daabm

Zum Thema Ping fehlt mir noch eine Aussage: Ping auf IP oder Ping auf Netbios-Name oder Ping auf FQDN? Ping auf Netbios-Name ist schwierig, da die DNS-Suffixe von Client und Server unterschiedlich sind... Und wie sieht's mit Firewalls aus?

Skript per GPO? Warum startest Du da nicht die 123.exe direkt als Logonskript und versiehst statt Deiner "obskuren" ( :cool: ) Abfrage dann die GPO mit einem WMI-Filter ala select * from Win32_OperatingSystem where BuildLevel=2600 ? Und Du hast auf dem betroffenen Client hoffentlich einen RSoP erstellt und geprüft, daß Deine GPO für den aktuellen User auf diesem Client überhaupt angewendet wurde? @Sunny: Im Eventlog findet sich in dem Fall tatsächlich "nichts", wenn er nicht den Pfad falsch angegeben hat. Und UNC-Pfad braucht er eigentlich auch nicht, wenn http://gpsearch.azurewebsites.net/#7978nicht aktiviert wurde (was ich allerdings immer empfehle :thumb1: ).

Hätte Hannelore ein 14stelliges Kennwort verwenden müssen, dann wäre es "Hildegard2Grundgeiger" geworden, oder? Dagegen hilft nix :cool: Ist lang genug, ist komplex (Hildegard2 übrigens auch - Du erinnerst Dich? 3 von 4 - groß/klein/zahl/sonderzeichen - was soll daran komplex sein?) - Kennwörter sind irgendwie halt für'n A***** :D

Der Key ändert sich nicht. Und es geht sogar noch einfacher: http://gpsearch.azurewebsites.net/#2141(Suche einfach nach "Netzschalter"). Hier findest Du die Registrierungswerte, die eine GPO setzen würde. Die kannst Du auch per Skript (im System- oder Adminkontext) setzen. Hätte den Vorteil, daß der heiß geliebte User es nicht mehr ändern kann...

Dann stimmt bei Dir irgendwas mit der Rechtevererbung nicht (mehr)...

Crosspost in Technet - darauf solltest Du hinweisen... Und nachdem im Technet die Info fehlt, daß Du den Desktop umgeleitet hast: Netzwerktrace schon gemacht?

Steht doch schon 2 Posts weiter oben... MS Press deutsch gibt es nicht mehr.

"Kennwörter regelmäßig ändern" - nö, das wollt Ihr nicht. Ihr wollt die Kennwörter selten ändern, aber sie müssen LAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAng sein... Ansonsten wäre ein Blick auf Office365 und vor allem InTune mal einen Blick wert - InTune soll wohl in die Enterprise-Pläne von O365 aufgenommen werden.

Dann setze mal den Offline-Cache zurück... "FormatDatabase" ist Dein Suchbegriff :D

Sunny hat Recht - Startskript ist das Mittel der Wahl. Und wenn es UNBEDINGT Group Policy Preferences sein müssen: Zielgruppenadressierung. Irgendwo in der Registrierung steht ja das Programmverzeichnis von VLC...

Im Nachhinein? Nein, natürlich nicht :cool: Und "ab Werk" ist das auch nicht aktivert. Lies Dich einfach mal ein in Audit Policies - Suchmaschinen geben genug dazu her. Ein Einstige wäre "Getting the effective Audit Policy site:microsoft.com"...

Geht viel einfacher... Leite den Desktop um (GPO "Ordnerumleitung") und gib dem User nur Leserechte auf dem Remotepfad. Dann kannst Du auch alle User auf den gleichen Pfad umleiten.

Ok, aber das hatte ich auch nicht erwartet :cool: Ich würde jetzt auf Server- und auf Clientseite einen Trace machen (Netmon/Wireshark). Aber das wird definitiv mühsam...

Auditing aktivieren, Prozessnachverfolgung. Aber das sind dann VIELE Events - SEHR VIELE :cool:

Hmpf... SO macht man es eben NICHT... http://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png Da sollte in einer idealen Welt genau EINE Gruppe für Schreibzugriff und EINE Gruppe für Lesezugriff drinstehen - mehr nicht. Vor allem, nachdem "Domänen-Benutzer" hier ja EH schon Leserechte haben. Ganz ideal wird es nie sein, aber so wie bei Dir sollte es nicht aussehen.

...wie auch immer Dir das passieren konnte...

Jepp - sogar noch wichtiger als DNS :cool: Das kann ich mit etc/hosts auch erschlagen :D

Nee, ist an der gleichen Stelle, heißt nur anders... http://gpsearch.azurewebsites.net/#1842

Oops - schwerer Fall von mentaler Verwürfelung :-) Ganz blöde Frage: Was bitte ist ein "öffentliches Zertifikat"? Und die Frage nach Zwischen-CAs ist gerechtfertigt - nur die Browser holen die automatisch von den jeweiligen Webservern (sofern diese korrekt konfiguriert sind) - für alle anderen Zwecke mußt Du die Zwischen-CAs manuell importieren.

Auch wenn schon erledigt: Wenn ich so was lese, muß ich immer ein wenig grinsen... Wieviel Zeit (und damit auch Geld) hast Du und ggf. noch Kollegen bisher investiert? :cool:

Jepp, check Option 003 (Router), 006 (DNS-Server) und 015 (Domänenname), die sollten schon stimmen, damit das was wird :cool: So wie Du schreibst, hast Du nicht nur DNS nicht drin, sondern vor allem den Router nicht.

Das geht nicht per GPO.

Die O-Admins (wie auch die Schema-Admins) gibt es immer nur in der Forest Root Domain. Und da das eine globale Gruppe ist, kannst Du keine Mitglieder aus anderen Domänen hinzufügen... Also melde Dich in Deiner Root-Domäne mit einem User an, der Mitglied der Org-Admins ist.

Ein self signed cert ist keine Stammzertifizierungsstelle... Das muß irgendwo bei trusted publishers oder trusted people oder so rein. Wenn ich raten soll: trusted publishers :cool:

Da ist möglicherweise eine gemeinsam genutzte Komponente oder DLL im Spiel... Aber das kriegst per Forumsupport nicht raus.