daabm

Die Diskussion ist müßig - MS hat das alles schon komplett durchdokumentiert: https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Das MUSST Du umstellen, vorher ist alles nix

Zitat von ganz weit oben: $CredPassword = ConvertTo-SecureString "_____" -AsPlainText -Force Mit nur Unterstrichen hätte es dann auch funktioniert. Schmeiß die Klartextkennwörter aus dem Skript raus und autorisiere die IP des Systems zum Relay-Versenden...

Und heute weiß kaum mehr einer, was LPT eigentlich bedeutet... Oder TTY. (Spoiler: Wer nutzt heute noch einen Zeilendruckeranschluss?)

Nachdem Du das Ereignis 5312 gefunden hast (Liste der anwendbaren GPOs): Direkt danach kommt eines der nicht anwendbaren inkl. Begründung - steht da Deine vermisste GPO drin? Und wenn nein: Was steht denn im GPResult als Distinguished Name des Benutzers und unter Computer/Policies/System/GroupPolicy zu Loopback? Edit: Die Screenshots sind ja nett, aber quasi alles interessante fehlt

Stop! S-1-5-80 und S-1-5-82 sind keine normalen User-Accounts... Das sind Dienste-SIDs, die sich aus dem Dienstnamen ableiten (sc getsid)... Und die können hier nicht wirklich aufgelöst werden, das geht nur auf Rechnern, auf denen es die entsprechenden Dienste gibt.

Ich glaub auch nicht, daß Robocopy was damit zu tun hat. Eher eine Überlast an einer der beteiligten Netzwerkkomponenten... Und wenn ich VPN höre: Ich hab's vor vielen Jahren auch mal geschafft, nen VPN-Knoten lahmzulegen. Die Effekte sind - hm - "lustig"

Ich würde ja mit Telnet anfangen und schauen, ob ich vom Server ein EHLO bekomme... Ohne das ist alles weitere zum Scheitern verurteilt.

Manche möchten das - warum auch immer. https://www.grouppolicy.biz/2012/07/how-to-configuring-ie-site-zone-mapping-using-group-policy-without-locking-out-the-user/ beschreibt das korrekte Vorgehen.

Also ich nicht. Ich lese auch keine Anleitungen... Du etwa?

gpresult /r ist etwas sparsam in der Anzeige - besser wäre gpresult /h report.html. Und natürlich die Ereignisanzeige. Gruppenrichtlinien haben seit 2005 ein eigenes Eventlog (Anwendungs- und Dienstprotokolle/Microsoft/Windows/GroupPolicy:Operational)

Ich hätte auch PSCustomObject empfohlen, wenn ich den Thread vor Olaf gesehen hätte Du kannst aber auch an die originären VM-Objekte zusätzliche Properties pappen, kommt auf das gleiche raus.

Ja, ich kenne eines Lies Dir das hier zweimal durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Dann reden wir darüber, wie man das für lokale Admins auf Clients total einfach nutzen kann.

Warum setzt Du das als Regwert und nicht über https://gpsearch.azurewebsites.net/#1492 oder https://gpsearch.azurewebsites.net/#1493?

DAS wiederum unterstütze ich ohne Einschränkung

"net localgroup" und dann je nach Sprache "net localgroup administrators" oder "net localgroup administratoren". Was hat C:\Users damit zu tun? Und einen gibt es IMMER - SID "-500"...

Wie Nils sagt: Eine abstrakte DNS Domain, die der Firma GEHÖRT! Und das AD dann als Sub-Domain. Beispiel: Registrierte Domain: we-are-a-weird-company.de AD: total-nerds.we-are-a-weird-company.de Dann hast nie wieder Probleme mit AD-Renames oder DNS-Domains

@NorbertFe hat Recht. klist /purge schmeißt alle Tickets weg, beim ersten Zugriff auf eine Ressource wird ein neues Ticket angefordert, in dem die neue Gruppenmitgliedschaft enthalten ist. Klappt aber nur, wenn auch wirklich Kerberos am Start ist. Bei NTLM "ab und wieder anmelden"...

Ich bin ja schon bekannt für süffisante Kommentare, aber Deinen Humor verstehe nicht mal ich. Schönen Tag noch - und denk mal über %%a nach.

Olaf, man kann keine Denkfehler im Code haben, nur im Kopf SCNR...

Ja, ist es. Bei schtasks übrigens ähnlich... Das ist völlig wirr, was da lokalisiert wird und was nicht.

Nein, ist es nicht. Schlußendlich arbeitet ja alles, wie es soll - nur das MSI im Installer-Cache fehlt, deshalb schlägt die Deinstallation fehl. Wenn ich Freelancer wäre, würde ich dem TO ein Angebot zur Verhandlung über einen Vorort-Termin per PN schicken. Bin ich aber nicht, das scheidet also aus. Technisch ist das Problem identifiziert, nur "vorort gelöst" werden muß es jetzt noch Ach, btw: msizap aus dem Office Resource Kit wäre da auch noch ein nützliches Werkzeug. Aber nur, wenn man weiß, was man tut.

Sunny, fast "uneingeschränkt" gilt das für Administrative Vorlagen, ja. Viele andere CSEs haben da oft abweichendes Verhalten, aber die machen ja auch nicht nur trivial Reg-Werte... Die ADM-Templates verschwinden tatsächlich einfach so, wenn das (oder "die" - die Diskussion hatte ich mit MS Press seinerzeit auch) GPO gelöscht wird. Aber nur diejenigen, die auch per GPO kamen - setzt Du einen Reg-Wert in einem der 4 Policies-Keys manuell, überlebt der.

Nur so am Rande: %a und %%a ist Dir bekannt?

VM-Sync abschalten. Nur dann weiß man sicher, woher die Zeit kommt (oder kommen sollte). Wenn 2 Zeitprovider aktiv sind, hat das immer Potential für Irritationen...