hab bei uns ein kleines Framework gebastelt, das aus timestamped Quellverzeichnissen zusammen- und dann in einen definierten Zielpfad rein-kopiert. Die Versionierung ist ansonsten #grütze.

Ja dann führ's halt jede Minute per Taskplaner aus - was spricht dagegen?

1. Ja, kannst Du. Was hinderte Dich bisher daran, das einfach mal zu probieren? 2. Wie Du robocopy startest, bleibt Dir überlassen. Geplanter Task? Check. Startup-Folder im Startmenü? Check. Registry - Run? Check.

File System Watcher und Robocopy Wobei Robocopy den Watcher sogar schon eingebaut hat, schau Dir mal /MON und /MOT an.

Was muß man da fit machen? Die "üblichen" Hilfen seitens Windows gibt es auch in den Servervarianten.