daabm

AD-Replikation funktioniert??? Einfache Prüfung: Ändere alle 3 GPOs, dann ändert sich auch die Versionsnummer. Im GPResult steht die "angewendete" Versionsnummer drin - sind die identisch? Die Default DOmain Policy enthält eigentlich nur COmputereinstellungen, ein User sollte die also gar nie bekommen - klapp den Abschnitt aus, dann siehst Du, warum sie nicht angewendet wird.

Was sagt denn ein "gpresult /h report.html & report.html" auf dem Server über ausgeführte Anmeldeskripts? Habt Ihr möglicherweise auf den Servern Loopback Replace aktiviert? http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

Spanning Tree solltest Du ja auch nicht abschalten :) Aber Fastlink (bzw. "Portfast") sollte eingeschaltet werden - und zwar überall. Ein halbwegs aktueller Computer wird immer die IP erneuern wollen, bevor sonst Spanning Tree Detection fertig ist, und damit kriegt der PC zwar "link up", aber "no network"...

Was genau bitte heißt "Mitglieder zu der Gruppe hinzufügen"??? Willst Du aus dem Object Picker der REstricted Groups erst eine Gruppe auswählen und der dann gleich noch Mitglieder hinzufügen? Eine vollständige (!!!) Vorgehensbeschreibung Deinerseits würde da sicher helfen - ggf per PSR...

Daniel, Du hast natürlich Recht - Asche auf mein Haupt :( Hab glatt übersehen, WAS die FW inzwischen ja alles kann...

Die ipconfig vom Client ist falsch - das ist das gleiche wie bei DC...

LUX = Lichtstärke... Was auch immer ein Chipleser mit Helligkeit zu tun hat?!?

Nix "Doppelklick im Explorer" - mach ne Commandline auf und rufe es von dort aus auf. Ggf. entferne die ganzen >nul 2>&2 und das @echo off am Anfang...

Ooops - hab ich glatt überlesen. Daniel hat's aber auch eigenartig formuliert :)

@kkap: Suchmaschinen kennst Du aber schon, oder? https://www.google.de/search?q=active+directory+printer+pruning

Gemanagtes Netzwerk mit Switches? Dann frag die Netzer mal nach "Portfast" bzw. "Spanning Tree Detection"...

Welches Zielverzeichnis hast Du für Deine Verknüpfung angegeben???

...wenn Du uns hier schon diese "entsprechende OU" gesagt hättest, dann... ...hättest Du das quasi "sofort" als Hinweis bekommen :cool:

Ist auf Deinem Computer "NTLMv2 only" aktiviert? Viele bilige NASe können nur LM bzw. NTLM (ohne v2)... Möglicherweise kommt noch dazu, dass SMB-Signing erzwungen wird, und dann ist das NAS raus, weil es das nicht kann. @Daniel: An einer Firewall-Regel liegt das ganz sicher nicht...

Na, dann poste mal die Bildschirmausgabe bei manuellem Aufruf... Dazu hängst Du an den Batch einfach "| clip 2>&1" an, dann landet das in der Zwischenablage und Du kannst es hier einfügen.

Eine OU ist ein Containerelement in Active Directory, dessen Primärfunktion ist "Organisieren des Active Directory". Eine Gruppe ist ein Containerelement, dessen Primärfunktion ist "Steuern von Zugriffsrechten auf Ressourcen".

Das mit "IP geht, Name geht nicht" deutet auf ein Kerberos-/SPN-Problem hin... Und ggf. würde ich jetzt mal Process Monitor am Client und am Server anwerfen, Filter auf "path contains", hier das übergeordnete Verzeichnis angeben. Und dann geht die Sucherei los :cool:

Die OU kann keine Rechte haben. Das geht nur für Gruppen - die können Rechte haben. AUF die OU kannst Du GRUPPEN berechtigen :)

...Ausfallsicherheit, Verfügbarkeit.

Dann schon :shock:

Netzwerkfreigaben für Admins gehen nicht. Der Explorer läuft immer mit dem restricted Token (wenn Du nicht an der elevated/unelevated Factory rumgespielt hast), und dann fehlt die Administratorengruppe... (Genauso natürlich die Dom-Admins)

Das mit den Profilen wird nix werden... ADMT fällt flach, da die alte DOmäne nicht mehr existiert. Und neuer User in neuer Domänen heißt neue SID - dann stimmen nicht nur die Berechtigungen (ACLs) in den Profilverzeichnissen nicht mehr, sondern - viel schwieriger - auch die ACLs in der Registry (ntuser.dat, HKCU) sind falsch. Und die kriegt man nicht mal eben so einfach gradgezogen :D Ich würde den letzten Gedanken von Nils empfehlen - übernehmen, was für die User lebenswichtig ist, den Rest mach neu.

Na, dann bauen wir doch erst mal Deinen Batch um... @Nils: Ich mag Batch auch :thumb1: Deine Version: @Echo off net use * /delete /yes net use g: /d net use g: \\R1.xxxxx.local\User\%username% net use k: /d net use k: \\R1.xxxxx.local\Daten net use o: /d net use o: \\R56.xxxxx.local\Prog net use v: /d net use v: \\R44.xxxxx.local\Anwendung exit Meine Version: @Echo off REM Erst mal alles trennen, was wir nicht haben wollen... Und NUR das: For %%D in (D E F H I J L M N P Q R S T U W X Z) Do net use %%D: /d /y >nul 2>&1 REM Laufwerke persistent mappen, damit sie bei der nächsten Anmeldung gleich da sind: net use /p:yes REM Jetzt die gültigen Laufwerke verbinden: Call :CheckDrive G \\R1.xxxxx.local\User\%username% Call :CheckDrive K \\R1.xxxxx.local\Daten Call :CheckDrive O \\R56.xxxxx.local\Prog Call :CheckDrive V \\R44.xxxxx.local\Anwendung Goto :EOF :CheckDrive Set CurrDrive=%1 Set CurrPath=%2 REM Wenn das Laufwerk schon verbunden ist und der Pfad zum Laufwerk gehört, nichts machen (Goto :EOF), sonst trennen... net use %CurrDrive%: | find /i "%currpath%" >nul 2>&1 && Goto :EOF || net use %CurrDrive%: /d /y >nul 2>&1 REM Neu verbinden: net use %CurrDrive%: %CurrPath% Goto :EOF Vorteil: Laufwerke, die stimmen, werden nicht angefasst. Das Errorhandling könnte man noch verbessern, und dass ich auch dann versuche, eine "falsche" Verbindung zu trennen, wenn da gar kein Laufwerk zugeordnet ist: Ok, aber egal :D

Wenn Du GLÜCK hast, kannst Du einen TEIL der Daten aus dem globalen Katalog wieder holen... Aber die Sub mußt Du neu machen.

...aber nicht, wenn diese Endung schon einer App zugeordnet ist :)