daabm

Es gibt auch noch die Suche in der GPMC - Kontextmenü der Domäne. Kennt nur kaum jemand Die Frage wäre eher: Was genau soll denn gefunden werden? Wie ich das verstehe, läuft es auf Handarbeit raus - GPOs aufräumen ist nicht automatisierbar.

Ich würde auch sagen "nimm preiswerte Standardware". Die SW-Anforderungen sind ja überschaubar, das schafft jedes 200 Euro-Tablet. Und genau da würde ich mich auch umschauen. Lieber öfter mal neu als immer nur Ärger mit sündig teurer Industrie-Spezialware

Na, ich würde dann Mark Russinovich folgen: If you don't know what to do, use Process Monitor Wenn die Update-Seite behauptet, daß die Organsiation das festgelegt hat, müssen Reg-Werte dazu vorhanden sein. Wenn ich die lösche und sie automatisch wiederkommen, finde ich mit Procmon heraus, wer das macht. So einfach kann das Leben sein

So war das nicht gemeint - ich spreche fließend Batch (inkl delayedExpansion und aller Variationen von "for") und VBScript. Ich hab auch mit |, & und > mehr Erfahrung als die meisten (eins davon reicht übrigens, doppelte braucht man nicht). Nur verstehe ich nicht, warum sich noch jemand in aufwändige Batch-Konstrukte reinfuchst, wenn es in Powershell so viel einfacher ist. "Code von anderen" trägt zu meinen Skripts übrigens sicher mehr als 30% bei - die meisten Standardprobleme hat ja schon mal jemand gelöst, ich erfinde nicht gerne neue Räder

"Stuck in batch" SCNR...

Wirre Vorgehensweise... Lösch mal HKLM\Software\Policies und HKLM\Software\Microsoft\Windows\CurrentVersion\Policies. Nicht alles, was da drin steht, muß per GPO kommen, man kann das auch "einfach so" oder per SCCM reinschreiben. Dann neu booten. GPOs immer noch da? Wenn ja: "gpresult /h report.html" und das HTML dann anschauen. Wo kommen die GPOs her?

Würde mich auch interessieren. Weil ich im Moment keine Idee habe, was "Mucken von einem Switch" später mit der Benutzeranmeldung zu tun haben können

Das stimmt nur, solange keine PrivEsc möglich war - und genau das ist eine der häufigsten Sicherheitslücken. Bin ich SYSTEM, kann ich alles mitlesen. Deshalb ja auch "Admin-Workstation auf Blech, Arbeits-Workstation als VM" und nicht anders herum.

"Sauberer" macht man's andersrum: Die Admin-Maschine ist das Blech, und die Work-Maschine ist eine VM auf dem Blech. Das Risiko geht ja von der Work-Maschine aus, und wenn die der VM-Host ist, kommt ein Schädling recht einfach in die Admin-VM rein oder schafft es, Logon-Credentials abzufangen (die tippst Du ja auf dem Blech = Work-Maschine ein). Ist die Work-Maschine ein VM, muß der Schädling daraus erst mal ausbrechen... Das ist auch die preiswerte Alternative zur dedizierten Admin-Workstation, die Microsoft in ESAE empfiehlt. Dazu kommen noch Policies, die dem Work-User die Anmeldung an der Admin-Maschine verweigern und andersrum. https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html verdeutlicht das grundsätzliche Prinzip, wie man so was sehr einfach und extrem flexibel umsetzen kann. Und idealerweise wird das ergänzt durch Applocker/SRP/xyz, so daß auf der Admin-Workstation nichts gestartet werden kann, was für die Administration nicht benötigt wird. Und ja, da bin ich bei @Gulp, das kann einen Rattenschwanz hinterherziehen

...wurde eigentlich schon alles gesagt, aber mal in anderen Worten: Routen kann es viele geben, Proxy-Server auch. Aber DNS - wenn kein FQDN verwendet wird - gibt es nur EINEN. Oben schreibst Du: Und dann schreibst Du: Also was genau funktioniert eigentlich nicht und was genau ist das Ziel? Fehlen Dir nur die DNS-Suffixe auf den Netzwerkverbindungen?

Um Dir noch zu sagen, was Du falsch gemacht hast: Beim 2. Get-ADComputer fehlt der Properties-Schalter... Der ist wichtig, Get-ADxyz holt per default nur bestimmte fest definierte Attribute.

