daabm

@Sunny: Bin wieder da :) Meine Meinung dazu: Die DDP und die DDCP fasst man besser nicht an, sondern macht sich eine eigene GPO, die man dann weiter oben verlinkt. Hintergrund ist tatsächlich dcgpofix - und ich bin dann auch relativ leicht in der Lage, meine eigenen GPOs für Diagnosezwecke kurz auszuknipsen. Ob Kennwortrichtlinien nun in der DDP stehen oder in einer anderen, das ist egal - wichtig sind für Domänenuser dabei nur zwei Dinge: 1. Die GPO _muss_ mit der Domäne verknüpft sein. 2. Der PDC-Emulator muss Anwenden-Rechte darauf haben. Ob die DDP selbst überhaupt noch aktiv/verlinkt/vorhanden ist, spielt übrigens auch keine wirkliche Rolle :)

Da hast Du recht - ist halt tagesformabhängig. Ich will eigentlich vor allem in Foren niemand direkt an die Wand stellen... Manchmal passiert es dann trotzdem :( Ok, wieder Freunde :)

Und um das noch zu ergänzen: Interaktiv anmelden ist ein anderes Recht als "Anmelden als Dienst" oder "Anmelden als Stapelverarbeitungsauftrag" (geplanter Task). Das Sperren der interaktiven Anmeldung hat auf die anderen beiden keinen Einfluß.

Nachdem alle Notebooks wohl das gleiche Modell sind und es mit dreien geklappt hat, sollte es daran eigentlich nicht liegen. Haben die Notebooks alle den gleichen BIOS-Stand?

"Linux von der Stange"? Das erlebe ich vmtl. nicht mehr - zu viele Distros, zu viel Gefrickel, zu viele Diskussionen um open/closed source und zu viele Köche ;)

Mir fiele da noch "portqry.exe" ein - aber der Hinweis von Sunny auf die Firewallregeln des XP-Rechners ist vorrangig :) Nicht daß da "localsubnet" als Bereich eingetragen ist.

Lassen wir's... Manche kommen mit mir nicht zurecht, das muß ich akzeptieren. /U [Domäne\]Benutzer Bestimmt den Benutzerkontext, unter dem der Befehl ausgeführt wird. /USER [Domäne\]Benutzer Legt den Benutzername fest, für den die RSoP-Daten angezeigt werden sollen.

Google kennst Du aber, oder? Mußt Du wohl, sonst hättest Du nicht hierher gefunden :D https://www.google.de/search?q=+{+%24([string]::IsNullOrEmpty(%24(%24_.manager)))}

Stimmt. "Verzeichnis" meint hier Active Directory. Sagt ja schon der Name, daß es "irgendwie" wohl ein Verzeichnis ist :D

...wenn man dann noch weiß, ob man lokale oder servergespeicherte Profile verwendet :D

Aktualisere auf 2012R2...

Ja, ist das gleiche... Dahinter steckt die "Explorer Elevated Unelevated Factory" - läßt sich mit einem Registry-Eingriff ändern, dann startet der Explorer auch als Admin (oder sogar als anderer User). Nur kannst Du die verschiedenen Explorer nicht unterscheiden :D Oder Du startest den Taskmanager, elevatest den (in Win7 - bei W8/2012 macht er das automatisch), schießt den Explorer ab und startest ihn aus dem elevated Taskmanager neu. Dann läuft ALLES als Admin - ist also wie "UAC aus" und daher nicht zu empfehlen. Die eleganteste (und aufwändigste) Lösung ist eine "nachgebaute" eigene Administratoren-Gruppe, die überall dort Vollzugriff hat, wo administriert werden muß. Die läuft dann nicht unter dem restricted Token, sondern ist eine ganz normale Gruppe.

NoScript aktiv? Dann schmeißt der Editor hier tatsächlich die Zeilenumbrüche weg. Ok, BTT :D

"" : es gab mal einen Eintrag im Feld, aber der wurde wieder gelöscht Da würde ich eher sagen "er wurde als Leerstring gesetzt". Wenn man das richtig macht, steht wieder $Null drin (aka "<not set>").

Die Starter-GPOs sind "eigentlich" ein Rohrkrepierer aus der Vista-Einführung und wurden ab W7 durch den GPO-Export aus dem Security Compliance Manager ersetzt. Seltsam, dass so ein Gelumpe prüfungsrelevant sein sollte...

/U definiert NICHT den Benutzer, FÜR dessen Account der RSoP erstellt wird, sondern den Benutzer, MIT dessen Account der RSoP erstellt wird. Du mußt /user verwenden. Und ansonsten siehe Signatur - in "/?" steht das ausführlich drinne... Das kann man eigentlich nicht mehr als Lehrgeld bezeichnen, Edgar. PS: Deaktiviert man in diesem Forum Skripts, dann funktionieren Zeilenumbrüche in Posts nicht mehr. Wo gibt's denn so was?

Das mit den Zeilenumbrüchen greift hier grad um sich... BTT: Erstelle einenn RSoP auf dem PDC-Emulator. Das ist der einzige Computer in Deiner Domäne, der Kennwortrichtlinien aus GPOs anwendet, die mit der Domäne verknüpft sind. Alles andere ist nur Client- und Member-Gedöns. Und in DIESEM RSoP prüfst Du, woher die 60 Tage kommen.

...Zoneneinstellungen per GPP gehen nicht (AFAIK natürlich nur). Und "eigentlich" funktioniert das per ADM-Template recht problemlos. Ich meine mich aber zu erinnern, dass der IE das nicht anzeigen kann, wenn es aus GPOs kommt. Wenns kriegsentscheidend ist, probiere ich das gerne gelegentlich auch mal aus.

1. Repariere mal Deine Eingabetaste - das macht die Posts übersichtlicher... :) 2. Was sagt denn ein icacls? Und Du kennst Dich schon mit UAC, restricted Token und "Deny only" aus? Das Admin-Token ist nur dann zum "Zugriff erlauben" zu gebrauchen, wenn der Prozess elevated läuft. Guck Dir "whoami /groups" in einer normalen und in einer Admin-Commandline an, Du wirst den Unterschied schon finden. 3. Du siehst hier dann auch, wie sich so was liest, wenn keine Zeilenumbrüche drin sind - nicht sehr angenehm.

Und ich ergänze die Frage nach "welcher Schalter"? Ich kenne den jedenfalls nicht...

...eine funktionierende Enter-Taste wäre auch hilfreich, um etwas Struktur in die Postings zu bringen. SCNR...

...net ganz :) Du siehst, wann welche CSE verarbeitet ist. Und wenn "Security" dran ist: DIE sagt Dir auch, welche GPO sie grad verarbeitet. Haben sie vmtl. wegen Dateisystem eingeführt...

Hab ich überlesen... Ok :(

Weiß ich - wollte den TO nicht noch mehr durcheinanderbringen :D

...und wenn Du schon schreibst, dass GPResult auf den Clients fehlerhaft sei: "Fehlerhaft" ist eine echt detaillierte Fehlerbeschreibung... :thumb2: