daabm

Wie wär's mal mit dem Security-Eventlog dieses "umgezogenen" Servers???

ROOT sind Stamm-CAs - Du suchst ne Sub-CA, da müßte "root" durch "ca" ersetzt werden. So ist das zumindest mit certutil und dem lokalen Store...

Das mit dem Esel kann ich unterschreiben. Und leider auch aus eigener Erfahrung :D Was ich damit meine? "Irgendwo" muß sich GPP ja merken, was es gemacht hat, damit es das wieder rückgängig machen kann -> "GPP History files".

Ganz blöde Frage - Du kennst grüne und rote Linien und die Tasten F5/F6/F7/F8 in dem Zusammenhang? In Deinem Screenshot oben steht nämlich auch drin disabled="1", und das heißt "rote Linie" = "deaktiviert"... Edit: Natürlich meinte ich max und nicht min :D Wird es in dem Fall aber nicht -> disabled="1" :D Und wenn Du "entfernen, wenn nicht mehr angewendet" aktivierst, dann landet das zu großen Teilen auf der lokale Platte. Aber das führt jetzt über die Einstiegsfrage hinaus :cool:

Weil die Null immer das Netz selber ist. Das gilt auch für Subnetze.

Schließe mich Norbert an - Windows-VPN oder Drittsoftware?

Ich auch... '67... :thumb1: Wenn man der Jugend dann mal erklären kann, warum "Stapelverarbeitungsdatei" eigentlich so heißt :D

Nils, da hast Du teilweise recht :cool: Ich will ja nicht aus Versehen das Gateway erwischen...

Wenn er andere Benutzer "kicken" kann (Du meinst wohl "abmelden"), dann ist er lokaler Administrator. Und dann kannst Du das nicht wirksam unterbinden - ein Admin ist ein Admin ist ein Admin...

Korrektur: wmic läuft mit Standardbenutzerrechten seit Vista problemlos. for /f "delims=:" %i in ('ipconfig ^| find /i "ipv4" ^| find /i "10.220"' ) do set IP=%j & set ip=%ip: =% Geht in deutsch und englisch und liefert in %IP% die gefundene IP-Adresse ohne Leerzeichen zurück. Für Batchverwendung dann bitte %%i und %%j statt %i und %j. wmic wäre zwar auch elegant, wird aber kompliziert, wenn man erst noch die IPv6-Adresse herausoperieren muß, die ja vorne oder hinten stehen kann. Oder auch ganz fehlt :cool:

Das sorgt nur dafür, daß Du hinterher einen Namen hast, der definitiv KEINE Anführungszeichen hat. Die kannst Du dann nach Bedarf und unbesorgt wieder hinzufügen... Ich hab das in 20 Jahren noch nie gebraucht :cool: %~dp0 dagegen in jedem Batch.

@tesso: Kann schon mal passieren in der Jugend :D Aber dafür sind dann ja wir Grufties da :cool:

Was willst Du damit realisieren???

Edit XML... filterfile version min="99.0.0.0". Oder mach es auf einem 8.1 / 2012 R2 System.

Wette gewonnen... http://www.mcseboard.de/topic/200038-server-2008-kann-auf-keine-server-verbinden/?do=findComment&comment=1246123

Ich würde Win32_Battery empfehlen - die anderen sind zu unzuverlässig, siehe NUC etc... Nur klappt das in Deinem Fall NICHT, weil Du WMI-Filter nicht invertieren kannst - und Du wilst ja gerade alle Computer finden, die eben KEINE Batterie haben :cool: Aber es gibt natürlich auch dafür einen Workaround http://evilgpo.blogspot.de/2012/05/inverting-wmi-filters.html @Tesso: Win32_Battery liefert in dem Fall keine Instanz zurück, folglich kannst Du auch keine Properties auswerten... "select * from win32_battery" ist als Erkennungmerkmal für Laptops ausreichend.

4 Jahre alt... :confused: Besser Du machst einen neuen Thread auf. Und beschreibst dann auch Dein Problem etwas ausführlicher... :cool:

Kurzer Nachtrag in eigener Sache: Wir haben das beim Buchschreiben nicht gemerkt, weil wir nicht wirklich JEDE Funktion auf JEDEM OS verifiziert haben - ist leider erst hinterher aufgefallen, dass es für bereits vorhandene Zuordnungen NICHT geht, für neue geht es ja (das hab ich ausprobiert mit Endungen wie .bak oder .log....) Manchmal hat man halt Pech :cool:

Der Thread ist über 2 Jahre alt - besser, Du machst Deinen eigenen auf :cool:

"Warten" heißt, daß Du vor Anmeldung bzw. Desktop WARTEST, bis GPP Files fertig ist. Egal wie lange es dauert... Kann sehr unerfreulich für die Mitarbeiter sein... Und das mit "Aktualisieren" bezieht sich NUR auf die drei Haken, die Du darunter setzen kannst. Es hat NICHTS mit Änderungen an den Quelldateien zu tun. Nochmal und zum letzten Mal: Laß es bleiben, nimm ne Batchdatei mit Robocopy. Oder mach es, wie es Dir lieber ist. Sag dann aber nicht, Dich hätte niemand gewarnt :D

Doch. ntuser.dat aller Profile mounten und die ACLs der Keys ändern... Schrott, stimmt :D

Nein, die hängen sich nicht "fest"... hast Du ein Sysvol-Replikationsproblem? Was sagt "gpupdate /force"?

Zeit out of sync ist tödlich. Wenn das mehr als 5 Minuten sind, verweigert der DC die Ausstellung des TGT... Und dann ist der PC zwar "eigentlich" noch in der Domäne, aber da weder der PC noch der User ein TGT bekommen, können sie auch nirgends zugreifen. Konfiguriere Deine Zeitdienste richtig, und Du bist dieses Problem los...

Hm - Du könntest es im Hintergrundbild verankern :D Aber wissende Anwender sind sicher einfacher und eleganter....

MTU, stimmt - und Kerberos (UDP) über VPN -> MaxPacketSize anpassen, damit TCP verwendet wird. Gibt da über VPN das Problem, wenn die Kerberos-Pakete nicht mehr in ein UDP-Paket passen, aber noch kleiner als 2k sind (dann würde automatisch TCP) verwendet werden - dann kommen die 2 Pakete gerne out of order am Server an und das geht schief. Ansonsten sollte die Firewall dns, kerberos, kpasswd, ldap/ldaps, gc, NBT und SMB durchlassen. Eigentlich sollte sie alles durchlassen :D