daabm

Naja - wenn man das Wahrscheinliche als Ursache ausgeschlossen hat, bleibt das Unmögliche übrig :p

Pfffth.... http://www.heise.de/download/truecrypt.html "Betriebssysteme: Windows XP, Vista, 7, 8, Linux, Mac OS X/PPC, Mac OS X/Intel" Noch Fragen?

Na, dann zeig erst mal Deine genauen Umleitungseinstellungen für diesen zweiten Ordner... :cool: Und was alles befindet sich denn so im lokalen Dokumenten-Ordner? Hast Du da evtl. Symlinks/Junctions angelegt?

@TO: Kannst Du am TS sicher ausschließen, daß da noch irgendein Prozess unter dem Useraccount läuft, nachdem der sich "abgemeldet" hat?

20 Clients hinter DSL mit Druckermappings von einem Server? Hast Du hier "Aktualisieren" oder "Ersetzen" eingestellt? Beim Diagnostizieren der GPO-Verarbeitung hilft Dir übrigens http://www.sysprosoft.com/policyreporter.shtml hervorragend weiter :cool:

Hast Du Einstellungen - Extras - Tabs - "Tabvorschauen in Taskleiste anzeigen" aktiviert? Ggf. mal abschalten...

"Gestern ist mein Auto noch angesprungen" :D SCNR...

Du kannst Computer-Richtlinien nicht auf User einschränken. Damit bist Du hier an einem "toten" Ende. Ok, um ehrlich zu sein: Bei manchen geht das. Bei RUP nicht - das Profil muss geladen werden, bevor User-Einstellungen verarbeitet werden, deshalb kommst Du in diesem Sonderfall nicht weiter mit irgendwelchen Tricksereien per GPP Registry (die ja auch in HKLM schreiben können...).

Endungen sind Schall und Rauch - der Browser will HTML, und das kriegt er von dieser URL. Warum die das hintenraus .CMD nennen, mußt Du sie wohl selbst fragen :D

Hm - da gibt es nur eine Antwort darauf: Nein, hast Du nicht. Warum? Wissen wir nicht...

(OT: Euer "Server-Chef" ist ein T****l - Territorialkriege in der eigenen Firma???) http://gpsearch.azurewebsites.net/#320 hast Du aktiviert? Und SID-Filtering auf dem Trust ist deaktiviert? Und warum hängt eine Roaming Profile Regel am Rechner? Das ist idealerweise eine Einstellung des User-Accounts... Wenn Du das per GPO machen willst (was nur auf Computerebene geht, richtig), dann kriegst Du für lokale User natürlich Fehler, also "warum gibt es die überhaupt"? Zum Thema "Loopback Merge": http://support.microsoft.com/kb/953768 kennst Du?

Was genau heißt "per GPO"?

...dann wäre er ja auch schon in einer OU :p

Jepp - Du bekommst den TS genauso in eine OU wie jeden anderen Computer auch: Einfach reinziehen... Und wenn das mit Loopback nicht so funktioniert, wie Du es erwartest: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

Nö, sollte man nicht. Willkommen in der Neuzeit :p A propos: "Ein DC ist immer DNS/DHCP" - das funktioniert erst ab 2012 einigermaßen. Vor allem mit dem DHCP... :rolleyes: Und von AD-integriertem DNS hast Du schon mal gehört? Dein Post klingt nicht danach... :nene:

Um Nils zu ergänzen: Das Modell nennt sich "Single Domain Single Forest" - lieber ein Trust als ein Domain Tree, ist deutlich einfacher :cool:

Bei einem Trust werden NIE Kennwörter synchronisiert. Der "Gag" dabei ist, dass Du den ursprünglichen Account verwendest. Und in allen Umgebungen, die ich kenne (wir haben bei uns etwa 1000 Forests mit etwa 1500 Trusts) klappt das völlig problemlos und transparent. Da ist wohl eher was mit Deinem Trust nicht in Ordnung...

Sagt Dir "Forwarder" schon was? Und Dein Szenario 2 ist eher Unfug - jeder DC ist generell auch DNS, und jeder DC verwaltet die Zone seiner Domain. So einfach ist das.

Zwinge Kerberos, TCP statt UDP zu verwenden. Wenn die Kerberos-Daten nicht in ein einziges Datenpaket passen und per UDP vesendet werden (Standard bis 2048 Byte), dann können die beim Empfänger "out of order" ankommen. Und leider kann Kerberos damit nicht umgehen, obwohl es das eigentlich müßte, wenn es UDP verwsendet. Wenn Du eine Suchmaschine bedienen kannst, reicht das als Info. Wenn nicht, dann sag nochmal Bescheid. :cool:

Da wirst Du hier keine Antworten bekommen (hoffe ich wenigstens...) Abschreiben war noch nie zielführend.

Hmpf... Security Eventlogs der Domain Controller nach Account Lockout prüfen, da steht doch drin, von welchem CLient und wann genau das verursacht wurde. Und dann "Jugend forscht" :cool:

Das ganze ist ja kein NTFS-Problem, sondern ein Problem des Win32-APIs, das diese bescheuerte Beschränkung enthält... Übrigens am einfachsten: robocopy /mov - damit kannst Du den ganzen Baum auf einen USB-Stick oder eine USB-Platte verschieben und DEN/DIE dann hinterher formatieren :cool:

Ja, den legst Du einfach an.

"Gezogen, aber nicht aktiv" - was soll das heißen? Wird laut "gpresult /h report.html" Dein Anmeldeskript ausgeführt oder nicht?

Na, dann musst Du ihm ja eh mindestens schon 2 IPs gegeben haben - dann gib ihm halt noch ein paar weitere :D