daabm

Ich werfe mal "for /?" in den Ring... %~zI sei das Stichwort. :D

1. gpresult /h report.html - kommt Dein Setting beim Admin auch an? 2. Hast Du - versehentlich? - Loopback aktiviert? 3. DDP und DDCP (wie Sunny schon schrub) in Ruhe lassen. @Sunny: Screensaver ist nur User :D

"Dieses gelingt nicht und beim 2. mal gibt es einen Fehler mit "KDC_ERR_PREAUTH_FAILED"." Nein, nicht beim 2. Mal - sondern beim ersten Mal. Sind die KDC-Kennwörter synchron? Typischerweise heißt das nämlich "falsches Kennwort"... Und das kann das Userkennwort sein, aber auch das krbtgt-Kennwort. Wobei es dann auch im LAN passieren müßte - wenn Ihr nicht einen DC habt, der aufgrund der Site-Konfig nur bei VPN-Logons verwendet wird?!? Fragen über Fragen... Zum Lesen, was es mit PREAUTH_REQUIRED und PREAUTH_FAILED auf sich hat: https://technet.microsoft.com/library/cc772815.aspx Oder sollte ganz trivial die Uhrzeit nicht mehr stimmen?

Grad mal zwei Wochen her, und schon sind wir bei 1.7.0_75...

Mach's trotzdem :)

Das passiert sehr häufig, wenn die Kerberos-Pakete größer als 1506 Byte und kleiner als 2048 Byte sind. Kerberos verwendet bis 2048 Byte UDP, und ab 1507 Byte werden daraus zwei Pakete. Die kommen über VPN gerne "out of order" am DC an, der dann nix damit anfangen kann. Zwinge Kerberos, immer TCP zu verwenden, und Du solltest Ruhe haben.

Lian, kleine Korrektur: Mitgliedschaften sind ein Attribut der Gruppen, nicht der User. Beim User ist es ein constructed attribute... Light: Du kannst Dir zwar mit repadmin /showobjmeta die Änderungszeitpunkte aller Gruppen-Attribute anzeigen lassen. Aber da siehst Du leider nur, wann "members" das letzte Mal aktualisiert wurde und nicht, welcher User da hinzugefügt oder entfernt wurde. Wenn Du kein Auditing auf Account Management hast ("Member added" bzw. "Member removed"), dann geht es nicht.

Schon lang nix mehr damit gemacht, aber Redemption war früher das Schweizer Messer für Outlook-Skripting...

Du könntest mal versuchen, unter HKU\S-1-5-18 sowie -19 und -20 die für den Bildschirmschoner relevanten Keys zu setzen (ScreenSaveActive und ScreenSaveTimeout sollte schon reichen).

'n Abend. Es muß kein DC sein, wird aber aus Performancegründen je nach Umgebung sogar empfohlen.

Ich kenne Firmen (u.a. meine), bei denen Berechtigungen im AD bis auf Attribut-Ebene exakt designt werden, um die richtige Delegation zu ermöglichen. Hat was mit least privilege - required privilege - save by design zu tun :) Und ist ein Heidenspaß, weil die dann über GUIDs gesetzt werden und nicht über Konstanten oder gar Namen :( Obwohl ich nicht unbedingt glaube, dass das beim TO der Fall ist.

...die "großen" gehen gerade dazu über, mehrere getrennte Kunden in einem gemeinsamen AD zu verheiraten - siehe u.a. Azure. Ich gebe meinen Vorrednern uneingeschränkt recht - mach es Dir einfach, eine Domäne reicht :)

Ja - ich ja auch, wie wir kürzlich festgestellt haben :D

Da stellt sich die Frage nach dem Sinn... Wenn ich Daten per Zwischenablage transferieren kann, dann gibt es keinen praktischen Grund, die Laufwerke abzuklemmen :) Notfalls hilft ein Anmeldeskript (oder ein geplanter Task bei der Anmeldung), der alles mit \\tsclient\* einfach trennt.

Wurde mit Server 2003 erstmals ausgeliefert und war IMHO in XP ab SP2 auch enthalten - seit Vista auf jeden Fall :)

"Klick" - dunkel...

Zwei GPOs, wie Norbert schrub. WMI-Filter lassen wir bleiben, besser werfen wir "Authentifizierte Benutzer" aus dem Sicherheitsfilter und tragen dort den Computeraccount (oder eine geeignete Gruppe) ein.

Nils, nur so: Kennst Du schon " | Clip " ? :)

Machst Du was mit WMI beim Start oder beim Anmelden? Ich erinnere mich, dass z.B. Win32_Environment dazu führt, dass alle Profile geladen werden, um HKCU\Environment auslesen zu können...

Sunny, ich schalt dann mal das Nachtlicht für esta ein :p Vielleicht legt sie dann noch ein Bier ins Gemüsefach :D

Ja - in Post #1: "Wir haben für unseren Terminalserverzugang ein Zertifikat welches bei unseren externen Mitarbeitern unter "Computerkonto" -> "Vertrauenswürdige Stammzertifizierungstellen" installiert werden muss." Kann sein, ich hab das mißverständlich ausgedrückt. Ich meinte nicht "Zertifikat für den Computer", sondern "Zertifikat im Store des Computers" :)

Die Versionsnummer bzw. der Name, den MS ihm gegeben hat. Sonst nix... :cool:

IrfanView kann es auf jeden Fall als Folge von JPEGs. Die müßte man dann in einen Film kriegen - hab mich aber noch nie damit beschäftigt, ob und wenn ja wie das geht....

Zertifikate für den Computer lassen sich nur als Admin installieren - ist halt so :)

Nö. ADMX hat mit GPP nix zu tun. Du mußt das XML bearbeiten. Und in der Tat - Einstellungen, die NACH der höchsten im GUI verfügbaren Version (hier IE10) kamen, kannst Du darüber nicht setzen. Wenn die Einstellungen (wie auch immer Du die jetzt genau setzt) nach dem Anmelden erst mal weg, nach gpupdate (ohne /force) aber wieder da sind, hast Du ein grundlegendes Problem.