daabm

...und ich würd das mit ner Commandline machen :cool:

del "%appdata%\*.log" /f /s /q

 

es gibt mehrere GPOs mit Scripten, diese werden ausgeführt aber ein bestimmtes nicht. Dabei wird das Script nicht mal angepackt (das sehe ich, da ich am Anfang des Scriptes direkt in eine Datei auf dem Share und lokal schreibe)...

 

Aber die GPO wird vom Rechner gezogen, aber das Script halt nicht ausgeführt. Hat jemand ev. eine Idee (An den Berechtigungen liegt es nicht)?

Sicher, daß es nicht an Berechtigungen liegt? Wenn das ein Startskript ist (kein Anmeldeskript): Besorg Dir psexec. dann "psexec -s cmd" - kannst Du Dein Skript in dieser Befehlszeile ausführen?

Full Ack. :)

Danke! 1100 Domänen und Trusts, 110.000 User und Computer, über 100 Standard-GPOs - das Konzept ist prinzipiell egal, nur muß es da sein und eingehalten werden, sonst würden wir untergehen :D Und alle anderen, die keins haben oder es nicht einhalten -> U96 :cool:

Die Komponenten passen ganz sicher zusammen, die haben alle standardisierte Steckverbinder... :D

Ob es was taugt, ist ne ganz andere Frage und hier sicher falsch.

Ja, Daniel - Du hast grundsätzlich Recht. Java und Flash gibt's bei mir nicht mehr, User haben keine Schreibrechte, aber gegen Buffer Overflows kann ich natürlich auch nichts machen. Ich halte die Kombi AppLocker/EMET trotzdem für weit wirkungsvoller als Avast/Symantec - und zwar auch auf lange Sicht.

Drive-by funktioniert ja auch nur, wenn ich das zulasse (bzw. nicht verbiete)- also blocken wir irgendwann noch Downloads und Javascript im Browser. Um uns dann überrascht mit HTML5-Lücken herumzuschlagen :rolleyes:

Bei Pro bleibt Dir nur "Software Restriction Policies" - für AppLocker brauchst Du Enterprise/Ultimate. Gehen tut beides, AppLocker ist "etwas" komfortabler, da er einen "Planning Mode" hat und für Normaluser einfacher zu konfigurieren ist.

Meine Bank VERLANGT beim Online-Banking einen aktuellen Virenschutz, andernfalls behält sie sich vor im Schadensfall keinen Ersatz zu leisten.

Ja, weil die Bank selber

- nicht weiß, daß das nicht hilft

- nicht weiß, daß es SRP/AppLocker gibt und daß Whitelisting der einzige wirksame Schutz ist

Hier seit Jahren aktiv und ohne Probleme - und ich schlafe seither ruhiger, wenn die Familie mir ab und zu Mails mit "Details im Anhang" zeigt :D

Humor stirbt zuletzt :thumb1:

Schick den Supporter mal bei evilgpo.blogspot.com vorbei... Oder direkt bei mir :jau:  Klar ist AGGU überzogen, aber es ist "nachvollziehbar". Du kannst prinzipiell auch auf AGDLP verzichten, aber was machst Du, wenn dann von der Seite mal ein Trust zu einem fremden Forest daherkommt? Unsauber :nene:

Das wichtige daran ist nicht AGDLP, sondern "wenigstens überhaupt ein dokumentiertes und konsequent umgesetzes Konzept".

btw: es muss %USERNAME%  heißen !!

Gottseidank ist bei Umgebungsvariablen Groß/Klein egal =o)

Hi:

 

@echo off
Echo .
Echo Hallo %Username%
Net Use P: \\SIMSERVER04\%Username%

 

 

Es funktioniert nicht.

Ich habe es in einer Gruppenrichtlinie verknüpft aber es funktioniert

trotzdem nicht.

Gruß und Danke

Du meinst "Ich habe es in eine Gruppenrichtlinie eingetragen und diese verknüpft"? Wo verknüpft? Wie genau eingetragen? Was sagt "gpresult /h report.html & report.html" über den Erfolg dieser Aktionen? Was steht ggf. im Eventlog "Group Policy" zu Deiner GPO und zur Ausführung von Anmeldeskripts drin?

