daabm

Made my day

Ich hab mich beim Lesen direkt gefragt, was ein "GPO-Projekt" sein könnte - kannst Du das kurz erklären? In einer OU kann man keine Computer "eintragen", die muß man da reinschieben. Und gpresult hilft immer.

Mir fehlt die konkrete Frage...

Ich hab's jetzt nur mal grob überflogen - und ich bin nicht wirklich zuversichtlich... Da fehlen zu viele Grundlagen nicht nur in Powershell, sondern vor allem in Active Directory. Multi Domain Forest? Kein Problem - kann man sich mit Get-ADForest und Get-ADDomain wunderbar durchhangeln. Beliebig große Umgebung mit Trusts? Auch kein Problem - kann man sich mit Get-ADTrust (oder schneller per LDAP mit Filter auf Trust Objects) durchhangeln. Bei Gruppen und Usern gerne mit -PassThrough arbeiten, damit man mit dem Ergebnis weiterarbeiten kann. Und natürlich immer gegen den PDC der Zieldomäne ( Get-ADDomain -Identity xyz ).PDCEmulator - die meisten Cmdlets nehmen das per -Server als Parameter. Manche wollen (wie z.B. GroupPolicy) auch noch -Domain wissen. Alles kein Hexenwerk, aber dazu braucht's ein Grundverständnis für die Zusammenhänge. Die Cmdlets liefert dann get-command -module activedirctory - oder eine schnelle lmgtfy-Abfrage. Und ohne Testumgebung - das muß ich aufgrund der oben teilweise vorhandenen Hinweise noch mal ausdrücklich betonen - GEHT GAR NICHTS! Nichts löst eine Domäne schneller in Luft auf als ein Skript... Außer einem Abrissbagger, der auf den einzigen DC drischt. Das war das Ergebnis einer Google-Suche, oder? Normalerweise sieht das nämlich so aus: $domain = Get-ADDomain -Current LocalComputer # alternativ -Current LoggedOnUser $domainDN = $Domain.DistinguishedName Da braucht's weder DotNet-Klassen noch Get-ADDomainController (die bei Get-ADDomain ohnehin schon in ReplicadirectoryServers stehen). Das meinte ich mit Grundlagen zum Thema AD - welche Eigenschaften bedeuten was, und in welchen Objekten sind sie zu finden.

Ich könnte jetzt noch einwerfen, daß alle Host-Bits = 0 -> Netzadresse und alle Host-Bits = 1 -> Broadcast, aber das führt glaub zu weit Und dann könnte man noch auf die abstruse (und auch nicht vorgesehene) Idee kommen, daß eine Netmask ja - rein technisch - nicht mal zwingend links beginnen und fortlaufend sein muß. Da kommen dann Konstrukte raus, die für Computer total einfach, für Menschen aber absolut nicht nachvollziehbar sind

Aus meiner Sicht spricht wenig dagegen... Der DNS wäre einfach ein Secondary, und Timeserver ist völlig unkritisch, solange der Uplink zum Domain Controller funktioniert. Auch gegen DHCP spricht nix, wenn sauber konfiguriert. Kannst ja (schmutzig, schmutzig) noch mit FW-Regeln dafür sorgen, daß da nix schiefgeht Der nächste Thread kommt, wenn der DHCP aus Versehen mal auf die andere NIC rutscht und der Server beide NICs im DNS registriert. Die Probleme sind absehbar

Grad mal kurz etwas geforscht - https://docs.microsoft.com/de-de/dotnet/api/system.security.accesscontrol.filesystemaccessrule.-ctor?view=dotnet-plat-ext-3.1#System_Security_AccessControl_FileSystemAccessRule__ctor_System_String_System_Security_AccessControl_FileSystemRights_System_Security_AccessControl_InheritanceFlags_System_Security_AccessControl_PropagationFlags_System_Security_AccessControl_AccessControlType_ Zitat: "Mit dem identity-Parameter muss ein gültiges Konto auf dem aktuellen Computer oder der aktuellen Domäne identifiziert werden." Dann dürfte es mit einem User statt einer Gruppe aber auch nicht gehen...

Mehr braucht's eigentlich nicht - wendet der RDS die GPO auch an? Und wegen DFS: Gehst Du auf den FQDN oder nur Netbios als "Server"-Name?

Die Meldung ist doch eindeutig - im Ausführungskontext des Skripts (Computer/User) kann DomB.local\ACC_TNG_Nummer_DL nicht in eine SID aufgelöst werden... warum kann jetzt nur der TO herausfinden. psgetsid wäre ein Ansatz, dsquery ginge auch. Oder get-adgroup oder sonstwas, was sich AD-Objekte holt.

