daabm

Brand ist wieder weggesperrt, danke fürs Feierabendbier, is' lekker :)
BTW: Autohalterung fürs Eifon 6 von Brodit - und die ebay-Lightning-Kabel passen nicht rein, weil der mistige Stecker ca. 0,3mm dicker ist als der originale... Danke Apple :jau:

Ich habe ein DFS-R eingerichtet. Ein DFS-N schien mir dafür von vorne herein nicht sinnvoll. Das DFS-R habe ich so eingerichtet, dass der primäre DC das "erste aller Ziele ist". Den Backup-DC habe ich als "letztes aller Ziele" konfiguriert. Ich habe quasi die ursprüngliche Verweisreihenfolge außer Kraft gesetzt. Zusätzlich habe ich die Bandbreite für die Replikation auf ein Maß begrenzt, von dem ich denke, dass es das Netzwerk gut wegstecken wird.

Damit sollte ich das "single target" realisiert haben, oder täusche ich mich da?

Ja, Du täüschst Dich. Du hast DFS-N eingerichtet, nur da gibt es "Ziele". Und Du hast mehr als ein aktives Verweisziel und bist damit _not supported_. Es ist nicht deterministisch, welches Verweisziel (bei mehr als einem aktiven) tatsächlich verwendet wird. Schon ein kurzer Netzwerk-Wackler reicht, und die Party beginnt :D

Eure Mutter? (Blödsinn wieder gelöscht....)

Aber wehe, das muß dann ein "fachkundiger Dritter" mal supporten, der das Konstrukt nicht kennt :D :D :D

außer der RID stolpert...

Was hat denn ein RID mit einer GUID zu tun?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State

Knapp vorbei:

HKLM|HKCU\Software\Policies und

HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

enthalten die Einstellungen aus GPOs.

 

Der von Dir genannte Schlüssel enthält "Verwaltungsdaten" zur Verarbeitungshistorie (wie z.B. die jeweilige GPO-Version etc.)

"Nicht mehr möglich" endet mit welcher genauen Fehlermeldung?

ja, in der OU sind Computer-Objekte, und wenn sich ein Benutzer auf diesen Computern einloggt, soll eine bestimmte User Einstellung greifen.

Das ist kein Windows-Update, das ist Loopback :)

 

http://evilgpo.blogspot.com/2012/02/loopback-demystified.html

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

 

Wenn der Useraccount nicht im Anwendungsbereich der GPO ist, dann wird der Userteil nicht angewendet.

 

PS: Wie viele DCs hast Du? AD- und Sysvol-Replikation funktionieren? (Eventlogs verraten Dir das recht schnell)

...und das zerrissene Huhn wurde heute auch vollends verspeist. Angenehmes Erlebnis - war ein 3 kg schweres Vieh, die normalen Supermarkt-Suppenhühner hier bringen gerade mal 1100 Gramm auf die Waage :)

...und ich dimme dann mal für den späten Abend ein wenig runter.

 

Hochwertige Brände stehen im Schrank, man bediene sich!

Gar niemals nicht - wir haben bei uns den Schreibzugriff auf Freigabeebene für Netlogon sogar auf den PDC reduziert... Für Sysvol geht das leider nicht wegen dem "blöden" GPO-Gedöns :)

Was du so für Tipps liest...

Meine hoffentlich :D

Benutzerprofile ins Sysvol???? Böarrgh...

 

DFS-N ist ok, zwei Verweisziele und Replikation auch, solange nur ein Verweisziel aktiv ist UND Du weißt, was Du tust.

Zum zweimal lesen und dauerhaft verinnerlichen: http://blogs.technet.com/b/askds/archive/2010/09/01/microsoft-s-support-statement-around-replicated-user-profile-data.aspx

 

Und 800 MB als Profilgrenze? Wir haben 30 MB und leben prima damit. Bei 800 MB dauert der Profil-Sync unangenehm lange :D

 

PS: Profile ins DFS-N zu legen, ist ein SEHR guter Gedanke. Ohne Ironie. Ist es wirklich. Nur das mit "mehrere Verweisziele" und DFS-R ist etwas - hm - heikler :D Problem dabei ist IMHO, daß DFS-N und DFS-R eigentlich nichts miteinander zu tun haben, aber bei den meisten in einen Topf geworfen werden.

Das latzte Mal, als ich mit dem IP-Filter was gemacht habe, war er kaputt... Ich weiß, daß die Antwort nicht hilft, aber das ILT läßt sich ja leider nicht wirklich debuggen :(

Bei der Erstellung eines Nutzerobjeks im AD erhalten automatisch alle anderen Nutzer Leserechte auf einen Teil seiner Attribute. Das wird nicht vererbt, das wird automatisch explizit am Benutzerobjekt angegeben.

Genau dafür entfernen wir AuthUsers aus dem Default-SD relevanter Klassen, und List Object Mode sorgt dafür, daß das Traversal Checking aktiviert wird - hat er "oben" keine Rechte, sieht er auch "unten" nichts mehr :)

plz :)

Zu Deinem "PS" hätte ich einen guten Rat: Nimm ein einziges Skript für alles und überall. Sonst suchst Du Dir später wieder einen Wolf. An den Standort kommst Du auch anders ran - notfalls sogar aus der Registrierung (HKLM\System\CCS\Services\Netlogon\Parameters:DynamicSiteName).

"Dienste starten" kriegt man notfalls ja auch noch ohne Adminrechte in den Griff :)

 

Für unsere Kunden gibt's dafür einen Validierungsprozess, der entscheidet, was eingesetzt werden darf und was nicht. Da fällt vieles durch...

Nee, weil die Schrift trotz meiner 4-Dioptrien-Weitsichtbrille immer noch gestochen scharf ist :D

Wenn der Gruppenname beim Echo ausgegeben wird, beim Select Case dann aber übersprungen: Hast Du Non-ASCII Zeichen drin? Umlaute?

Eine Längenbeschränkung gibt es, aber die liegt für WinNT IMHO bei 20 Zeichen.

Man fragt sich, warum Handys inzwischen Full HD haben :D

Edgar, Du postest zu viele Links für mein beschränktes Zeitbudget :) Schönen Feierabend allen, die schon soweit sind! Und viel Erfolg allen anderen...

Zahni, "List Object Mode" gibt es schon seit W2K als Alternative zu "List Content". Und supported ist es auch - "rumschrauben" ist da das falsche Wort :) Bedeutet halt eine gründliche Planung der ACLs.

Nein, gibt es leider nicht. /xx und /xo könnte helfen, etwas mehr Ordnung reinzubekommen.

:D :D :D

Ok. Was wäre mit Ausgabe der gefundenen Gruppennamen? Vielleicht nur ein Zwiespalt zwischen sAMAccountName und CN der Gruppen?

 

For Each GroupObj In UserObj.Groups
        WScript.Echo GroupObj.Name
        Select Case UCase(GroupObj.Name)

PS: Ich würde beim Skript bleiben statt GPP zu verwenden - GPP ist gut und schön, aber irgendwann verlierst Du den Überblick, wer nun aufgrund welcher Gruppenmitgliedschaft in welcher Reihenfolge welchen Laufwerksbuchstaben verbunden bekommt :D

Als Ergänzung zu Nils: "List Object Mode" könnte Dein Problem lösen, ist aber eine globale AD-Einstellung in den dsHeuristics. Alternativ überall AuthUsers rauswerfen und auch "Prä-Windows 2000-kompatibler Zugriff" leeren.

Alles nicht so ganz trivial :)

 

(Wir bauen das grad für unsere Kunden - das Fachkonzept hat schon 180 Seiten...)