daabm

Ja, paßt schon. Feel free and go ahead...  Das mehrfachverwenden ist absolut gängig :cool:

Da Du bei TS i.d.R. nicht ganz so einfach um Loopback rumkommst (ja, es geht auch auf TS ohne, ist aber etwas mehr Arbeit...), lies Dir die zwei drei Artikel bitte durch (wenn Du es nicht eh schon weißt, natürlich):

http://evilgpo.blogspot.com/2012/02/loopback-demystified.html

(oder auf deutsch: http://evilgpo.blogspot.de/2014/01/loopback-was-ist-das-und-warum-ist-es.html)

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

PS: Die Abarbeitung erfolgt von oben nach unten in der OU-Struktur, aber von unten nach oben innerhalb einer OU. Und bei "erzwungen" geht's in der OU-Struktur wieder nach oben. Schön als Tabelle aufbereitet im ersten Blogartikel.

Das heißt, daß bei Euch jemand in den DS-ACLs "aktiv" war... Domain Controller dürfen die DNS-Daten in AD nicht mehr replizieren.

Schalte den alten DC einfach ab und entferne ihn per dsa.msc, dssite.msc, dnsmgmt.msc sowie ntdsutil manuell aus der Domäne. Und dann kümmere Dich um die korrekten DS-ACLs.

Und zur "ursprünglichen" Frage nach dem 13516: Das ist kein Fehler, sondern ein Erfolgsevent :cool:

Ursache unbekannt... Ich kenne das gleiche Problem von Outlook (damals noch 2003, passiert aber auch in neueren Versionen) oder Adobe Reader. Dauerhafte Lösung ohne lästige Diagnose ist immer "Benutzerprofil löschen".

genau das, was du vorgeschlagen hast, diese kleine Änderung meines Skripts, erwarte ich von einem Forum.

Dann hast Du möglicherweise zu hohe Erwartungen - die meisten Foren, die ich kenne, liefern KEINE fertigen Lösungen, sondern nur Hinweise...

Aber wenn es Dich auf die richtige Idee gebracht hat, ist ja alles gut :cool:

(Nein, ich hatte das nicht getestet - war nur so "aus dem Gedächtnis"...)

Hallo Hitsch. Lassen wir den WPP mal außen vor und gehen zurück zur ursprünglichen Frage - "Installation per GPO geht nicht". Meinen Hinweis auf AppMgmt Debug Logging (und ggf. Installer Logging) hast Du bisher nicht beantwortet - warum nicht? Die Kombination dieser beiden Logs liefert bis einschließlich Windows 7 auf jeden Fall Hinweise, was genau schief geht...

Installer Logging: http://gpsearch.azurewebsites.net/#1985 - Parameter "voicewarmup", Logs in %windir%\temp

AppMgmtDebugLogging: http://technet.microsoft.com/library/cc775423.aspx - AppMgmtDebugLevel=0x9b, Logs in %windir%\debug\usermode (wie schon gesagt - geht nur bis Windows 7, in Windows 8 und neuer haben sie's kaputtrepariert...)

Wenn die Switche/Router keine Sicherheitslücken habe, reicht das sicher :D  Haben sie keine? :cool:

@echo off
mode 30,3
color 74
echo.
set /p input=Zeit in Minuten eingeben: %
set /a time=%input%-1
cls
echo Sie haben noch %input%'00 Zeit!
for /l %%x in (%time%,-1,0) do (
    for /l %%y in (59,-1,0) do (
        echo.
        ping localhost -n 2 > nul
        if %%y gtr 9 (
            < nul set /p "=Sie haben noch %%x'%%y" Zeit!"
        ) else (
            < nul set /p "=Sie haben noch %%x'0%%y" Zeit!"
        )
        cls
    )
)

Was für Hilfe erwartest Du denn in einem Forum? Komplettpaket mit Schleifchen und Pampers? Und was ist an der eingefügten echio-Zeile vor der Schkleife und dem Verschieben des ping jetzt so schwer?

Fertig.... mich enttäuscht dass das hier mir sowas nicht angeboten habt. :thumb2:

http://www.dailymotion.com/video/x2ap83_die-arzte-schrei-nach-liebe_music

Ws gefällt Dir an meinem Vorschlag nicht? Eine Komplettlösung mache ich Dir allerdings nicht, ich würde solche Anforderungen entweder umformulieren oder in anderen Sprachen lösen :cool:

Hallo guten Tag,

 ich habe mittels Powershell ein Login Script für einen Terminalserver geschrieben welches abhängig von AD Gruppenmitgliedschaften des Users aktionen ausführt und beim Logon ausgeführt wird. Am Anfang des Scripts lade ich das AD Modul mittels import-module ActiveDirectory.

Das ist schon der erste grundsätzliche Fehler - Du fragst das AD nach Gruppenmitgliedschaften, anstatt das lokale (und bereits gefüllte) TGT auszulesen, in dem alle Gruppenmitgliedschaften enthalten sind... Sowas läuft in größeren Umgebungen unter dem Begriff "DDOS Attack"...

Wie immer Daniel, danke dir für eine ausgezeichnete Erklärung, jetzt werde ich mich daran schmeissen ;-)

Mehr Infos findest Du unter dem Suchbegriff "Domain Name Devolution", wenn ich mich nicht irre... :cool:

Stimme Dunkelmann zu... Syn/Syn-Ack/Fin - da ist der Uplink der Filial-Leitung gut beschäftigt. Und wenn über den dann noch anderer Traffic läuft, dann kommen die RDP-Nutzdaten nicht mehr schnell genug runter, weil der Handshake nicht hochkommt.

