daabm

Den NPS in die Domäne nehmen...

Gegen selbst erstellte spricht gar nix.

Warum muß es immer Powershell sein? Für Deine Anforderung reicht sogar "findstr /?" :)

Die arp-Tabellen der Switche wissen das vmtl. auch :)

Hm - installieren hätte man sicher auch anderes können, wenn es denn was geben würde :)

Das alte Dilemma multipler Authentifizierung: "Wer bin ich?" :D

Nils hat die gleiche Meinung wie ich :) Kein Problem, solange die Treiber mitspielen und die Anzahl der Queues im Rahmen bleibt. lefg hat allerdings auch Recht - lokale Drucker mit IP-Anschluß sind die probate Alternative.

...dann bin ich leider erst mal raus. Wir haben keine interaktiven Dienste mehr :D

Bringt uns Windows-Freaks nur zunächst wenig - das ist ein RT, unsere geliebten Anwendungen werden da Schwierigkeiten haben :D Der richtige Weg ist es trotzdem.

wbadmin ist notfalls Dein Freund :) Und das dann in einen geplanten Task stecken.

...und nachdem ich neugierig bin und dem mcseboard.de irgendwie vertraue, schaue ich mir diese Toolbox doch gleich mal an. Ergebnis: "Wert 180,-" - da lachen die Hühner. Selten so minderwertige Publikationen gesehen... Und im Zuge der Registrierung versuchen sie mir dann gleich noch 2 oder drei weitere Traktate anzudrehen, ebenfalls immer mit einer Testausgabe einer unglaublich teuren Publikation. Kleines Beispiel für die von mir wahrgenommene "Qualität": Wie Sie die 2-Faktor Authentifizierung mit einem One-Time-Password verwenden One-Time-Password-Token (OTP-Token) sind Einmalpasswörter, die nach unterschiedlichen Algorithmen berechnet und durch Hardware- oder Software-Token erzeugt werden. Wie sich aus dem aus dem Begriff One-Time-Password ableiten lässt, sind derartig erzeugte Passwörter stets nur ein einziges Mal gültig. Ein Hardware-Token für ein One-Time-Password (OTP) generiert einen Zahlencode, der vom Authentisierungs-Server validiert wird. Das war's zu "wie verwende ich 2FA mit OTP"... Irritiert bin ich dabei übrigens von dem einleitenden Absatz in der Mail, der ja vom Board kommt - oder habt Ihr das von Eurem Werbepartner formuliert bekommen? Edit: Das muß ich noch loswerden - in einem anderen Dokument gefunden... Transport Layer Security (TLS) in Version 2.1 ist nun bereits als Standardoption aktiviert. Aha - da ist jemand also der IETF weit voraus und hat schon mal die übernächste Version von TLS spezifiziert und als Standard festgelegt :D :D :D Und nein, das ist kein Tippfehler - die "Version 2.1" findet sich in diesem Dokument vier mal.

Ich werfe mal "for /?" in den Ring... %~zI sei das Stichwort. :D

1. gpresult /h report.html - kommt Dein Setting beim Admin auch an? 2. Hast Du - versehentlich? - Loopback aktiviert? 3. DDP und DDCP (wie Sunny schon schrub) in Ruhe lassen. @Sunny: Screensaver ist nur User :D

"Dieses gelingt nicht und beim 2. mal gibt es einen Fehler mit "KDC_ERR_PREAUTH_FAILED"." Nein, nicht beim 2. Mal - sondern beim ersten Mal. Sind die KDC-Kennwörter synchron? Typischerweise heißt das nämlich "falsches Kennwort"... Und das kann das Userkennwort sein, aber auch das krbtgt-Kennwort. Wobei es dann auch im LAN passieren müßte - wenn Ihr nicht einen DC habt, der aufgrund der Site-Konfig nur bei VPN-Logons verwendet wird?!? Fragen über Fragen... Zum Lesen, was es mit PREAUTH_REQUIRED und PREAUTH_FAILED auf sich hat: https://technet.microsoft.com/library/cc772815.aspx Oder sollte ganz trivial die Uhrzeit nicht mehr stimmen?

Grad mal zwei Wochen her, und schon sind wir bei 1.7.0_75...

Mach's trotzdem :)

Das passiert sehr häufig, wenn die Kerberos-Pakete größer als 1506 Byte und kleiner als 2048 Byte sind. Kerberos verwendet bis 2048 Byte UDP, und ab 1507 Byte werden daraus zwei Pakete. Die kommen über VPN gerne "out of order" am DC an, der dann nix damit anfangen kann. Zwinge Kerberos, immer TCP zu verwenden, und Du solltest Ruhe haben.

Lian, kleine Korrektur: Mitgliedschaften sind ein Attribut der Gruppen, nicht der User. Beim User ist es ein constructed attribute... Light: Du kannst Dir zwar mit repadmin /showobjmeta die Änderungszeitpunkte aller Gruppen-Attribute anzeigen lassen. Aber da siehst Du leider nur, wann "members" das letzte Mal aktualisiert wurde und nicht, welcher User da hinzugefügt oder entfernt wurde. Wenn Du kein Auditing auf Account Management hast ("Member added" bzw. "Member removed"), dann geht es nicht.

Schon lang nix mehr damit gemacht, aber Redemption war früher das Schweizer Messer für Outlook-Skripting...

Du könntest mal versuchen, unter HKU\S-1-5-18 sowie -19 und -20 die für den Bildschirmschoner relevanten Keys zu setzen (ScreenSaveActive und ScreenSaveTimeout sollte schon reichen).

'n Abend. Es muß kein DC sein, wird aber aus Performancegründen je nach Umgebung sogar empfohlen.

Ich kenne Firmen (u.a. meine), bei denen Berechtigungen im AD bis auf Attribut-Ebene exakt designt werden, um die richtige Delegation zu ermöglichen. Hat was mit least privilege - required privilege - save by design zu tun :) Und ist ein Heidenspaß, weil die dann über GUIDs gesetzt werden und nicht über Konstanten oder gar Namen :( Obwohl ich nicht unbedingt glaube, dass das beim TO der Fall ist.

...die "großen" gehen gerade dazu über, mehrere getrennte Kunden in einem gemeinsamen AD zu verheiraten - siehe u.a. Azure. Ich gebe meinen Vorrednern uneingeschränkt recht - mach es Dir einfach, eine Domäne reicht :)

Ja - ich ja auch, wie wir kürzlich festgestellt haben :D

Da stellt sich die Frage nach dem Sinn... Wenn ich Daten per Zwischenablage transferieren kann, dann gibt es keinen praktischen Grund, die Laufwerke abzuklemmen :) Notfalls hilft ein Anmeldeskript (oder ein geplanter Task bei der Anmeldung), der alles mit \\tsclient\* einfach trennt.