daabm

%AppData% umzuleiten war noch nie eine gute Idee Da beißen sich dann gern unterschiedliche (lokale) Anwendungsversionen auf den verschiedenen Rechnern, die dort Daten abgelegt haben. Und wie gesagt: Im Profil stecken in einer verwalteten Umgebung keine Daten, die den User interessieren. Der will seine Favoriten, seine Dokumente und vor allem seine gesammelten Bilder... Ansonsten hat Jan übrigens (wie meistens oder fast immer ) recht - User roamen weit weniger als die IT immer vermutet.

Was meinst Du mit "manuell funktioniert es"? Und was genau steht in Deiner GPO dazu? Zu wenig Info

Ich leg noch mal >10 Jahre drauf Wir haben mit der Einführung von Win10 die servergespeicherten Profile einfach weggeworfen. Ist eh nichts drin, was den User wirklich interessiert... Ok, unser Vorteil: Anwendungs-Konfiguration "grundlegend" läuft über ein Logon-Framework, da kommen also nie irgendwelche Einrichtungsassistenten. Und die relevanten ggf. lokalen Daten werden per Policy in Ordner gelegt, die in der Ordnerumleitung drin sind (Beispiel Office - Benutzerwörterbücher und Templates).

Die Hoffnung stirbt ja bekanntlich zuletzt. Aber ebenso bekanntlich tut sie das...

Es geht nicht um Dich - es geht um die anderen, die Deinen Beitrag lesen sollen. Ich hab mir den nicht angeschaut, weil's so einfach #grütze zu lesen ist. Wenn Du's formatierst, lesen es mehr

Ich bin bei Norbert. Ich denke schon seit längerem darüber nach, einen stillgelegten zentralen Kamin dafür zu nutzen... Powerline ist hier aktuell am Start, aber Datenraten von unter 30 MBit sind nicht zeitgemäß. Und WLAN ist hier baulich schwierig - Haus aus den 20er Jahren, überall Maschendraht unter dem Putz, da reicht das WLAN nicht mal innerhalb einer Etage über die ganze Wohnung. Durch Böden/Decken geht zweimal nicht. PS: Auch 3 Wohnungen und 1 Internetzugang

Passen die FQDNs und SANs in den Zertifikaten zum Clientnamen? Und die CA-Chain ist vertrauenswürdig auf dem zugreifenden System? Wenn zweimal ja, hab ich auch keine spontane Idee...

Wenn ich lese "Sophos mit Webfiltering", dann dreht sich vor meinen Augen eine knallrote Warnlampe... Schmeiß erst mal alles Schlangenöl von dem Rechner runter, dann sehen wir weiter.

"Alle außer" ist ein Fall für GPP Registry und Zielgruppenadressierung. Da geht "Computer ist NICHT irgendwas" - das geht mit WMI-Filtern oder Sicherheitsgruppen nicht. https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html Geht genauso für jedes Setting, das eigentlich in Administrative Vorlagen liegt.

Die Root Server sind i.d.R. langsamer (viel langsamer) als der DNS Deines Providers. Also solltest Du diesen als Standard-Forwarder verwenden.

Und was spricht jetzt dagegen, das so zu machen wie in meinem Blogpost, den Jan schon verlinkt hat? Gegen die DDP spricht, daß sie eine fixe GUID hat und Einstellungen darin mit dem Domain Head gekoppelt sind. Änderst Du z.B. auf dem PDC die Kennworteinstellungen "lokal", dann wandern diese Änderungen in die DDP zurück. Das will man i.d.R. nicht. Auch werden DDP und DDCP mit dcgpofix zurückgesetzt, was dann auch wieder b***d sein kann. Besser eine eigene machen.

@lefg Licht zu früh aus - die späten Vögel sind noch unterwegs @Esta Absolutes Verständnis - bei uns wurden im Januar 2009 die Fenster erneuert, das werd ich auch nie vergessen... 3 Tage "open house" im tiefsten Winter. Und der Austausch der Gasthermen steht auf der Liste - mal sehen, wann das passiert...