...ym2c: "Logonskript im AD beim User" - schau Dir lieber mal GPOs an - da geht das komfortabler. Und IMHO gehören Skripte immer in das lokale Dateisystem des jeweiligen Computers, damit sie nicht übers Netz ausgeführt werden, aber da wollen wir jetzt nicht drüber philosophieren.

...und für NTFS-Berechtigungen geht "icacls" eigentlich ganz gut :cool:  Wenn man sich nicht mit der Syntax von setacl beschäftigen will...

Hm - da kann ich nur "Viel Glück" wünschen... Problem ist wirklich, daß es bei "Multi Komponenten Changes" schwer ist, Verantwortliche oder auch nur Zuständige oder wenigstens Hilfsfähige zu finden...

Warum? Stimmt doch :jau: SCNR... Ja ich weiß schon, mein Chef hasst mich auch manchmal dafür...

Welches OS hat denn der "bestimmte Computer"? Wenn das nicht Windows 8 ist, sollte Dir das AppMgmtDebugLog helfen...

http://technet.microsoft.com/en-us/library/cc775423%28v=ws.10%29.aspx

(In Windows 8 und neuer ist das leider kaputt und protokolliert nichts mehr...)

Du fragst manchmal einfach komische Fragen :cool:

Ja, natürlich - weil es die einzige anständige Lösung ist, wenn es um saubere Delegation mit einem Rollenmodell geht. Und weil es Forest-übergreifend funktioniert. Und falls es für Dich relevant ist: Es gibt auch noch AGGUDLP...

Da ist ja das Problem, wir bekommen eine neue EDV, stellen gleichzeitig unser Warenwirtschaftssystem um,

 

[...].

Saublöde Idee, sorry.... Alles auf einmal, und wenn hinterher eine Komponente nicht mehr funktioniert, schiebt jeder Beteiligte die Schuld auf einen anderen. In dem Boot wollte ich nicht sitzen...

ich habe die globalen Sicherheitsgruppen nun nach Standorten getrennt in verschiedene OUs abgelegt.Nun habe ich das Problem : Wo sammele ich die Domänenlokalen Sicherheitsgruppen am besten ?

Wo Du Gruppen sammelst, ist völlig egal, wenn kein Exchange im Spiel ist... GPOs wirken nicht auf Gruppen, und wenn Du keine Berechtigungen delegieren mußt, dann erstelle einen Container "Sinnlose Gruppen" und steck sie da rein :D

So isses... Meine Lieblingsartikel dazu:

http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

Sollte jeder mal gelesen haben. Vor allem die Empfehlung von Kim:

Recommendations for using loopback

[...]

1. Don't use loopback  :-)

Wenn er nur "mal reinschauen" soll: Entweder wie schon geschrieben "exportieren" oder für alle einen HTML-Report erstellen und den weitergeben. Geht mit Powershell recht einfach... (Müßte jetzt selber suchen, aber Du kannst G***e und B***g sicher auch bedienen :p )

Aber wenn das mit der Unterstützung wirklich funktionieren soll, reicht "Lesen" ohnehin nicht aus - entweder Ihr habt Vertrauen, oder Ihr habt keines...

Er meint "Kuchen essen und behalten"... Die Vorteile einer Domäne ohne die Kosten der DCs dazu... :cool:

""Verbindungsspezifisches DNS-Suffix: fritz.box" - da ist noch Raum für Verbesserungen... Und die Serverseite fehlt leider. Geht ein Ping auf den Server- und (!) auf den Domänennamen vom Client aus?

Naja, soviel Aufmerksamkeit setze ich voraus, dass der TO merkt, daß ich .BAT durch .CMD ersetzt habe :cool:  Das Prinzip ist ja das selbe...

Mehrere DCs? KDC-Kennwörter out of sync?

Was meinst Du genau mit "werden verschoben"? Gruppenmitgliedschaften habe nix mit OU-Pfaden (aka "Distinguished Name") zu tun, und nur bei den DNs kann man "verschieben". Ein Screenshot wäre ggf. hilfreich :)