daabm

Eure Mutter? (Blödsinn wieder gelöscht....)

Aber wehe, das muß dann ein "fachkundiger Dritter" mal supporten, der das Konstrukt nicht kennt :D :D :D

Was hat denn ein RID mit einer GUID zu tun? Knapp vorbei: HKLM|HKCU\Software\Policies und HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Policies enthalten die Einstellungen aus GPOs. Der von Dir genannte Schlüssel enthält "Verwaltungsdaten" zur Verarbeitungshistorie (wie z.B. die jeweilige GPO-Version etc.)

"Nicht mehr möglich" endet mit welcher genauen Fehlermeldung?

Das ist kein Windows-Update, das ist Loopback :) http://evilgpo.blogspot.com/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx Wenn der Useraccount nicht im Anwendungsbereich der GPO ist, dann wird der Userteil nicht angewendet. PS: Wie viele DCs hast Du? AD- und Sysvol-Replikation funktionieren? (Eventlogs verraten Dir das recht schnell)

...und das zerrissene Huhn wurde heute auch vollends verspeist. Angenehmes Erlebnis - war ein 3 kg schweres Vieh, die normalen Supermarkt-Suppenhühner hier bringen gerade mal 1100 Gramm auf die Waage :) ...und ich dimme dann mal für den späten Abend ein wenig runter. Hochwertige Brände stehen im Schrank, man bediene sich!

Gar niemals nicht - wir haben bei uns den Schreibzugriff auf Freigabeebene für Netlogon sogar auf den PDC reduziert... Für Sysvol geht das leider nicht wegen dem "blöden" GPO-Gedöns :)

Meine hoffentlich :D

Benutzerprofile ins Sysvol???? Böarrgh... DFS-N ist ok, zwei Verweisziele und Replikation auch, solange nur ein Verweisziel aktiv ist UND Du weißt, was Du tust. Zum zweimal lesen und dauerhaft verinnerlichen: http://blogs.technet.com/b/askds/archive/2010/09/01/microsoft-s-support-statement-around-replicated-user-profile-data.aspx Und 800 MB als Profilgrenze? Wir haben 30 MB und leben prima damit. Bei 800 MB dauert der Profil-Sync unangenehm lange :D PS: Profile ins DFS-N zu legen, ist ein SEHR guter Gedanke. Ohne Ironie. Ist es wirklich. Nur das mit "mehrere Verweisziele" und DFS-R ist etwas - hm - heikler :D Problem dabei ist IMHO, daß DFS-N und DFS-R eigentlich nichts miteinander zu tun haben, aber bei den meisten in einen Topf geworfen werden.

Das latzte Mal, als ich mit dem IP-Filter was gemacht habe, war er kaputt... Ich weiß, daß die Antwort nicht hilft, aber das ILT läßt sich ja leider nicht wirklich debuggen :(

Genau dafür entfernen wir AuthUsers aus dem Default-SD relevanter Klassen, und List Object Mode sorgt dafür, daß das Traversal Checking aktiviert wird - hat er "oben" keine Rechte, sieht er auch "unten" nichts mehr :)

plz :)

Zu Deinem "PS" hätte ich einen guten Rat: Nimm ein einziges Skript für alles und überall. Sonst suchst Du Dir später wieder einen Wolf. An den Standort kommst Du auch anders ran - notfalls sogar aus der Registrierung (HKLM\System\CCS\Services\Netlogon\Parameters:DynamicSiteName).

"Dienste starten" kriegt man notfalls ja auch noch ohne Adminrechte in den Griff :) Für unsere Kunden gibt's dafür einen Validierungsprozess, der entscheidet, was eingesetzt werden darf und was nicht. Da fällt vieles durch...

Nee, weil die Schrift trotz meiner 4-Dioptrien-Weitsichtbrille immer noch gestochen scharf ist :D

Wenn der Gruppenname beim Echo ausgegeben wird, beim Select Case dann aber übersprungen: Hast Du Non-ASCII Zeichen drin? Umlaute? Eine Längenbeschränkung gibt es, aber die liegt für WinNT IMHO bei 20 Zeichen.

Man fragt sich, warum Handys inzwischen Full HD haben :D

Edgar, Du postest zu viele Links für mein beschränktes Zeitbudget :) Schönen Feierabend allen, die schon soweit sind! Und viel Erfolg allen anderen...

Zahni, "List Object Mode" gibt es schon seit W2K als Alternative zu "List Content". Und supported ist es auch - "rumschrauben" ist da das falsche Wort :) Bedeutet halt eine gründliche Planung der ACLs.

Nein, gibt es leider nicht. /xx und /xo könnte helfen, etwas mehr Ordnung reinzubekommen.

:D :D :D

Ok. Was wäre mit Ausgabe der gefundenen Gruppennamen? Vielleicht nur ein Zwiespalt zwischen sAMAccountName und CN der Gruppen? For Each GroupObj In UserObj.Groups WScript.Echo GroupObj.Name Select Case UCase(GroupObj.Name)PS: Ich würde beim Skript bleiben statt GPP zu verwenden - GPP ist gut und schön, aber irgendwann verlierst Du den Überblick, wer nun aufgrund welcher Gruppenmitgliedschaft in welcher Reihenfolge welchen Laufwerksbuchstaben verbunden bekommt :D

Als Ergänzung zu Nils: "List Object Mode" könnte Dein Problem lösen, ist aber eine globale AD-Einstellung in den dsHeuristics. Alternativ überall AuthUsers rauswerfen und auch "Prä-Windows 2000-kompatibler Zugriff" leeren. Alles nicht so ganz trivial :) (Wir bauen das grad für unsere Kunden - das Fachkonzept hat schon 180 Seiten...)

Du erstellst für jede zugelassene Kommunikation einen Site Link. Der Rest passiert dank KCC und ISTG automatisch, und Site Link Bridging ist per Default aktiviert. D.h. auch die Brücken werden automatisch erstellt.

Das wird jetzt per Forum schwierig - Du scheinst Deine Domäne verbogen zu haben auf eine Weise, die eher selten vorkommt. Wenn es geschäftskritisch ist, würde ich jemand holen...