daabm

/mon möchtest Du nicht verwenden. Das grast rekursiv die Quelle durch - jede Minute - und legt damit gerne mal was lahm... Erst recht nicht über UNC-Pfade - damit haben Azubis bei uns mal ein Messe-Netzwerk verstopft, indem das auf jedem Client lief... /mon ist KEIN Filesystem Watcher, das ist sinngemäß ein stupider DIR /S mit Suche nach Timestamps neuer als der letzte Aufruf.

Ahem - was bitte ist an docx|pptx|xlsx sicherer als an doc|ppt|xls? Der Name ist Schall und Rauch, auf den Inhalt kommt es an...

Warum steht im Fließtext /appdatapath, im Screenshot aber \appdatapath? (Nein, ich weiß es auch nicht.) Und wenn die GPP kein Dateisystemobjekt erstellen, dann ist "irgendwas" falsch. Ich mach damit jede Menge Icons, den URL-Typ hab ich noch nie gebraucht. Vielleicht hülfe das GPP Debug Logging - https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555

Aber den Rechner nicht herunterfahren können ist für den User auch iwie b***d Das geht mit Win10 so nicht mehr. Train your users...

LOL - das hab ich jetzt noch nie gesehen, aber ok ich hab auch noch nie doppelte IPs vergeben

Ich weiß nicht, was Du anders machst - hier sieht das so aus, und das ist gut so Ethernet adapter vEthernet (External Network): Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Hyper-V Virtual Ethernet Adapter Physical Address. . . . . . . . . : 4C-CC-6A-69-57-A4 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::603d:d0cb:5727:ebd3%3(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.100.120(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.100.1 DNS Servers . . . . . . . . . . . : 192.168.100.120 192.168.100.113 NetBIOS over Tcpip. . . . . . . . : Enabled Beachte "External Network" statt "Virtual Switch", kein 9.9.9.9 im DNS und kein "duplicated" oder APIPA. Und da mein Router kein IPv6 kann, hab ich das auch noch soweit nötig abgeschaltet. DNS .120 ist der HyperV selber, die .113 einer der DCs.

Ich habs gemessen. Und ok, ich hab noch Domain=%Computername% mit drin, aber das läuft in 0,5 bis 5 Millisekunden durch. Sobald Du aus Versehen in der Domäne landest, bist Du natürlich bei den zweistelligen Sekundenzahlen. Edit: Seit ich https://evilgpo.blogspot.com/2014/11/wmi-filter-performance-in-group-policy.html geschrieben habe, messe ich JEDE neue WMI-Abfrage, die ich irgendwo in GPOs verwende, erst mal mit Measure-Command nach. Gerne mehrfach, gerne auf unterschiedlichen Rechnern.

169.254 ist eine APIPA-Adresse - da ist DHCP aktiviert und er findet keinen DHCP-Server. "ipconfig /all | clip", dann Zwischenablage hier als Codeblock einfügen. Ich tippe auf "ungünstige" Konfiguriation der virtuellen Switche

Ich kenn viele - ruf einfach mal ins Forum, ich kann Dir nicht helfen , bin nur Angestellter Und die Frage nach dem Stundensatz - nee, rechne mal in Tagessätzen, die dürften so um 2k liegen bei den guten. Das ist aber meist mehr als gut investiert. Will nur vor der Katastrophe immer keiner wahrhaben. Erst hinterher weiß man dann, daß das echt günstig gewesen wäre... Das Konstrukt mit "Tochterfirma" und kein physischer Zugriff macht es auch nicht einfacher - da hülfe evtl. ein bundesweit tätiger Dienstleister, der dahin dann auch kurze Wege hat. Aber da bin ich dann komplett raus.

Hm, schwierig. Wer ist SERVER5, wer ist SRV-G-DC0, von welchem Server sind die Events? So rein von den Meldungen her hast Du möglicherweise auch noch DNS-Probleme. Das meinte ich mit "Plan machen". Strukturiert vorgehen. Wenn es geschäftskritisch ist: HOL DIR JEMAND INS HAUS. Edit sagt: "Ins Haus" geht notfalls auch remote per Teamviewer oder beliebiges anderes Produkt. Muß nicht "in persona" sein.

Dann hilft klassische Diagnose. Was genau bedeutet "verabschiedet"? Was steht im System- und Application-Eventlog? Und noch mal: Du machst einen echt hektischen Eindruck. In der Ruhe liegt hier aber die Kraft - überstürzte Aktionen führen zu überstürzten Ergebnissen.

