daabm

Ich verstehe schon die Anfangsbeschreibung nicht: "Ich habe 2 Root-DC s und 2 Child DCs". Was ist denn ein Root DC und was ist ein Child DC?

Das bringt jetzt zwar niemand weiter und auch das BSI wäre mit mir nicht konform, aber: Wofür bitte ist ein Virenscanner auf einem DC hilfreich, der nur DC ist? Ich weiß es nicht... Edit: Unsere DCs können nicht ins Internet, und iexplore.exe sowie firefox.exe und chrome.exe sind per AppLocker gesperrt. Was nutzt mich ein Virenscanner auf diesen Systemen?

dsquery user -samid <Accountname> | dsget user -memberof -expand Access Token gibt es in einer funktionierenden AD-Umgebung nicht, das heißt inzwischen Ticket granting ticket http://technet.microsoft.com/library/cc772815.aspx "klist purge" macht vermutlich, was Du möchtest.

XML läßt sich recht gut skripten. Das XML-Schema der Group Policy Preferences ist gut dokumentiert. Das läßt sich also prima skripten, wenn man den Bedarf hat

Vielleicht hilft der Hinweis: "Jeder" ist im Standard nicht wirklich jeder, sondern nur "Authentifizierte Benutzer". Nur wenn der Gast-Account aktiviert wurde, ändert sich das, aber der ist normalerweise deaktiviert.

Naja, man könnte mal oben rechts mit "Mein Konto" anfangen und landet dann bei https://account.activedirectory.windowsazure.com/passwordreset/Register.aspx Und da klickt man dann auf "Ändern" hinter der Telefonnummer.

LOL - stimmt, das wäre dann "Äpfel und Birnen" Und ich vergesse MS16-072 inzwischen gerne, weil das schon so ewig her ist...

[OT] Dir fehlt das Gen, mir die Ialität. Wir sollten uns zusammentun [/OT]

Hast Du mehrere DCs an verschiedenen Standorten? (AD-Replikationsintervall...)

Zielgruppenadressierung weiß nix von Migrationstabellen - wenn Du da den Object Picker verwendest, hast IMMER SIDs in der Ziel-GPO... Das geht aber auch anders, drück mal F3. Da verwendet man nicht den Object Picker, sondern schreibt die Gruppen/User/Computer mit entsprechenden Variablen einfach rein.

Rufs mal mit /? auf - soweit ich das im Kopf habe, erstellt es auf Wunsch alle Gruppen ebenfalls, und es kann m.W. auch mit Migtables umgehen. Ist zu lange her, und Migtables brauchen wir nicht mehr wirklich - innerhalb der GPOs haben wir keine SIDs mehr außer WellKnown, und der Sicherheitsfilter geht bei den Skripts über den Namen, nicht über die SID.

AppLocker hilft bei .doc relativ wenig - und .doc ist per se auch nicht gefährlich, wenn man Makros passend verbietet. Mit SRP könnte es gehen, hab ich aber noch nie probiert - ich finde es grundsätzlich besser, auf eine sichere Konfiguration der zugehörigen Anwendung zu achten (inkl. Deaktivieren von Javascript in Adobe Reader )

Hm - worauf wird denn da der Zugriff verweigert? Und ist UAC aktiviert oder nicht? Klingt jetzt sehr obskur, das Problem - aber ist vermutlich nur eine ganz obskure Kleinigkeit

Das ganze gibt es sogar fertig, ist nur relativ unbekannt: https://msdn.microsoft.com/de-de/windows/desktop/aa814152?f=255&MSPPError=-2147217396 CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf sind genau dafür gemacht: Übertragen von Gruppen, Usern, OUs und GPOs aus einer Domäne in eine andere. Durch Bearbeiten des XML kann man fast nach Belieben customizen.

Startup Skript - dann reden wir über eine Domäne? Warum berechtigst Du nicht einfach die "Domain Computers" auf der Freigabe? Oder Authenticated Users... Ich verstehe den Sinn nicht, das als anonymous unter Guest laufen zu lassen.

Nils hat Recht. Zum Nachlesen: https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/

Ich blick hier nicht durch... Wie ist der Name der Website? Was sagt nslookup dazu? Ist im Browser ein Proxy konfiguriert? Und wenn die Website im Internet liegt, wäre ein Forwarder eigentlich die Lösung der Wahl.

Wenn Du "Warteschlangen je Server" meinst: IMHO nein. Wenn doch, dann ist sie so hoch, daß sie in der Praxis keine Relevanz hat.

Warum ist Nachforschen in der Ereignisanzeige mühsam? Filter konfigurieren - Event-ID, Quelle, Zeitraum - und fertig... Oder XML schreiben

Konfiguriere https://gpsearch.azurewebsites.net/#319 auf einen Wert, der für dich passt. Standard sind 30 Sekunden.

Den Kram kenn ich alles. Nutzt nur kaum was, sieht halt auf dem Papier gut aus. Was ich sehe, kann ich weitergeben. Isso

Nils, das war mir schon klar. Aber %clientname% ist speziell, weil es nicht direkt im (Re-)Connect bereitsteht, sondern erst danach. Wenn Du bginfo per Logonskript aufrufst, hat es verloren. Und wenn es beim Reconnect-Event läuft, ebenfalls. Beide Möglichkeiten laufen aus einem Prozess, in dem %clientname% nicht verfügbar ist... Also haben wir uns seinerzeit mit Volatile Environment beholfen. Herausforderung dabei: Die richtige Sitzungsnummer, die den Unterschlüssel darstellt, unter dem der aktuelle Clientname zu suchen ist.

Manche Anforderungen des Managements gehen an der Praxis einfach meilenweit vorbei... Traust Du deinem Admin? Wenn nein, besorge Dir einen neuen Admin. Traust Du deinem Mitarbeiter? Wenn nein... usw. Niemand kann das Abfotografieren von Bildschirmen verhindern. Wenns schnell gehen muß, filmt man beim Durchscrollen mit. Und dann? ym2c...

Also wir hatten schon Kunden mit knapp 300 Druckern auf einem einzigen Printserver - bist Du sicher, daß das Dein Problem ist?

Wenn im Eventlog nix zu sehen ist, ist es ein HW-Problem und kein Bluescreen. Ich wäre auch beim Netzteil, ggf. beim Mainboard.