Dafür ist es eigentlich immer zu spät - zumindest für mich, weil bei uns das Netz nicht in Personalunion betreut wird. Wenn ich Wireshark brauche, weiß ich schon sicher, daß jemand anderes seinen Job nicht gemacht hat. Und wenn das anderswo ein Umfeld ist, in dem ich auch für die MAC-Infrastruktur zuständig wäre - ok, dann stimme ich zu. Aber dann bin blöderweise ich derjenige, der was verpennt hat

Ich glaube, er meint einen kleinen WLAN/LAN-Repeater/Bridge. So ein Vonets-Teil o.ä. Aber das "insgesamt" per Forum zu lösen ist echt mühsam. Das Teil muß im richtigen Betriebsmodus laufen, die VM-Netzwerkkonfiguration muß passen. Ich glaube, Dir fehlen noch Grundlagen bei Layer 2-4 (IP und TCP).

Mist, zu spät - alles schon gesagt Außer "Powershell" - get-aduser, foreach{}. Aber ich würde hier auch den Tip von Nils empfehlen, bevor die Lernkurve zu steil wird.

Deine Fehlerbeschreibung ist irgendwie unvollständig... Ja und welche? Und was protokolliert Dein vermutlich selbst geschriebener Dienst so beim Versuch, die 39. Instanz zu starten?

Ob meine Idee funktioniert mit Konten ala "NT Service\xyz" - kann ich leider nicht bestätigen oder verneinen. Ich hatte das nie, und mir fällt auch spontan keine Möglichkeit ein, wie ich das ausprobieren könnte. Kommt wohl auf einen Versuch an - über eine Rückmeldung würde ich mich freuen. So aus dem Gedächtnis heraus dürfte der Fehler aber gar nicht auftreten, wenn "SERVICE" das Recht "Anmelden als Dienst" hat. Wer hat das denn bei Euch so? (Sysinternals: "accesschk a *" sagt Dir das effektiv.) Die Meldung mit dem cPassword kommt wegen MS14-025 - auch schon 7 Jahre her https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-025

ETL öffnet man auch nicht mit Notepad - siehe https://www.msxfaq.de/tools/mswin/tracerpt.htm und https://docs.microsoft.com/de-de/windows-hardware/test/wpt/opening-and-analyzing-etl-files-in-wpa zum Einstieg.

Nein. Die entscheidenden Zeilen wären die, die jhx_path_all zusammenbauen Wenn es _unbedingt_ VBS sein soll, kommst Du um ein FileSystemObject nicht herum. In Powershell wäre das fast ein Einzeiler...

"Keep it simple" und "Multimandanten AD" schließen sich gegenseitig irgendwie aus... Und wenn man's kann, dann ist "eingeschränkt delegiert" nicht richtig - Du kannst alles delegieren. Jein. Der zweite und dritte von den "valid use cases" sind für uns hochgradig relevant. Schön auch diese Aussage dazu "Microsoft still operates a similar architecture internally". Ich würde ja raten, sie haben festgestellt, daß die meisten Kunden nicht damit zurechtkommen...

Genau das. Nennt sich dann - richtig aufgesetzt - ESAE Eine Admin-Domain oben drüber, und die Produktions-Domains dürfen sich gerne kreuz und quer vertrauen.

1. Um einen Dienst neu zu starten, braucht man kein Admin-Konto. Man braucht nur auf diesen einen Dienst das Recht, ihn neu zu starten. Geht per GPO oder per sc.exe 2. Warum psexec? sc.exe kann das remote, Powershell sowieso.

Merke: Die Policy-Einstellung der Profilgröße gilt entgegen der Beschreibung NICHT nur für servergespeicherte Profile, sondern auch für lokale. Zumindest war das bei Win7 so (als wir noch servergespeicherte Profile optional hatten), und ich glaube nicht, daß an _dieser_ Codestelle etwas angepaßt wurde

Wetterlage wurde so wie vorhergesagt - ab Mittag nur noch gelbes Licht

Ich zitiere für Dich mal die Beschreibung dieses Unter-Forums: Die MCSEboard.de Member Lounge: Small Talk Forum — Bitte keine technischen Fragen Schau Dich mal auf der Startseite um, Du findest sicher den richtigen Platz Oder ein Mod verschiebt Deine Frage...