Wenn der neue DC alleine nicht funktioniert, dann lass den SBS PDC sein - und siehe oben: Mach einen sauberen Plan und lass den gegenprüfen. Hektik ist hier kontraproduktiv.

Der SBS will PDC sein. Der holt sich die Rollen nicht zurück, der fährt dann runter, wenn er nicht mehr PDC ist.

Wie, Du bist Admin auf nem DC und hast keinen Zugriff auf das AD? Und wenn ein Rechner als VM läuft: utilman.exe hilft immer, wenn man auf die VHD Zugriff hat. DC oder nicht... Ich würde ja mehr Ruhe und Planung beim Vorgehen empfehlen. Erst nachdenken, dann Plan machen, Plan überprüfen, Plan überprüfen lassen, Plan umsetzen.

[OT]Manchmal muß ich nicht nur, sondern will sogar Neuester Streich: Bevölkere die lokale Hyper-V Administratoren Gruppe mit Usern/Gruppen aus der Domäne. Problem: Gruppenname ist sprachabhängig und in den GPP "Local Users and Groups" nicht als vordefinierte Gruppe enthalten. Lösung: Item Level Targeting mit WMI-Abfrage auf die SID und LocalAccount="True", Property "Name" in Variable speichern und die als Gruppenname verwenden.[/OT] @Aehrfoordt bist du mit dem GPResult weitergekommen?

Darfst auch gerne auf den Crosspost im Technet hinweisen - hier sind viele, die auch dort unterwegs sind

@Weingeist ketzerisch finde ich das nicht mal - mir fehlt in Deiner Liste nur eins: Externes Backup. Mit dem Rest bin ich völlig einverstanden, läuft hier privat auch so (ist quasi eine 3-Mann-Firma). Kosten/Nutzen ist privat natürlich noch mal relevanter, das externe Backup fehlt mir noch - im Moment läuft es auf dem VM-Host mit. Suboptimal, wenn da die Platten abrauchen Ich hoffe, es hält, bis das externe Backup realisiert ist. Und wenn nicht - da privat, liegen die wirklich wichtigen Sachen eh in OneDrive. Gibt ja keine Datenbank, nur Dateien. @noobi Der Tip von Nils ist gerechtfertigt. Kostet vielleicht 2k Euro, dann gibt's nen klaren Fahrplan ohne irreführende Sackgassen oder übertriebene Ausstattung.

So sieht's aus. SW-Deployment per GPO über MS VPN ist nahezu aussichtslos - und auch ohne VPN ist es eine Sackgasse.

Du hast die falsche Antwort als "die Antwort" markiert - richtig wäre die von @MurdocX gewesen

LOL - zu viel Infrastruktur im Zeitdienst Und zu viele Firewalls, um die man sich kümmern muß - woher kenn ich das?

wf.msc hilft da auch weiter - Du kannst da eine Spalte "Regelquelle" einblenden, da steht dann notfalls die ausschlaggebende GPO drin. Könnte einfacher sein als der HTML-Report Und wenn Du meinst, Deine OU- und GPO-Struktur wäre undokumentiert und komplex: Nein, ist sie nicht. Egal wie sie aussieht, ich hab hier eine, die gewinnt da auf jeden Fall Über 15.000 GPOs... (Nein, kein Tippfehler, das ist eine 15 mit 3 Nullen.)

Wenn man den Gruppennamen braucht, geht das immer über WMI. In den GPP "Local Users and Groups" dann per Zielgruppenadressierung mit WMI-Abfrage und Eigenschaft "Name" in Variable. Und überhaupt berechtigt man niemanden per Skript - https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Da stehe ich auch gerne für weitere Infos zur Verfügung - wir setzen das grad im Enterprise um. Hat etwas gedauert, weil das "nachträglich" kaum ohne Verluste geht

Dann haben sich weitere Antworten wohl erübrigt

Die hartnäckige local CMos Clock kenne ich nur von VMs, wo die Zeitsynchronisation eben NICHT deaktiviert war.

Es kann so einfach sein, wenn man sich an den existierenden Anleitungen orientiert: Zeitidienst per GPO, WMI reparieren, VM Zeitsync abschalten (Ja hilft niemandem mehr, aber mir ist langweilig und ich muß meine 5000 Wörter am Tag schreiben... )