Netmon kennst Du?

Manchmal ist "Geduld" die Lösung eines Problems... Eventlogs hast Du überprüft?

Dann findet sich im Eventlog der Eintrag, dass Admin XYZ das Security-Eventlog gelöscht hat. Nachweisen kann man das schon.

Nur der Vollständigkeit halber: Das wäre dann nur mein "TempAdmin"; und dessen Herkunft habe ich gerade verwischt :jau: Ohne zzsätzliches Audting geht es nicht - oder halt mit "Vertrauen ist der Anfang von allem" :cool:

Verstecken und unsichtbar sind 2 verschiedene Dinge.

Da hast Du recht - ok, sie sind versteckt, aber nicht unsichtbar...

Sie sind aber auch unsichtbar wenn du sie kennst. Im englischen aber tatsächlich als hidden bezeichnet.

Nein, unsichtbar sind sie nicht, tatsächlich nur versteckt. NetShareEnum ignoriert das mal ganz gekonnt... http://msdn.microsoft.com/library/windows/bb525387.aspx

Das gehört in die Schublade "security by obscurity" :D

Bau einfach ne Extra-Zeile an, die genau diese eine Ausgabe übernimmt und danach natürlich auch den ping -n 2...

Anders geht das in Batch nicht, wenn Du nich die Zeit erst in Sekunden umrechnen willst, dann nur eine Schleife mit Sekunden verwendest und innerhalb der Schleife dann wieder in mm:ss umrechnest... Würde ich mir sparen :p

 es sind nur max.2 administrative RDP Sessions

angedacht zum administrieren des Servers.

Und genau das lese ich auch im Eingangspost - einen Lizenverstoß muß ich da erst hineininterpretieren... Rest diskutieren wir gerne OT, oder?

solch ein Admin hat meist die Möglichkeit, sich entzogene Berechtigungen wieder zu beschaffen.

Diese Anmerkung muss sein: Er hat diese Möglichkeit nicht "meist", sondern "immer". Punkt.

TakeOwnership ist ein Privileg, das jeder (!) Administrator hat, und man kann es ihm nicht nehmen. Und Security ist ein Privileg, das jeder Eigentümer hat, damit kann der Admin dann (nach TakeOwnership) die ACLs so setzen,we er es gerne hätte. Danach setzt er den Eigentümer dann auf "xyz"  - und wenn kein externes Auditing vorhanden ist, merkt das auch niemand. Und jetzt komme bitte keiner mit "Security Eventlog" - ich lege mir einen neuen "Tempadmin" an und lösche mit dem dann das Security Eventlog... Dieses Wissen scheint sich aber nicht durchzusetzen...

Wenn ein User nicht vertrauenswürdig ist, mache ihn nicht zum Admin. Nochmal Punkt :cool:

Wenn er nun doch drauf zugreift, muss er sich erst die Rechte holen und spätestens dann sollte ihm klar sein, dass er etwas verbotenes tut.

Funktioniert nicht - auch da komme ich mit meinem "TempAdmin" problemlos drum herum...

Ja, die RDP Session darf nur für administrative Zwecke genutzt werden. Ein SBS darf kein Terminalserver sein.

Was auch immer das mit der Frage nach dem Profil zu tun hat... ?!?

Gibt es auf dem SBS 2011 irgend eine lokale Richtlinie, welche dafür verantwortlich ist?

Nein, gibt es nicht. Das war bei servergespeicherten Profilen schon IMMER so (also seit NT Zeiten), daß die erst nach lokal kopiert und dann auch lokal verwendet werden. Google hätte Dir das auch verraten...

Du hast irgendwas mit Mandatory Profiles _oder_ Berechtigungen vermurkst. Per Forum wird Dir da eher nicht geholfen... BTW: Wie lange hast Du gewartet? Mehr als 30 Minuten solltest Du da schon mal investieren... Und dann die Eventlogs kontrollieren.

5 Sekunden Suchmaschine benutzen:

Wir wissen doch schon, daß das immer noch eine große Herausforderung ist :D

SNCR...

1e ist b***d...

# for hex 0x1e / decimal 30 :
  KMODE_EXCEPTION_NOT_HANDLED                                   bugcodes.h     
# Check to be sure you have adequate disk space. If a driver
# is
# identified in the Stop message, disable the driver or check
# with the manufacturer for driver updates. Try changing
# video
# adapters.
# Check with your hardware vendor for any BIOS updates.
# Disable# BIOS memory options such as caching or shadowing. If you
# need
# to use Safe Mode to remove or disable components, restart
# your
# computer, press F8 to select Advanced Startup Options, and
# then
# select Safe Mode.
 

windbg analyze !v wäre wohl das richtige. Aber wenn das nur einmal vorkam: Warum belästigst Du den Rest der Welt überhaupt damit?  :confused:  Niemand weiß, was sich seither an Treibern/DLLs etc. geändert hat... :cool:

Wenn ich bei jedem Bluescreen, den ich auf einem meiner Rechner sehe, einen Thread hier aufmachen würde, dann würde ein Mod mich binnen 2 Wochen bannen...

Ist es nicht völlig schnuppe ob "versteckt" oder "nicht angezeigt" ??

Nein, ist es nicht. "Versteckt" heißt "unsichtbar", und das geht bei Shares nicht. Die heißen auf deutsch nicht umsonst "Freigabe" - Betonung auf "frei" :cool:

Du irrst Dich nicht. Tippfehler im Pfad? Oder falsche ACLs im Namespace?

SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten.

Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine...