daabm

Kann ich so nicht nachvollziehen - Du mußt genauer beschreiben, was Du gemacht hast und was Du aufrufst.

Wenn Du das auf supporteten Wegen hinbekommst, müssen wir reden Die GPP-XML sind ja noch ok, aber bei allem anderem gibt es keine Dokumentation. Das Format von registry.pol hab ich per Skript zerlegt/zusammengebaut (zu finden bei faq-o-matic), gpttmpl.inf und Applocker ist auch kein Problem, aber der Rest von den Security-Settings - urgh...

Schritt 1 im "wurde schon gemacht" fehlt: Eventlogs analysieren.

Korrektur: Was sie bereitstellen soll - wie sie es macht, sollte der GF egal sein Und auch wenn das in einem Windows-Forum ketzerisch klingen mag: Wenn ich das richtig lese, wird tatsächlich nur ein einziger Server mit Windows benötigt? Dann stell Dir nen NAS-Cluster hin - 2 vor Ort, eine "woanders". Die können wunderbar replizieren/snapshotten/rsyc-backuppen (wow, was für abstruse Wörter 😂), und der eine Server kann da als VM mit drauf laufen.

Wow - da stand vorne noch ne 5, oder?

Bei "Richtung Quest schielen" könnte ich viele Erfahrungen beisteuern. Den Rest hat @cj_berlin schon erzählt - AGPM hat nen Service-Account (wenn ich das noch richtig weiß), und mit 2 AGM-Accounts könnt Ihr dann unterschiedliche Delegationen machen, die natürlich unterschiedliche Accounts verwenden. Wir haben uns damals genau deshalb dagegen entschieden und nutzen Quest. Wir brauchen zu viele Delegationen, das wären hunderte AGPM-Instanzen geworden.

Aktivier mal das Netlogon Debug Logging (Nltest /DBFlag:2080FFFF - Neustart von irgendwas nicht erforderlich), dann findest die Quelle normalerweise in %Windir%\Debug\Netlogon.Log. Ursache sind transitive Logons, wir haben das z.B. bei VPN-Einwahlen oder Proxy-Authentifizierungen. Die RAS-Server stehen in einer trusted Domain, in der eigentlichen User-Domäne fehlt dann die Client-IP.

Keine Ursache. Ich meine mich zu erinnern, daß das schon bei XP so Standard war - möglicherweise hat irgendwer das in der Vergangenheit bei den W7-Rechnern mal geändert.

Wenn Dir das mal wieder passiert... Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken Mit dieser Sicherheitseinstellung wird festgelegt, ob lokale Konten, die nicht kennwortgeschützt sind, verwendet werden können, um sich nicht über die physische Computerkonsole, sondern von anderen Standorten aus anzumelden. Wenn diese Einstellung aktiviert ist, können sich Benutzer mithilfe der nicht kennwortgeschützten lokalen Konten nur über die Konsole des Computers anmelden. Standardwert: Aktiviert.

"Kann nicht" ist so eine Fehlerbeschreibung, die alles als Ursache haben kann. Das kannst Du doch bestimmt etwas detailierter beschreiben

Da war doch noch was mit "Deny network access to this computer" -> "Local Account and Member of Administrators" ? Kann aber sein, das ist kein Default, sondern nur MS Security Guide Empfehlung. Die Fehlermeldung am zugreifenden Laptop und die entsprechenden Events im Security Log des zugegriffenen Laptops sollten Klarheit bringen.

Das sind ja gerade mal 6 Monate Meine Office-Stunden von 01/2021 bis heute kann ich mit 2 Händen zusammenzählen...

Ne, im Spätzle-, Maultaschen- und Kartoffelsalat-Himmel (Stuttgart) Und das Wetter war hier gestern und vor allem vorgestern wirklich sensationell. Heute hat uns schon der Vorgeschmack auf nächste Woche erwischt - Dauerregen (zum Glück mit wenigh Sahara drin) und nur noch 8 Grad

MS läßt da gar nichts zu, alles eine Frage der Delegation. Lieschen Müller kann das ganze AD löschen, wenn Du ihr die Rechte gibst (und zwar ohne Domain Admin). Und LDAP ist LDAP - habe ich die Rechte, kann ich löschen. BTW: adexplorer von Sysinternals zeigt auch "DeletedObjects" an (auch ohne Papierkorb), und adrestore (auch Sysinternals) könnte da Objekte auch recht einfach wieder herstellen, wenn auch mit nur sehr wenigen Attributen. Aber wenigstens die SID wäre dann wieder vorhanden.

Hier Traumwetter - der Frühling kommt. 20 Grad Lufttemperatur, grad dem Urwahn mal den Neckar-Radweg gezeigt

Hab davon nur noch 3 Stück, die Zukunft kann kommen 😁 Und die Zeitumstellung kann mir gestohlen bleiben, die ist flüssiger als Wasser...

...und wenns b***d läuft und man nicht zum Doc geht, weiß man noch nicht mal, was jetzt was ist...

Leicht abgewandelt: Mehr Regulierung ist nur dann eine Lösung, wenn das Problem ein Mangel an Regulierung ist. SCNR

"Ich habe keine Zeit meine Säge zu schärfen - ich muss Bäume fällen". SCNR

Naja, wer sein LAN mit Telefonstrippen realisiert (das ist ja quasi die Analogie zu Gigabit über CAT5), der darf sich hinterher nicht beschweren.. Und mit "Sicherheitskrempel aushandeln" hat das nur sekundär zu tun - bei http merkt man's halt nicht so arg und drückt notfalls mal F5

Sunny61 hat schon fast das richtige - USBDLM wäre mein Tool der Wahl. Das kann quasi "alles" rund um Wechselmedien. Siehe https://www.uwe-sieber.de/usbdlm_help.html#settings Was Du wohl brauchst, ist [OnArrival]. Der Hinweis von Nobbyaushb ist gerechtfertigt - wenn Ihr einen BR habt, sollte der darüber informiert sein. Bei uns bräuchte es in dem Fall eine Anlage zur Gesamt-BV "Technische Einrichtungen"

Kann man den Schemamaster verschieben als Domain Admin? Oder braucht's dazu Schema-Admins oder EAdmins? IMHO sollte es für das Verschieben der Forest-FSMOs einen EAdmin brauchen. Aber war nur filosofisch, die 3 Gruppen des TO zusammen reichen auf jeden Fall

Danke @NilsK fürs Nachschauen Ok, bei 100 wird's "manuell" grenzwertig...

Nur Mut, nur Mut

Die Lösung von MS ist eigentlich recht einfach: https://support.microsoft.com/en-us/kb/290762 Und man könnte mal die Umstellung auf DFS angehen