daabm

Schön, daß Du gleich mit HW-Daten kommst, die noch gar nicht relevant sind Perfmon kennst Du? Und Resmon evtl. auch schon? Damit würde ich auf den Clients anfangen.

Openhab, Somfy Sensoren. Kann Homeassist oder IOBroker natürlich auch. Edit: Openhab hat die Kurve nur aufgezeichnet - gemacht haben sie die Sonne und das Wetter...

Nop. Heute nacht war hier mehr als Tropennacht... Nicht unter 24° 🙈 (Die "10" links ist Mitternacht - 27° outside temp....)

Ging das denn überhaupt schon mal? Und - auch wenn kontraproduktiv - ich würde mal Network Level Authentication ausschalten.

Betreibt jemand RDS-Server, die durchlaufen? Ich kenne niemand...

Nop. An-/Abreise ist das Problem... Zu viel Leerlauf. Und eh schon verplant - erstes WE nach den BW-Sommerferien.

Stuttgart <--> Hannover

Jupp. Dann wird nachverhandelt. Und wenn Du groß bist, kommt eine "gütliche" Einigung nicht zum eigenen Vorteil zustande. Bei KMU weiß ich's nicht genau, aber dürfte auch unerfreulich werden.

Da bin ich echt froh, daß ich mich nicht mit Lizenzen plagen muss - ich würde gnadenlos versagen

Dann lass mal "| Select *" weg - kommt dann was sinnvolles? Und was mich noch interessieren würde: "get-command -Module microsoft.powershell.utility" - hast Du dieses (eigentlich systemintegrierte) Modul irgendwie entfernt?

Ich hab nicht vom Security Eventlog gesprochen. Das ist am wenigsten interessant. Edit: Und natürlich lokal auf dem Computer, wo Du das temporäre Profil hast - nicht auf einem Domain Controller.

"net help config server"...

@NorbertFe Nicht per ADM-Templates machen, sondern per GPP Registry. Mit 3 Sammlungen Member/DC/PDCe und Zielgruppenadressierung auf die Domänenroille - <4, 4, 5. Und darin dann jeweils ALLE Werte konfigurieren, vor allem die AnnounceFlags Funktioniert hier seit Jahren problemlos, Du kannst DCs promoten wie Du lustig bist und den PDC hin und her schieben wie Du willst - nix mehr zu beachten.

Doppel-Pitcher

Ich mag jetzt keinen Kaffee mehr...

Dein Skript enthält wirklich diesen Code? trap { write-output $_; exit1 } echo "Test" Dann hätte ich 2 Anmerkungen: 1. "exit1" ist keine gültige Powershell-Anweisung 2. Was genau ist "echo" bei Dir? ( get-command echo | select * )

Soll ich mal ganz vorsichtig fragen, ob Eventlogs schon analysiert wurden? System, Application, GroupPolicy. User Profile Service (ja, den gibt's tatsächlich).

Ahem - nein. Wir wollen keine Child Domains mehr, wir wollen Single Domain/Single Forest. Den Rest regeln Trusts. Ansonsten steht oben schon alles. Wir hatten die Diskussion in der Firma auch mal - ging um einen Forest mit 2 Domains, 20.000 Servern, 70.000 Clients (restliche Clients stehen woanders) und 200.000 Usern. Ergebnis nach wenigen Minuten: Nicht nur wirtschaftlich sinnlos, sondern auch technisch nicht umsetzbar.

...und ein paar andere Sachen unter HKLM auch noch, sonst gehen Apps nicht mehr und das Startmenü ist kaputt. Die Methode von @testperson ist besser.

Die VPN-Verbindung ist eine eigene NW-Karte - die muß ins Domain Profile. Die "reale" NW-Karte bleibt im Public Profile.

Wie lange dauert es, das kurz selbst auszuprobieren?

Bei uns hat jemand ein Goodie programmiert, nennt sich "Hotelfunktion". Per Default ist 80/443 zu, und wenn Du mal wo bist, wo der Internetzugang hinter nem Captive-Portal hängt, kannst Du damit für 5 Minuten 80/443 aufmachen. "Früher" hatten wir das trivialer gelöst - unser Proxy kommt per PAC, und per GPO wurde zusätzlich ein Dummy-Proxy verteilt. Der wird nur angezogen, wenn das PAC nicht heruntergeladen werden kann - also wenn keine Verbindung per VPN vorhanden ist. Hilft natürlich nix gegen Agenten, denen der Proxy egal ist. Und an AD mußt Du natürlich denken, die Domänenerkennung muß im Public Profile funktionieren. Aber mir fällt spontan keine Malware ein, die auf Port 135 oder 389 nach Hause telefoniert. Und für die Domänenerkennung braucht's auch keine Portausnahmen, sondern Dienstausnahmen. AFAIK - müsste nachschauen, wie genau wir das gemacht haben

Firewall outbound auch weitestgehend zu im Public Profile? Dann kann zumindest keiner "einfach so" nach Hause telefonieren... Ansonsten klingt das nicht schlecht.

Eigenschaften der Netzwerkkarte, Bindungen passend deaktivieren, erste 2 Haken rausnehmen für MGMT:

gpedit.msc zeigt Dir die Einstellungen der "lokalen Policy" an. Die wird dann ggf. von domain based Policies überschrieben. Und rsop.msc ist deprecated, das kann zu viel nicht anzeigen. So gesehen: MS macht da, was es will, ja- ist ja auch "ihr" Betriebssystem. Aber das Ergebnis entspricht exakt dem erwarteten