daabm

wf.msc hilft da auch weiter - Du kannst da eine Spalte "Regelquelle" einblenden, da steht dann notfalls die ausschlaggebende GPO drin. Könnte einfacher sein als der HTML-Report Und wenn Du meinst, Deine OU- und GPO-Struktur wäre undokumentiert und komplex: Nein, ist sie nicht. Egal wie sie aussieht, ich hab hier eine, die gewinnt da auf jeden Fall Über 15.000 GPOs... (Nein, kein Tippfehler, das ist eine 15 mit 3 Nullen.)

Wenn man den Gruppennamen braucht, geht das immer über WMI. In den GPP "Local Users and Groups" dann per Zielgruppenadressierung mit WMI-Abfrage und Eigenschaft "Name" in Variable. Und überhaupt berechtigt man niemanden per Skript - https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Da stehe ich auch gerne für weitere Infos zur Verfügung - wir setzen das grad im Enterprise um. Hat etwas gedauert, weil das "nachträglich" kaum ohne Verluste geht

Dann haben sich weitere Antworten wohl erübrigt

Die hartnäckige local CMos Clock kenne ich nur von VMs, wo die Zeitsynchronisation eben NICHT deaktiviert war.

Es kann so einfach sein, wenn man sich an den existierenden Anleitungen orientiert: Zeitidienst per GPO, WMI reparieren, VM Zeitsync abschalten (Ja hilft niemandem mehr, aber mir ist langweilig und ich muß meine 5000 Wörter am Tag schreiben... )

Korrekt. Anpassungs-Relativität korrigieren, dann klappt's auch mit dem Nachbarn

Das ist ein Objektproblem - jedes Element deiner Arrays ist ein eigenständiges Objekt. Diese Objekte hast Du jetzt in 2 Arrays aufgenommen. Änderst Du das Objekt in Array3, dann ist das natürlich das gleiche Objekt wie in Array2.... Entweder mit "Select" neue Objekte erzeugen (wie oben) oder die Arrays vorher klonen.

Was liefert w32tm /query /source?

Ne, das wird an genau einer Stelle verwendet - für den privaten Passworttresor.

rasphone.pbk war das mal, da gab's nen Eintrag um das abzuschalten. Ich kann gerne suchen, aber das kannst Du ja auch selbst

Fast alle Commands von net.exe unterstützen den Parameter /Y, der Nachfragen unterdrückt. Und wenn New-LocalUser nicht gefunden wird, würde ich mal eine aktuelle OS//Powershell Version heranziehen

Full ACK von Martin, dessen privates Kennwort nicht ganz so lang ist (24 Zeichen), aber auch noch nie geändert wurde

Das kapier ich dann leider auch nicht Schön wäre ein Trace am Client - einfach mal sehen, was der denn so an Authentifizierungsversuchen wo hin schickt.

...und Du hockst genauso wie ich daheim und langweilst Dich

Olaf ist hier immer morgens unterwegs, das läßt ja unsereins arbeitender Bevölkerung kaum Chancen auf hilfreiche Beiträge Aber ja: "=" ist eine Zuweisung, die immer $true liefert. Und "True" ist nur ein String, kein Boolean (wahr/falsch). $False entspricht 0/$null/undefined, $true ist alles -ne 0 oder defined.

Hm, ok. Noch mal von vorne. Da steht was von Einträgen in hosts und lmhosts. Warum? TCP 445 reicht nicht. Kerberos braucht ein paar Ports mehr zu ein paar Systemen mehr. Gescheit weiterkommen wirst Du nur mit zumindest einem Netzwerktrace auf dem Client, wenn möglich auf dem Zielserver und idealerweise zeitgleich auch auf allen Domain Controllern aller beteiligten Domains. Und warum schreibst Du was von einem "lokal auf dem Server in Domäne B" angelegten User? Wir haben ungefähr 2.000 Domains mit Trusts in alle möglichen Richtungen (Uni/Bidi/mit und ohne SID-Filterung/PAM), aber das, was Du beschreibst, kenne ich nicht. Wenn hier ein Account als locked gemeldet wird, dann ist er das auch. Bei Dir könnte die Frage daher sein "in welcher Domäne befindet sich der gesperrte Account"?

Da mach ich doch gerne ein wenig Eigenwerbung (Nein, nicht wirklich - der Blog ist werbefrei und nicht monetarisiert...) https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html http://evilgpo.blogspot.com/2012/02/loopback-demystified.html Wenn danach noch Fragen offen sind: Immer her damit.

Hier steht eh alles in separaten VLANs (und damit auch IP-Netzen) - DCs, Sprungserver, VM-Hosts, SQL (bei VM und SQL sogar noch unterteilt) - jeder hat sein Netz. Riesen Herausforderung für die Netzwerker, aber ganz praktisch insgesamt.

Aus der Mottenkiste - aber wirklich Erfahrung hab ich nicht: Access-DBs auf Netzlaufwerken war schon immer ein spannendes Thema. Da sollte in einem Access-nahen Forum was zu finden sein. Und ja, "Cloud" ist halt ein dehnbarer Begriff. Meine erste Assoziation ist da Azure, die zweite O365. WD taucht quasi nicht auf

Ich merk schon, uns ist allen grad bissele langweilig....

Ja, "Wissen" auch - autsch, das gibt wieder nen Rüffel vom Mod...

1. (Willst Du nicht hören) Der User sollte nicht von einem Win7-Client kommen... 2. (Willst Du auch nicht hören) Konto gesperrt ist komplett interpretationsfrei. Und das hat auch nichts mit fehlenden FW-Freischaltungen zu tun.

Ich lese hier immer nur "die Cloud" - was ist denn eigentlich die Cloud bei Dir? Bei mir ist das eine Wolke... Zieht vorbei und ist dann wieder weg

Aktuell läuft es auf Sprungserver raus (RDP), auf denen dann entweder die Admin-Tools vorhanden sind oder ein weiterer RDP-Jump erfolgt.

Suchen ist nicht mehr en vogue...