daabm

dreswi, kennst Du schon das code-Tag? Und ansonsten: Deinem "Skript" (es ist kein Skript, es ist "nur" ein Batch ) mangelt es vollständig an Logging... Wenn Du das als Batch lassen willst, dann beschäftige Dich mal mit >> und 2>&1 und dem "trivialen" echo %date% %time%>>Logdatei.txt Ansonsten erinnern mich die Kommentare darin stark an eine Vorlage von irgendwo (gruppenrichtlinien.de?), die ich in menen Trainings gerne als Beispiel für schlechte Anmeldeskripts verwendet habe. Nix für ungut... Noch ein paar praktische Hinweise: Die ganzen REM-Zeilen ohne Inhalt können raus. Jede Zeile verursacht Laufzeitverlängerungen, die bei CMDs erheblich sind, wenn sie über langsamen Verbindungen ausgeführt werden. Du rufst con2prt (und anderes) immer von einem UNC-Pfad auf. Extrem suboptimal... %logonserver% kann ggf. auch mal auf einen "ungünstigen" Server zeigen. DFSN wäre die zeitgemäße Alternative. Statt goto :Ende kannst Du jederzeit und überall goto :EOF verwenden, dann brauchst Du erstens kein Label mehr und zweitens muß das Batch-Processing nicht mehr nach dem Label suchen. Sorry, ich weiß, daß das jetzt für Dich hart klingt, aber das Skript ist in meinen Augen schlecht geschrieben und hat in dieser Form heutzutage keine Daseinsberechtigung mehr... Entweder VBS/PS1 oder intensiv mit den Möglchkeiten von Batch beschäftigen, die es durchaus gibt.

...doch, es spuckt eine Hilfe aus :cool: BTW: Anmeldeskripts bei Benutzern mit Adminstrator-Zugehörigkeit laufen mit dem elevated Token, also tatsächlich als Admin. Ist auch immer wieder ein lustiger "Nicht-Fehler", wenn der Admin per Anmeldeskript Netzlaufwerke verbinden will und von EnableLinkedConnections noch nichts gehört hat. Aber das gehört jetzt nicht hierher, wir bewegen uns momentan noch auf einer anderen Ebene.

Na, wenn ich ein Class B hätte, dann würde ich nicht mehr arbeiten :D :D :D

Ich wiederhol mich ja gerne... Hat schon mal jemand das Security Eventlog dieses Servers analysiert? Geht völlig schmerzfrei im laufenden Betrieb.

Nemix, das geht eh nicht. Stichwort "Forest Root Domain"... Neu machen - ggf. mit Trust - kann eine Möglichkeit sein, aber dann muß der TO (oder sein "direkter Kollege") auch bereit sein, alte Zöpfe abzuschneiden. Und nach den bisherigen Äußerungen hier habe ich daran extreme Zweifel. Und dann bleibt nur "Schaufel nehmen und ausmisten" :D

...und wenn es "Enterprise" werden soll, gibt es Lösungen wie CyberArk.

Ist dieses Zertifikat als "exportierbar" markiert? Ich vermute "nein"...

Ich würde folgendes machen: 1. CSE "Skripts" deaktivieren - taucht das Problem noch auf? 2. Wenn nein: Eine GPO nach der anderen deaktivieren ("Übernehmen" verweigern für Testaccount) 3. Wenn ja: Process Monitor Bootlog... Aber dann wird's mühsam Oder Du springst über Deinen Schatten und zeigst einfach mal alle Skripts, die in Frage kommen

Meinst Du den Effekt von "Pos1"? Dann hast Du vmtl. irgendwas "Nützliches" installiert...

Poste bitte mal den Output von icacls zu dem betreffenden Ordner...

Du brauchst NAT, wenn das was werden soll... Niemand hängt Clients direkt mit ner öffentlchen IP ins Internet, viel zu teuer :cool: Und dann ist selbstredend der Server auch DHCP-Server. Und natürlich DNS.

Unter 8.1 reicht es NICHT mehr, das Profilverzeichnis und den Key aus ProfileList zu löschen. Das hängt mit dem AppX-Gedöns zusammen - die einzige mir derzeit bekannte Methode ist tatsächlich die interaktive über die Computereigenschaften...

Hast Du Anmeldeskripts in Gruppenrichtlinien definiert? Wie lange hast Du nach dem Erscheinen des schwarzen Bildschirms mal gewartet?

Wie wär's mal mit dem Security-Eventlog dieses "umgezogenen" Servers???

ROOT sind Stamm-CAs - Du suchst ne Sub-CA, da müßte "root" durch "ca" ersetzt werden. So ist das zumindest mit certutil und dem lokalen Store...

Das mit dem Esel kann ich unterschreiben. Und leider auch aus eigener Erfahrung :D Was ich damit meine? "Irgendwo" muß sich GPP ja merken, was es gemacht hat, damit es das wieder rückgängig machen kann -> "GPP History files".

Ganz blöde Frage - Du kennst grüne und rote Linien und die Tasten F5/F6/F7/F8 in dem Zusammenhang? In Deinem Screenshot oben steht nämlich auch drin disabled="1", und das heißt "rote Linie" = "deaktiviert"... Edit: Natürlich meinte ich max und nicht min :D Wird es in dem Fall aber nicht -> disabled="1" :D Und wenn Du "entfernen, wenn nicht mehr angewendet" aktivierst, dann landet das zu großen Teilen auf der lokale Platte. Aber das führt jetzt über die Einstiegsfrage hinaus :cool:

Weil die Null immer das Netz selber ist. Das gilt auch für Subnetze.

Schließe mich Norbert an - Windows-VPN oder Drittsoftware?

Ich auch... '67... :thumb1: Wenn man der Jugend dann mal erklären kann, warum "Stapelverarbeitungsdatei" eigentlich so heißt :D

Nils, da hast Du teilweise recht :cool: Ich will ja nicht aus Versehen das Gateway erwischen...

Wenn er andere Benutzer "kicken" kann (Du meinst wohl "abmelden"), dann ist er lokaler Administrator. Und dann kannst Du das nicht wirksam unterbinden - ein Admin ist ein Admin ist ein Admin...

Korrektur: wmic läuft mit Standardbenutzerrechten seit Vista problemlos. for /f "delims=:" %i in ('ipconfig ^| find /i "ipv4" ^| find /i "10.220"' ) do set IP=%j & set ip=%ip: =% Geht in deutsch und englisch und liefert in %IP% die gefundene IP-Adresse ohne Leerzeichen zurück. Für Batchverwendung dann bitte %%i und %%j statt %i und %j. wmic wäre zwar auch elegant, wird aber kompliziert, wenn man erst noch die IPv6-Adresse herausoperieren muß, die ja vorne oder hinten stehen kann. Oder auch ganz fehlt :cool:

Das sorgt nur dafür, daß Du hinterher einen Namen hast, der definitiv KEINE Anführungszeichen hat. Die kannst Du dann nach Bedarf und unbesorgt wieder hinzufügen... Ich hab das in 20 Jahren noch nie gebraucht :cool: %~dp0 dagegen in jedem Batch.

@tesso: Kann schon mal passieren in der Jugend :D Aber dafür sind dann ja wir Grufties da :cool: