daabm

Dann mach das mal

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN (Immer noch einer der besten Grundlagen-Artikel dazu)

..man könnte auch auf die Idee kommen, die Replikation instant anzustoßen und gar nicht zu warten. ym2c...

1. rsop.msc ist deprecated 2. "gpresult /h report.html" in einer Admin-Commandline ist Dein Freund Und im Rest bin ich bei Sunny61: Das ganze funktioniert millionenfach recht problemlos, nur bei Dir nicht. Wo könnte das Problem liegen? Klar, das hilft Dir nicht, aber das Problem liegt in Deiner Umgebung bzw. in Deinem Verständnis dafür. Ich lehne mich mal etwas aus dem Fenster: Wenn ich vor Ort wäre und das Konstrukt live sehe, brauche ich keine 5 Minuten, um Dein Problem zu vestehen, zu erklären und zu beheben. Hier im Forum finden wir aber leider sehr oft "vor-interpretierte" Infos - und da fehlen dann entscheidende Merkmale.

Ich kenn da aus ferner Vergangenheit so ne Daumenregel, die sich bewährt hat: Ab 3 Installationen muß es automatisch gehen. Klingt wenig, stimmt aber.

Klar ist das Kerberos. Mit dem Admin-Kennwort, das Du beim Join eingibst (oder dem Offline-Join-File bei Prestaging) hat der Computer ein Secret, um einen Secure Channel aufzubauen, und dann geht auch Kerberos.

Der Computer wurde mal neu gestartet, seit er in der OU ist?

Ahem - grad mal geschaut, "Turn off the store" gibt es für User und Computer... Hast Du beides geprüft?

Korrekt. Mit Vista hat MS diese Profilordner-Versionierung eingeführt (damals V2), weil das in weiten Teilen nicht mehr wirklich kompatibel war zu XP.

Olaf, das hilft nicht viel - es ist jeweils "speziell". Offiziell ja eine einfache JScript-Funktion, aber der Teufel steckt im Detail.

Jede "einfache" Ausgabe eines Objekts (und $table ist ein Objekt) gibt per Default vordefinierte Eigenschaften aus - und fast nie sind das alle...

Doch, kann er. Für den Join braucht's kein NTLM.

Wo ich das grad noch mal so lese: Da ist wohl doch Loopback aktiviert - oder Du hast ein grundsätzliches Verständnisproblem beim Anwenden von GPOs. Vererbung blockieren ist halt Vererbung blockieren. Screenshots aus der GPMC wären jetzt echt hilfreich.

Dunkle Erinnerung - da gab es mal ein Problem mit der Größe... Wirklich testen kannst Du das nicht, nur ausprobieren.

Du erwartest hier hoffentlich nicht wirklich engagierte Hinweise zum Weiterbetrieb von XP (Anders formuliert: Tot ist tot...)

Nein, das ist noch nicht wirklich verständlich. Was willst Du denn als Ergebnis haben? Ein Printscreen vom Suchergebnis "Seeungeheuer" Seite 1 und 2 - da reicht die URL, das hat Nils schon geschildert. Das HTML-Ergebnis kriegt man auch irgendwie weiterverarbeitet. Die Frage ist, was will man mit nem Screenshot von Seeungeheuer-Suchergebnissen? Also was willst Du WIRKLICH erreichen?

Mir war klar, daß Du das sagst - das ergab sich schon aus dem Eingangs-Post, und ich kann es sogar verstehen. Du kannst ja mal mit Heise/Mitsubishi/Stadtverwaltung abc/Krankenhaus xyz Kontakt aufnehmen, die aber alle "nur" nen Krypto-Trojaner hatten. Golden Ticket ist eine andere Hausnummer, da weiß der Angreifer so ungefähr alles, was er wissen wollte. Wenn er ganz cool war, hat er Euch (bzw. dem Kunden) nen PWFilter auf den DCs untergeschoben und damit ungefähr alle Kennwörter im Klartext abgegriffen. Das standardisierte Vorgehen von MS ist m.W. genau dieses: Rebuild from scratch. Mir ist völlig klar, daß ich das bei uns auch nicht machen wollte. Das wäre ein Super-GAU. Aber mental bin ich darauf vorbereitet, daß es passieren kann.

Vielleicht wäre jetzt der richtige Zeitpunkt, mal die Aufgabe exakt zu beschreiben. Ich glaube, Dein schon vorhandener Lösungsansatz ist nicht der "beste"...

Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch.

Alles richtig gemacht eigentlich. Jetzt noch Loopback Merge einschalten, und die Laufwerke werden verbunden Was ICH aber machen würde: Zielgruppenadressierung nicht auf "User ist Mitglied von Gruppe", sondern "Computer ist Mitglied von Gruppe". Und pro Raum machst Du eine Gruppe, in der die Computer drin sind.

...oder wenn Du das schon per GPP verteilst: Beschäftige Dich doch mal mit der Zielgruppenadressierung

Da gibt's ganz viele Möglichkeiten... Als Einstieg: https://stackoverflow.com/questions/22496847/installing-a-driver-inf-file-from-command-line

Das wenn ich noch genau wüßte... Heruntergefahren, wieder hochgefahren, das war's eigentlich. Aber das App-Zeug hat ja eh ein Eigenleben :-D Ja. Nur Account einrichten, und es reicht zum Lesen und Antworten. Und auf dem 2. Gerät nicht mal einrichten, einfach per Sync alles da. Ist schon praktisch. Outlook gibt's auch, aber bis das immer offen ist

Jan... ver | find "18363" > nul && goto :EOF

Du bist nah dran - aber irgendwie auch Lichtjahre weg Zugriff auf persönliche Daten macht man nicht über servergespeicherte Profile, sondern über sogenannte Homesets und Ordnerumleitung Das Mapping klappt nur, wenn der User auf den Share auch mindestens Leserechte hat Die Mappings per GPO unterstützen Zielgruppenadressierung - die macht man also alle in die gleiche GPO für "Authentifizierte Benutzer" im Sicherheitsfilter. Die einzelnen Mappings bekommen dann eine Zielgruppenadressierung auf die entsprechende Gruppe Laufwerkmappings verschwinden i.d.R. nicht von selber, die mußt Du über entsprechende gegenläufige Einstellungen explizit entfernen (Eine Zuordnung mit Aktion "aktualisieren", wenn in Gruppe - eine andere "Löschen", wenn nicht in Gruppe) GPOs wirken nicht auf Gruppen, sondern auf User und Computer. Wo die Gruppen sind, ist egal. Wenn es Computersettings sind, muß die GPO auf die OU des Computers wirken, bei Usersettings auf die OU des Users Google hilft Dir bestimmt, entsprechende Tutorials zu finden. Und wenn Du dann konkrete (!) Fragen hast, dann helfe ich gerne weiter.