daabm

Kannst Du machen wie Du willst. Am Ende muß es auf den Domain Controllern ankommen. Meinereiner macht das in einer GPO, die mit Domain Controllers verknüpft ist. DDP/DDCP ändere ich nicht - Stichwort "dcgpofix". Und die DDP hat "eigenartige" Beziehungen zu secpol.msc auf dem PDC-Emulator

SmartScreen, Alternate Data Streams und User Account Control (Datei-Integrity Level), da kommt viel zusammen.

Willkommen in unserer Welt

Ich hab die Kaffeeemaschine entkalkt, da war dann erst mal nix mehr. Und jetzt fühle ich mich aus unbekannten Gründen wie "es ist schon Freitag" 🍺

Noch einer, der sagt "nimm Robocopy" - Powershell ist für so was "auf lange Sicht" um Welten zu langsam. Wenn Du nicht mit [System.IO] arbeiten willst.

@Etheninex Ohne Verwaltungssoftware für die Subnetze bin ich bei Nils - bleib bei /8, /16 und /24. Das kriegt man im Kopf sonst nicht sortiert... @NorbertFe /32 haben wir natürlich auch, habe ich aber weggelassen. "Single Host" sollte man nur sparsam einsetzen. Und vermutlich haben wir auch /30, aber ich hab das nicht explizit überprüft.

Man könnte das ja mal statt mit "DIR" per Powershell anschauen - aber ich kann da nur bedingt helfen, 8.3 Namen hab ich ausgerottet

Kein Problem damit, meinen ipcalc hab ich immer dabei Spaß beiseite: Wir haben an Subnetzen natürlich /8, dann /10 und von /16 bis /29 alles. Warum unsere Netzer /11 bis /15 ausgelassen haben, weiß ich nicht

Die macht für mich zu früh auf und zu früh wieder zu

Nö. Ne Netzmaske ist ne Netzmaske, völlig egal wie lang sie ist. Komm gern mal nen Tag bei uns vorbei, dann zeige ich Dir unsere Netze

Für die älteren hier - also für alle Wer ist nicht mit der Maus aufgewachsen außer @tesso ? Ach, ist das herrlich...

Bitte selber lesen https://techcommunity.microsoft.com/t5/itops-talk-blog/tough-questions-answered-can-i-disable-rc4-etype-for-kerberos-on/ba-p/382718 https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797 Und ja, es ist wirr... Da ist wohl viel Gefrickel bei den zuständigen Teams von MSFT im Spiel.

Onedrive im Web aufrufen, da gibt's Vorgängerversionen und nen Papierkorb.

Mit Deinem Get-ComputerInfo zerstörst Du das Objektmodell - das liefert nämlich was völlig anderes als der Rest vom Skript, das paßt dann nicht zusammen und läßt sich daher nicht gemeinsam exportieren. Das ganze wäre super einfach, wenn Du diese Zeile $outObject | ConvertTo-Json -Compress (490 im Original) so umbaust, daß sie direkt das von Dir Gewünschte macht. So als Idee... $CompInfo = Get-ComputerInfo $OutObject['Computername'] = $CompInfo.CsCaption $outObject['OsBuildNumber'] = $CompInfo.OsBuildNumber $outObject['OsName'] = $CompInfo.OsName $outObject | ConvertTo-Csv "blah.csv"

Zum Einrichten des Trusts: Korrekt. Du alleine kannst das nicht auf beiden Seiten machen - wäre ja noch schöner

Ist doch kein Wespennest - und ohne die echten IPs hättest Du den Tip nie bekommen. So gesehen... Die Diskette war mein heutiger Top-Lacher bisher 👍

Warum ist der Screenshot so uralt? Du wirfst Dinge durcheinander... Hinter einem Trust steckt ein spezielles Konto, auf dessen Kennwort die Kerberos-Referals basieren. Dieses Konto kann auf beiden Seiten beim Einrichten des Trusts gleichzeitig erstellt werden - dazu brauchst Du aber ein Admin-Konto, das das in der anderen Domäne darf. Oder der Trust wird auf beiden Seiten jeweils nur dort eingerichtet - dann muß ein initiales Trustkennwort angegeben werden, das auf beiden Seiten identisch ist. Ich würde ja sagen "such Dir jemand, der das schon mal gemacht hat"

Ah die leidigen kaputten Kerberos-Updates, die derzeit dauernd reinkommen...