Ojeh... Für die FW gibt es 2 Grundeinstellungen: "Zulassen" oder "Blockieren". Wählst Du einfach zweiteres, ist Deine Anforderung doch ganz einfach zu erfüllen - da kommen dann Regeln dazu, die im lokalen Subnetz ziemlich viel zulassen und von Remote halt nur noch was gewünscht ist.

Laps ist keine Option, da bin ich bei Nils. Lies Dich mal hier durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Kann man problemlos auf Dein Szenario anpassen... DL-Gruppe erstellen für jeden Rechner. GG-Gruppe für User, die auf Rechnergruppen müssen. User in GG-Gruppe, die in die entsprechenden DL-Gruppen. Fertig.

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?

Ich oute mich - ich hab solche Objekte noch NIE gesehen. Muß also älter sein So aus den WinFrame-Zeiten etwa.

Das wäre ein Fall für einen Watcher im Hintergrund, Trigger "Process Creation". Könnte man alles komplett steuern

Ich glaub ich bin raus. Ich helf ja gerne bei konkreten Fragen, aber vorher mal eine Suchmaschine anwerfen sollte doch drin sein, oder? Ob Du HyperV aktivieren oder VMWare installieren kannst, weiß ich nicht. Ob es geht, verrät Dir einer der ersten 5 Suchtreffer. Ob Du eine VirtualBox VM (naja, eigentlich nur die VHD) in Hyper V oder VMWare nutzen kannst, verrät Dir vermutlich sogar der erste Suchtreffer.

Tote Server einfach löschen, ja. Hinterher noch DNS prüfen. Wenn Du mehr Infos brauchst, such mal nach "Metadata Cleanup" Umbenennen völlig schmerzfrei - die meisten wissen nicht mal, was Sites eigentlich sind... Sie sollten nur mit ihren IP-Netzen die korrekte Topologie abbilden, damit AD die Replikation optimal einrichten kann (macht es dann i.d.R. selbst so gut, daß Du nichts anfassen mußt).

Naja, wenn sich nix ändert, dann ändert sich nix. War schon immer so... Bahnhof? Ägypten? Bazar?

In den Leases stehen doch i.d.R. die MAC-Adressen drin. Die sollten sich über ARP oder die Switches aufspüren lassen... Wenn nicht schon der MAC-Hersteller (erste 3 Byte) nen Hinweis liefert.

Blöde Frage vielleicht - friert "die Maschine" ein oder "die Anmeldesitzung" oder nur "einzelne Anwendungen"? Daß Teams/GtM nicht ganz ohne sind, dürfte sich herumgesprochen haben. Auf dem Firmenlaptop hab ich auch immer wieder das Problem, daß der Explorer einfriert und ziemlich viel mit blockiert - bis er sich irgendwann entschließt, abzustürzen - neu zu starten - und alles ist wieder wie wenn nichts gewesen wäre. Da ich für unsere interne IT keine Verantwortung hab (und auch kein lokaler Admin bin ), hab ich mich bisher nicht näher damit beschäftigt.

"Geht nicht" ist halt immer so eine super Fehlerbeschreibung

Ich hab Brötchen gebacken Kein Witz, wirklich: https://www.youtube.com/watch?v=7VvV2wSp_Xo Und die sind super lecker geworden. Der IT'ler muß sich nur 4 Zahlen merken: 500/300/20/10. 500 Gramm Mehl, 300 Gramm Wasser, 20 Gramm Öl, 10 Gramm Salz. Und eine Prise Hefe. Einfacher geht's nicht, und besser als jedes Knack&Back...

Für meine Verhältnisse war die Antwort ja echt ausführlich, aber anscheinend völlig unverständlich In dem Link stehen die relevanten Reg-Werte mit drin, falls Du keine Domäne oder keine Pro-Version haben solltest - in dem Fall gibt es keine Policies, da muß es tatsächlich per Regedit gesetzt werden.

Warum sollte man CCleaner installieren wollen? AKtiviere per Policy das Installer-Logging (https://gpsearch.azurewebsites.net/#1985 auf voicewarmup festlegen) und untersuche nach dem nächsten Versuch %temp%. Wenn das allerdings ein Nullsoft-Installer ist, hilft das nichts, dann bin ich raus.