daabm

Zum Einrichten des Trusts: Korrekt. Du alleine kannst das nicht auf beiden Seiten machen - wäre ja noch schöner

Ist doch kein Wespennest - und ohne die echten IPs hättest Du den Tip nie bekommen. So gesehen... Die Diskette war mein heutiger Top-Lacher bisher 👍

Warum ist der Screenshot so uralt? Du wirfst Dinge durcheinander... Hinter einem Trust steckt ein spezielles Konto, auf dessen Kennwort die Kerberos-Referals basieren. Dieses Konto kann auf beiden Seiten beim Einrichten des Trusts gleichzeitig erstellt werden - dazu brauchst Du aber ein Admin-Konto, das das in der anderen Domäne darf. Oder der Trust wird auf beiden Seiten jeweils nur dort eingerichtet - dann muß ein initiales Trustkennwort angegeben werden, das auf beiden Seiten identisch ist. Ich würde ja sagen "such Dir jemand, der das schon mal gemacht hat"

Ah die leidigen kaputten Kerberos-Updates, die derzeit dauernd reinkommen...

Wo Du das machst, ist egal. Du brauchst einen User, der in frankfurt lesen darf, und Du brauchst einen User, der die Gruppenmitgliedschaft bei Euch verwalten darf. Und bezüglich "bei Euch administrieren" - ja.

Altes Problem bei Oneway-Trusts - die erste Gruppenverschachtelung Eure Domain vertraut also de.frankfurt.net. Das bedeutet automatisch, daß Ihr nicht selbst in der Lage seid, Delegationen von Gruppen/Usern aus de.frankfurt.net einzurichten - das geht nur von dort aus. Und damit das geht, muß von dort aus (bzw. mit einem Account von dort) die erste administrative Verschachtelung in eine domain local Group bei Euch gemacht werden. Sinngemäß in Powershell, aus dem Gedächtnis und immer aus Sicht von net.primadora.de: $MyAdminGroup = Get-ADGroup xyz (domain local Group bei Euch) $RemoteCredentials = Get-Credential (hier muß jetzt ein Account aus de.frankfurt.net verwendet werden) $RemoteAdminGroup = Get-ADGroup abc -Server de.frankfurt.net -Credential $RemoteCredentials (globale Gruppe in der vertrauten Domäne) Add-ADGroupMember $MyAdminGroup -Members $RemoteAdminGroup Und ab jetzt - korrekte Delegation vorausgesetzt - können Mitglieder von $RemoteAdminGroup bei Euch administrieren. PS: Den Conditional Forwarder braucht Ihr natürlich auf beiden Seiten - beide Domänen müssen sich gegenseitig finden können.

@winmadness Get-Credential macht keine Anmeldung, das erzeugt nur ein Credential-Objekt "runas /user:xyz" wäre geeigneter. Ich würde die Anmeldung nicht nur mit domain\user und user@domain.tld probieren, sondern auch noch domain.tld\user. Für mich klingt das insgesamt auch nach einem Namensauflösungsproblem. Denkbar - aber eher obskur - wäre ein MTU-Problem mit Kerberos und UDP. Dagegen würde ein Reg-Wert helfen, wobei ich mich zu erinnern meine, daß ab Windows 10 xyz eh nur noch TCP verwendet wird: https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/kerberos-protocol-registry-kdc-configuration-keys (MaxPacketSize)

Naja, im wesentlichen pickt er sich ne URL raus... $url = "https://www.techspot.com/downloads/downloadnow/299/?evp=2bc137b9206e4001fbe10993002f0fb0&file=371" $destination = "$env:userprofile\irfanview.exe" $wc = New-Object Net.WebClient $wc.DownloadFile($url, $destination) Und da steckt anscheinend immer die aktuelle Version dahinter. Die wiederum holt er sich vorher von der IView-Homepage: <span>Version 4.62</span> Sollte nicht schwer sein, das "custom" nachzubauen Damit weißt Du zunächst, welche Version aktuell wäre. Dann mußt Du rausfinden, was lokal installiert ist - wenn kleiner -> Update.

Respekt - hätte ich nicht gedacht, 6 mehr wie (als?) ich

Ernsthaft jetzt? Ich hatte Dich immer für U50 gehalten, wir sind UHU...

Ich glaub ich hab's verstanden. Ich vermute auf dem Server einen NTFS-Link, der auf dem Client nicht aufgelöst/angesprochen werden kann. Aber bevor er sich da nicht selber äußert, lass ich die Glaskugel mal zugedeckt

Was genau ist denn das "Ziel" deiner Verknüpfung? Und was für eine Art von Verknüpfung ist es?

Ich mach mal einen auf Spielverderber Bei der Frage stammt der Skriptcode in keinem Fall vom TO - ich vermute was in Richtung https://www.anoopcnair.com/windows-11-hardware-readiness-powershell-script/ So gesehen ist es auch keine Skripting-Frage, sondern eher was mit "GPO, Startskript, zentrale Speicherung". IMHO. 🍺

Und was genau willst Du jetzt wissen? Manche machen's, manche nicht, manche "ein wenig"

Ok sorry, dann hab ich das zeitlich durcheinander gebracht. Nix für ungut

Ausprobiert hast Du das nicht, gelle? Win-E ist eine Explorer-Tastenkombination - b***d nur, wenn grad kein Explorer läuft...

Auch das kannst nur Du beurteilen. Niemand hier außer Dir administriert Deine Umgebung.

Ich gehe mal davon aus, daß das aus den Treiber-INFs kommt. Hab hier aber grad keines "at hand" Du kannst den Krempel aber umbenennen.

"tasklist" und "taskkill" funktionieren auch remote... Und Powershell "get-process" sowieso. Da muß man nichts "nicht anklickbares" anklicken.

Verstaubt halt alles und gammelt so vor sich hin Ich war zwar immer kurz da, aber so alleine hab ich auch keine Lust... Viele andere vermutlich auch. BTW: Valentinstag ist Mist. Da steckt nicht viel dahinter, "in seiner heutigen Form" von Blumenhändlern gepusht.

Nach "eigentlich nicht" kommt meistens "aber doch"

Dann sollte eigentlich "Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren" greifen, aber vielleicht wurde das ausgeschaltet. Wir schalten es jedenfalls immer aus, weil es genau dieses Fehlverhalten entlarvt

Das sind Verweise auf Textressourcen in Dateien. Kann man sich mit entsprechenden Werkzeugen auch anschauen (z.B. https://www.nirsoft.net/utils/resources_extract.html). Entweder stimmt was mit %Systemroot%/%windir% nicht mehr, oder der User hat keinen Zugriff auf die Dateien. Oder sie sind nicht mehr vorhanden.

Noch nie "Secure Channel lost" bei nem DC gehabt? Wenn dir das beim "einzigen" passiert, hast gelitten...

Schau Dir einfach das Zertifikat mal "ganz genau" an. Mit Edge herunterladen und in Datei speichern, "certutil -dump <Dateiname.cer>". Irgendwas muss falsch sein. Ich erinnere mich auch, daß da irgendwas war, wo Firefox derzeit empfindlicher reagiert als Edge, aber ich krieg's nicht mehr zusammen...