daabm

Wenn ich im privaten Umfeld detailliert erzähle, was ich beruflich mache, kommen nach 15 Sekunden Fragezeichen und nach spätestens ner Minute hört keiner mehr zu 🙈😂😂

Dann habt Ihr für Registry "auch ohne Änderungen übernehmen" nicht aktiviert: https://gpsearch.azurewebsites.net/#327 Wenn das nicht aktiviert ist, werden unveränderte GPO-Inhalte nur mit /force erneut verarbeitet.

Papp bei Set-ACL mal "-verbose -passthru" dran, viellieicht siehst Du dann mehr. Edit: Es könnte auch was mit Vererbung zu tun haben, möglicherweise mußt Du aus der ACL erst alles rauswerfen, was geerbt wurde: Get-Acl -Path HKLM:SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch -Verbose | select -expand Access | where { -not $_.IsInherited } So aufgedröselt mußt Du aber die Ziel-ACL ebenfalls auslesen und das eine AccessRight aus der Quell-ACL hinzufügen, bevor Du es schreiben kannst. Die Frage wäre im Skripting-Unterforum besser aufgehoben

So würde ich das auch machen - einfach die FSMO-Rollen "wandern" lassen. DCs migriert man normalerweise nicht, man baut neue, wie man's braucht und demotet dann die alten. Das ist das Schöne, wenn man sich an die goldene Regel hält: Ein DC ist ein DC ist ein DC - und sonst nichts

Gar nichts - es ist ja schon ein PDF, warum sollte man das an einen "virtuellen" PDF-Drucker schicken? Vielleicht beschreibst Du mal etwas umfassender, was Du eigentlich machst und erreichen willst? Ansonsten steht ja oben schon viel dazu. PDF ist leider ziemlich kompliziert geworden...

Ja klar - denk an die Arche Noah, biblisches Unwetter, jede Menge Cloud... 🙈

$error[0].Exception | Select * oder $error[0].InnerException | Select * könnte weiterhelfen. Aber vermutlich ist das das alte Problem - "offene Netzwerkverbindung mit Credential A und Windows verweigert jetzt weitere Verbindung mit Credential B".

Kollege aus der Gegend von Münster hatte heute auch Durchzug schwerer Gewitter - hier hat's 30 Grad... 🥵

Jan hat nicht gesagt, daß Ihr das per Gruppenrichtlinie machen sollt (das ist glaub auch die schlechteste aller Varianten). Er hat gesagt, daß sogar Gruppenrichtlinien.de sagt "mach es einfach nicht. Gib dem User ne Kurzanleitung, wie es geht, und laß es ihn selber machen."

# for hex 0xbc4 / decimal 3012 : ERROR_PRINTER_NOT_FOUND winerror.h # No printers were found. passt für mich irgendwie nicht zur Fehlerbeschreibung, aber vielleicht liefert es Dir Denk-/Rechercheanstöße. BTW - wie verbindet Ihr denn die Drucker?

Wenns am NTLM-Block liegt, steht das doch im Eventlog auf den DCs - schon mal nachgeschaut?

Danke, sieht wieder ansehnlich aus Bergfest - gönnt Euch 🍺

Und ich vermute, daß deine Forwarder-/Secondary Konfig entweder kaputt ist oder Du ein Firewall-Problem hast.

Wenn Du mal rauslassen würdest, was genau Du eintippst...

Jepp - auch das nicht. Wenn der Rechner in einer Domäne ist und kein DC erreicht werden kann, ist nix mit GPOs jeder Art. Die fängt für Domain Member mit der Ermittlung eines DC an. Klappt das nicht-> Schicht im Schacht. Sonst könnte man ja in der lokalen GPO Werte setzen, die eigentlich von Domain GPOs anders gesetzt werden... Das führt dann die Inheritance ad absurdum.

Nein - oder ich bin blind. Entweder die lange Version von Evgenij, oder die kurze: "nslookup <Domänenname> <IP des DNS der anderen (!) Domäne>"

Die Frage war nicht nach PortQry - wobei es da eh für Domänen was viel besseres gibt https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Die Frage war, ob Du Namen bei dem anderen DNS auflösen kannst. Und dann wäre noch die Frage, ob der andere DNS den Zonentransfer auch erlaubt. Die Frage würdest Du Dir mit einem conditional forwarder ersparen.

Nicht ganz. Einstellungen aus GPOs werden auf dem jeweiligen Computer/Benutzer gesetzt. Wenn bei der GPO-Verarbeitung kein DC erreicht werden kann, wird nichts verarbeitet (auch nicht die "lokale GPO"). Damit bleibt alles beim letzten Stand.

Ich klingle nach dem Wednesday midweek break mal vorsichtig das Wochenende ein Kaffee koche ich nicht (der Kaffeeautomat heißt so, weil er das automatisch macht), aber der Kühlschrank ist wie immer gut gefüllt, bedient Euch 🍺

Das war's, was ich mit API durcheinander geworfen habe... Treibermodell-Version, und natürlich Anschlußart. Mit WSD hatte ich auch oft "Spaß"

Der Drucker ist "immer" vorhanden oder wird bei der Anmeldung erst irgendwie erstellt? Das hatten wir mal als kurioses Problem, daß nachträglich erzeugte Drucker nicht angesprochen werden konnten von manchen Programmen. Gibt da wohl 2 verschiedene Windows-APIs, aber genau krieg ich das nicht mehr zusammen. War irgendwas mit der Ermittlung der verfügbaren Drucker... Und dann gäbe es von MS auch noch ein FixIt zum Reset des Spoolers. Netzsuche findet das sicher.

Wir wurden nicht informiert. Vermutung: BIOS/Firmware-Updates.

Nop - ich wurde angemessen ignoriert 😂 Diese Woche 2 mal HyperV Cluster-Ausfall, b***d daß darauf 16 Domain Controller laufen. Sieht nicht gut aus für uns Sysadmins.

So ungefähr Es gibt gpedit.msc ("Gruppenrichtlinienobjekt-Editor", lokale Policy), gpmc.msc ("Gruppenrichtlinienverwaltung" - das Schweizer Messer des busy Admin) und gpme.msc ("Gruppenrichtlinenverwaltungs-Editor" - ich kann nix für die Namen) . Letzteres ist die Version von gpedit.msc, die domänenbasierte Gruppenrichtlinien bearbeitet. Das, was die Cmdlets nutzen, ist im "GroupPolicy" Modul. Bei allem außer "x-Gp[Pref]RegistryValue" wird dabei auf das COM-Interface von GPMC zurückgegriffen: IGPMGPO und dessen ganze Klassen und Methoden. COM ist Mist, ist nur bedingt remotingfähig. Edit: Noch ein "k" gefunden...

Hätte in dem Fall nicht geholfen - Strg-Shift-V ist keine Kombination, die gpme.msc versteht. Und ein Line Break fällt da auch nicht darunter, der bleibt dabei erhalten. Resumée für mich: Shit happens, never expected that "attack chain" 😂 Der Pentest-Dienstleister hat deswegen übrigens seine Berichte umgebaut, das steht jetzt in formatierungsfreien Code Blocks. @BroBias Copy/Paste über NPP+ ist mein tägliches Brot - in dem Fall hab ich schlicht überhaupt nicht damit gerechnet... "Betriebsblind", die Brille war zu dunkel 😎