Das ist kein Microsoft-VPN, oder? Da geht das problemlos... Bei Anyconnect kann man es IMHO irgendwie einstellen, daß lokale Verbindungen weiter funktionieren, da bin ich im Detail aber überfragt. Hab nur vor kurzem zufällig nen Screenshot gesehen (nur gesehen, deshalb kann ich's hier nicht zeigen), aus dem das ersichtlich war. Anyconnect kann bei bestehender VPN-Verbindung lokale IP-Netze entweder weiterhin zulassen oder alles in den Tunnel zwingen.

Da wurde schon wieder alles gesagt - und um während des Migrationszeitraums GANZ sicher zu gehen, deaktiviere VORHER die Änderung von Computerkennwörtern in der Domäne - nur so kannst Du halbwegs sicher die alten W7-Images wieder in Betrieb nehmen. Da sind wir aber an der Grenze zu paranoid

Ok, das stimmt. Aber dann wäre jemand mit ordentlich Wissen und ebenso ordentlich fehlender Voraussicht am Werk gewesen - das bezweifle ich hier mal. Und wenn es beide Einträge nicht gibt - was ist dann mit den restlichen Bestandteilen des Filters? Und IMHO müßte das dann sowieso angewendet werden - aber ohne das reale XML zu sehen, sag ich jetzt besser nichts mehr

Doch, die gibt es. Wenn nicht, schaust Du nicht in das, was wir erwarten würden

https://gpsearch.azurewebsites.net/#2812 Geht so schon seit laaanger Zeit

Was auch immer uns das sagen soll...

@BOfH_666 Kennst Du auch noch die WMI Event Consumer? Die wären dafür technologisch noch besser, da weniger Systemlast (IMHO)... Aber da sind wir eh out of scope

Klingt irgendwie nach Informatik-Hausaufgabe

AD bildet immer Bridgehead Server pro Standort, die dann die Inter Site Replikation abwickeln. Bringt ja nix, wenn DC5 den DC1 am anderen Standort fragt, wenn DC4 am gleichen Standort es schon weiß Was meinst Du genau mit "doppelte Einträge im DNS"?

@BOfH_666 Das wäre jetzt der richtige Moment für ein erfrischendes ??? und ein entspanntes Gespräch über den Sinn, "exotische" Fähigkeiten zu erlernen... Aber ok, wer sich für Fisch nicht interessiert, hat vermutlich auch kein Interesse an Netzen, Booten oder dem Meer.

Ein gutes IDM kann zumindest mal "temporäre Berechtigungen", also nach einer definierten Zeit wieder rauswerfen. Der Rest nennt sich "Rezertifizierung" und ist nur organisatorisch zu lösen.

JPEG ist jetzt kein Dateityp, den Windows nicht von Haus aus darstellen könnte. Ich würde sagen, es scheitert am UNC-Pfad und damit vermutlich an den IE-Zonenzuordnungen.

"Ich habe keine Zeit, meine Axt zu schärfen. Ich muß Bäume fällen." Das ist leicht zu lösen - aber gerade bei Skripts gilt "Hilfe zur Selbsthilfe", sonst fällst Du wie jetzt auch beim erstbesten Problem wieder auf die Nase. Du hast ja kein "singuläres Stichpunkt-Problem" (Wie setze ich Einstellung xyz), sondern eine Konzeptaufgabe.

Siehe Technet-Antwort - Du wirfst copy eine unsortierte Dateiliste zum Fraß vor, da ist klar, daß dann was undeterministisches dabei rauskommt... Du mußt die Liste koordiniert zusammenbauen, siehe "copy /?".

Die "großen" haben's da auch nicht einfacher - meist wird nach "active users"lizensiert, da sind wir immer ganz stark dabei und die meiste SW fliegt raus, weil aberwitzig teuer... Und "alles noch mal von vorne" wollte ich gar nicht, nur mal "strukturiert". Aber ok, das scheint schwierig zu sein

"Kost' nix, taugt nix". Ist jetzt fies, aber leider oft wahr. Über das Lizenzproblem von "Office 365 Home bei gewerblicher Nutzung" will ich hier nicht diskutieren, da kann @lizenzdoc vielleicht was dazu sagen. Wo genau bekommst Du das - im Task Scheduler Log? Oder im GPP Tasks Log? Irgendwie ist Deine Problembeschreibung insgesamt wirr, da fehlt ein roter Faden, dem man nachgehen könnte.