daabm

Nicht ganz - Du mußt "irgendwie" dafür sorgen, dass der User nichts ausführen kann, womit er es ändern kann. Das kann AppLocker sein (nur zugelassene Exen und Skripts), das kann aber auch - wie Sunny sagt und VIIEEL einfacher - per GPO - Administrative Vorlagen! - geschenhen. Group Policy Preferences helfen hier NICHT.

err.exe oder winerror.exe liefern Meldungstexte für .soche Fehlercodes, aber 0x80070000 ist keiner, den die kennen. Und ein regulärer Shutdown ist halt ein Shutdown...

Das hab ich doch heute schon mal woanders gelesen, oder? Wäre nett, wenn Du auf Crosspostings hinweisen würdest - hier sind häufig die gleichen User unterwegs wie in den Technet-Foren...

mklink /? - klappt mit Google Earth und Picasa prima. Vergiss das ganze Subst und sonstige Zeug :cool:

Was ist ausgeschaltet, was ist eingeschaltet? Was steht in den DFS- und AD Eventlogs? Fehlermeldungen im Wortlaut?

Wenn Du mit DFS-Links die Namespaces meinst: Für alles und jedes - alle Freigaben werden über DFS-N verbunden, damit die verd****ten Servernamen aus den UNC-Pfaden verschwinden und ich nur eine zentrale Stelle habe, an der ich mich darum kümmern muß. Keine Skripte mehr, keine Laufwerkzuordnungen, keine Ordnerumleitung, kein gar nichts, in dem noch ein Servername auftaucht. So einfach kann die Welt sein :cool:

Geht IMHO auch nur mit servergespeicherten Profilen - egal was Du versuchst :-) MIr ist keine Methode bekannt, das mit einem Standalone-Rechner sinnvoll umzusetzen.

Ja, aber der Boardname verrät Dir auch die Zielgruppe... :cool: Wenn nicht, dann bist Du hier wirklich falsch aufgehoben, und nicht gleich böse sein...

Wenn Du die Setie deaktivierst, kommt der User da halt nimmer hin. Die Haken, die er gesetzt hatte, bleiben erhalten, wenn Du die nicht anderweitig übersteuerst... Und wenn der User mit regedit/reg import oder Skripts zurecht kommt, dann kann er das natürlich auch immer noch anders konfigurieren, wenn Du da nicht auch anderweitig gegensteuerst - GPP (Sunnys Vorschlag) sind da keine Lösung, da müßtest Du echte Policies verwenden (da hat der User keine Schreibrechte).

Die Systemsicherung kannst Du Dir in dem Fall eigentlich sparen, aber ok - doppelt hält besser...

Das ist das Problem des TO - er sucht die "best Mögliche Lösung", und die gibt es schlicht und einfach nicht :cool: :cool: :cool:

Ist das eine Privatumgebung von Dir, oder hängen da produktive Arbeitsplätze dran? Wenn zweiteres: Besorge Dir Unterstützung. Wenn ersteres: Besorge Dir ADExplorer von Sysinternals.

...ich meinte den DFSN-Betriebsmodus, nicht die Sysvol-Replikation :D

Ja, sonst würde ich das ja nicht empfehlen. Du bräuchtest nur noch genau EIN Mapping, das eine Variable enthält. Und der inhalt dieser Variablen wird zur Laufzeit per Zielgruppenadressierung aus einem AD-Attribut gefüttert. Ich hab mal ein Buch über GPOs geschrieben, und da gibt's ein Beispiel zu Ordnerumleitung und eines zu "msds-PrimaryComputer auf älteren Betriebssystemen"; da verwende ich genau das. Funktioniert prima, wenn man ein klein wenig LDAP spricht - selfadsi hilft ggf. dabei :cool: Und Norbert hat recht - wozu 100 Shares , wenn ein share mit 100 Unterordnern reicht?

Da war auch noch was mit DFS-N/R, wenn ich mich recht erinnere (aber das kann täuschen...)

Yepp - wenn R: ein Mapping ist, dann klappt das natürlich nicht in einem Task... :cool:

ERROR_BAD_NETPATH winerror.h # The network path was not found. 2 A-Records, Round Robin macht den Rest .Ich wäre bereit, darauf zu wetten :rolleyes:

Gilt nimmer seit 208R2... Wurde gefixt :cool: Mal ne ganz andere Idee... .Schreib in adminDescription den Pfad rein und mappe per GPP mit Zielgruppenadressierung "LDAP-Abfrage" auf dieses Attribut. Geht recht einfach, und wenn Du ein gutes IDM drüber hast, sollte das dieses Attribut füttern können. Kannst auch irgendein anderes nehmen - wenn die XCH-Schemaerweiterungen da sind, gibt's genügend freie Attribute :cool:

Nein, gibt es nicht. Es gibt nur "letzer Benutzer" oder eben nicht.

RDP hätte den großen Vorteil, dass die User-Session lokal auf dem Server liegt - VPN-Probleme trennen dann zwar die Session, schießen aber keine offenen Datenbanken ab, denn die Session selbst läuft ja weiter :cool: Also erst VPN-Tunnel herstellen, und dann per RDP auf den Server zugreifen. Und wie left schon sagt: Lizenzen nicht vergessen... Edit sagt: 256 kBit reichen für RDP aus, wenn Du Auflösung und Farbtiefe sinnvoll runterdrehst. Bei 16 MBit geht auch Dualmonitor 3200x1200 bei 24 Bit Farbtiefe flüssig.

Um die Frage des TO mal zu beantworten: Nein, Ordnerumleitung ist keine Lösung. Ein "schmutziger" Trick wäre ein Symlink auf einen UNC-Pfad.

Sunny, warum so kompliziert? :cool: sc \\server start dienstname

Daniel, meinst Du "lastLogon" und "lastLogonTimestamp"? Der eine ist "pro DC", der andere wird repliziert - aber nur alle paar Tage mal, taugt also nur begrenzt für exakte Analysen. Gibt auch nen Technet-Artikel und ich glaub auch nen Blogbeitrag bei AskDS dazu. Wenn Du was anderes meinst, müßtest Du das mal genauer formulieren :p

Ist nicht böse gemeint, aber z.B. bei Microsoft Technet gibt es Hunderte und Aberhunderte von Tutorials, Anleitungen und Einsteiger-Dokus. Da solltest Du erst mal durch und dann mit konkreten Fragen wieder melden. Und das ist auch nur _meine_ Meinung, das steht nicht für die anderen, die sich hier beteiligen :cool:

Nils hat technishc recht - ich würde allerdings noch empfehlen, nicht die DDCP zu bearbeiten, sondern eine eigene "DC GPO" zu erstellen und darüber zu verlinken. Hätte den Vorteil, daß dcgpofix noch uneingeschränkt verwendbar ist und alle Anwendungsinstallationen, die mit der DDCP hantieren, keine Probleme verursachen.