daabm

Da Du vermutlich nach einer Idee suchst, wie die Ursache gefunden werden kann: Auditing auf Registry wäre ein Ansatz. Jeder Drucker hat da ja ein paar Einträge - sind die noch da? Wenn nein: Auditing auf den Spooler Key aktivieren und schauen, von wem und vor allem wann das gemacht wird. Und vermutlich hat der Spooler auch noch ein Eventlog - schon geprüft? (Ich bin kein Druckermensch, ich mach eigentlich nur AD, daher nur so als Idee...)

Das stimmt leider... Alle meine "Workhorses" laufen mit IGP, wenn genügend Anschlüsse da sind. Oder mit dem billigsten PCI-E, was es gibt, wenn zu wenig. Daß es da herstellerseitig nichts passendes gibt, ist arm Edit: Hier im Homeoffice gibts genau 2 Rechner mit separater Graka. Der eine ist der Gaming-Rechner, der am Fernseher hängt. Der andere ist der Firmen-Laptop. Das sagt glaub alles

Und die DB kann keine Logins protokollieren? (Bei DBs bin ich etwas - hm - "ahnungslos"? )

IPs melden sich nicht an, User und Computer tun das. Bzw. eigentlich auch nicht, sie authentifizieren sich nur. Der Begriff "anmelden" ist in einem AD-Umfeld grundsätzlich ungeeignet Du solltest Dich mal mit Auditing beschäftigen (-> advanced audit policies), tracen muß man da nichts. Und wenn man doch mal tracen muss: "netsh trace start capture=yes tracefile=xyz.etl"

As usual: "It depends" Fürs Monitoring gebe ich Dir Recht. Aber Patchverteilung sollte lokale Adminrechte haben (oder als SYSTEM laufen), und auf DCs heißt das "Domain Admin equiv". Oder hab ich was übersehen?

Zu 1): Wurscht. Muß man sich nur dran erinnern... Zu 2): Auch wurscht. Gleicher Grund. Wie lange dauert es, das auszuprobieren?

[OT]Zu viele TLAs für mich 🙈[/OT]

Darauf haben wir uns damals doch nur geeinigt, weil man da dann die Metadaten "Beschreibung und Sinn" leichter mitgeben kann... Wenn wer weiß, was er tut, sind GPP Registry oft die bessere Lösung (ILT 👍).

Schmutziger Trick: Startskripts auf synchron stellen, dann eins bauen, das die Erreichbarkeit des Shares prüft... Dazu müssen natürlich Domain Computers auf den Share zugreifen dürfen.

TGIF - ich schalt mal die Beleuchtung auf "Wochenende" @kamikatze bei Dir alles ok rausgekommen?

Ich weiß leider nichts - aber mir ist grundsätzlich schon der Sinn von "Teilen ohne Download" unklar

We are hiring

Der größte Aufwand (in meiner Wahrnehmung) ist, bei allen Beteiligten das erforderliche Mindset ausreichend zu entwickeln. Sonst kommt gern mal "Warum ist das so kompliziert? Früher ging es doch auch, und alles war einfacher"...

Auch wenn der TO vermutlich schon abgehängt ist: Strings werden mit -match verglichen, mit nichts anderem...

Wenns da schon hapert, wirds aber mit entsprechenden Websites auch schwierig SCNR...

Pils ist wie Dampf - "über-flüssiges Wasser" 😁 Im Keller steht aber noch jede Menge Winterbier. Das mag der Süddeutsche lieber als die stark gehopfte Variante aus dem Norden 😊

Ich schütte mal den kalten Rest weg - igitt! 🍻

Hier war's zum Glück nur "etwas windig", so 40 bis 60 km/h vielleicht. Hoffentlich geht nichts zu Bruch im hohen Norden

Microsoft selbst hat mit der GPMC seinerzeit ein paar Skripts bereitgestellt, die genau dafür gemacht sind: CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf. Weiß nur heute wohl keiner mehr... Und leider führen die Code-Links in https://docs.microsoft.com/en-us/previous-versions/windows/desktop/gpmc/group-policy-management-console-scripting-samples inzwischen ins Leere, weil die Technet Code Gallery auch schon Geschichte ist. Ich hab die Skripts zwar noch, aber da da ein (c) Microsoft drinsteht, kann ich sie hier nicht einfach anhängen... Bei Interesse daher bitte PN. Und ich hab dazu auch schon einiges gebastelt: https://evilgpo.blogspot.com/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html Das hat ein paar der Features von @MurdocX, geht aber mit einer desktop.ini noch etwas darüber hinaus. Machts einfacher zu benutzen im Explorer... @Jan: Ordner nach Merkmalen zu benennen, die nicht eindeutig sein müssen, ist nie eine gute Idee. Und ja, GPO-Namen sind nicht eindeutig. Nur eine Handvoll Code in GPMC verhindert, daß man gleichnamige erstellt, ansonsten ist das ein ganz dröges "displayName" Attribut, das beliebig oft den gleichen Inhalt haben darf. Woher ich das weiß?

Jepp. Man wüßte dann, warum und von wo sich die User gesperrt haben

Führungskräfte haben keine Skills, die führen doch nur...

Genau, LNK-Shortcut auf UNC-Pfade hat Probleme, URL-Shortcut funktioniert immer. Ansonsten hat @Sunny61 wohl die einfachste Lösung vorgeschlagen. Das ganze GPP-Zeug ist (bis auf Registry und Local Users and Groups) nicht enterprise-suitable

Kommt mir bekannt vor... 😁 Aus eigener Erfahrung: Harter Alkohol direkt nach dem Aufstehen ist keine gute Option, versaut einem nur den Abend... Dann schmeckt nämlich der Feierabend-Drink nicht mehr 🥃

Bei der PAW sieht MS das andersrum vor wie Du es umgesetzt hast: Die PAW läuft auf dem Blech der Arbeits-Workstation. Der Arbeitsrechner läuft als VM auf selbiger. Ansonsten ist das bei der "Menge" an Systemen vermutlich Overkill, kann sich aber lohnen und ist im Grundsatz auf jeden Fall richtig. Da Du die Admin-Accounts nicht ständig brauchst: Kennwort läuft nie ab, dafür halt ein sinnvoll langes (> 20) Zeichen verwenden - und NICHT alle durch einfache Transformationen voneinander ableiten

Wo Du auch wieder recht hast... Der Tag hat 24 Stunden, völlig egal in welche davon man seine Wach-/Schlafzeiten legt