Wo Du das machst, ist egal. Du brauchst einen User, der in frankfurt lesen darf, und Du brauchst einen User, der die Gruppenmitgliedschaft bei Euch verwalten darf. Und bezüglich "bei Euch administrieren" - ja.

Altes Problem bei Oneway-Trusts - die erste Gruppenverschachtelung Eure Domain vertraut also de.frankfurt.net. Das bedeutet automatisch, daß Ihr nicht selbst in der Lage seid, Delegationen von Gruppen/Usern aus de.frankfurt.net einzurichten - das geht nur von dort aus. Und damit das geht, muß von dort aus (bzw. mit einem Account von dort) die erste administrative Verschachtelung in eine domain local Group bei Euch gemacht werden. Sinngemäß in Powershell, aus dem Gedächtnis und immer aus Sicht von net.primadora.de: $MyAdminGroup = Get-ADGroup xyz (domain local Group bei Euch) $RemoteCredentials = Get-Credential (hier muß jetzt ein Account aus de.frankfurt.net verwendet werden) $RemoteAdminGroup = Get-ADGroup abc -Server de.frankfurt.net -Credential $RemoteCredentials (globale Gruppe in der vertrauten Domäne) Add-ADGroupMember $MyAdminGroup -Members $RemoteAdminGroup Und ab jetzt - korrekte Delegation vorausgesetzt - können Mitglieder von $RemoteAdminGroup bei Euch administrieren. PS: Den Conditional Forwarder braucht Ihr natürlich auf beiden Seiten - beide Domänen müssen sich gegenseitig finden können.

@winmadness Get-Credential macht keine Anmeldung, das erzeugt nur ein Credential-Objekt "runas /user:xyz" wäre geeigneter. Ich würde die Anmeldung nicht nur mit domain\user und user@domain.tld probieren, sondern auch noch domain.tld\user. Für mich klingt das insgesamt auch nach einem Namensauflösungsproblem. Denkbar - aber eher obskur - wäre ein MTU-Problem mit Kerberos und UDP. Dagegen würde ein Reg-Wert helfen, wobei ich mich zu erinnern meine, daß ab Windows 10 xyz eh nur noch TCP verwendet wird: https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/kerberos-protocol-registry-kdc-configuration-keys (MaxPacketSize)

Naja, im wesentlichen pickt er sich ne URL raus... $url = "https://www.techspot.com/downloads/downloadnow/299/?evp=2bc137b9206e4001fbe10993002f0fb0&file=371" $destination = "$env:userprofile\irfanview.exe" $wc = New-Object Net.WebClient $wc.DownloadFile($url, $destination) Und da steckt anscheinend immer die aktuelle Version dahinter. Die wiederum holt er sich vorher von der IView-Homepage: <span>Version 4.62</span> Sollte nicht schwer sein, das "custom" nachzubauen Damit weißt Du zunächst, welche Version aktuell wäre. Dann mußt Du rausfinden, was lokal installiert ist - wenn kleiner -> Update.

Respekt - hätte ich nicht gedacht, 6 mehr wie (als?) ich

Ernsthaft jetzt? Ich hatte Dich immer für U50 gehalten, wir sind UHU...

Ich glaub ich hab's verstanden. Ich vermute auf dem Server einen NTFS-Link, der auf dem Client nicht aufgelöst/angesprochen werden kann. Aber bevor er sich da nicht selber äußert, lass ich die Glaskugel mal zugedeckt