daabm

Ich kenn viele - ruf einfach mal ins Forum, ich kann Dir nicht helfen , bin nur Angestellter Und die Frage nach dem Stundensatz - nee, rechne mal in Tagessätzen, die dürften so um 2k liegen bei den guten. Das ist aber meist mehr als gut investiert. Will nur vor der Katastrophe immer keiner wahrhaben. Erst hinterher weiß man dann, daß das echt günstig gewesen wäre... Das Konstrukt mit "Tochterfirma" und kein physischer Zugriff macht es auch nicht einfacher - da hülfe evtl. ein bundesweit tätiger Dienstleister, der dahin dann auch kurze Wege hat. Aber da bin ich dann komplett raus.

Hm, schwierig. Wer ist SERVER5, wer ist SRV-G-DC0, von welchem Server sind die Events? So rein von den Meldungen her hast Du möglicherweise auch noch DNS-Probleme. Das meinte ich mit "Plan machen". Strukturiert vorgehen. Wenn es geschäftskritisch ist: HOL DIR JEMAND INS HAUS. Edit sagt: "Ins Haus" geht notfalls auch remote per Teamviewer oder beliebiges anderes Produkt. Muß nicht "in persona" sein.

Dann hilft klassische Diagnose. Was genau bedeutet "verabschiedet"? Was steht im System- und Application-Eventlog? Und noch mal: Du machst einen echt hektischen Eindruck. In der Ruhe liegt hier aber die Kraft - überstürzte Aktionen führen zu überstürzten Ergebnissen.

Wenn der neue DC alleine nicht funktioniert, dann lass den SBS PDC sein - und siehe oben: Mach einen sauberen Plan und lass den gegenprüfen. Hektik ist hier kontraproduktiv.

Der SBS will PDC sein. Der holt sich die Rollen nicht zurück, der fährt dann runter, wenn er nicht mehr PDC ist.

Wie, Du bist Admin auf nem DC und hast keinen Zugriff auf das AD? Und wenn ein Rechner als VM läuft: utilman.exe hilft immer, wenn man auf die VHD Zugriff hat. DC oder nicht... Ich würde ja mehr Ruhe und Planung beim Vorgehen empfehlen. Erst nachdenken, dann Plan machen, Plan überprüfen, Plan überprüfen lassen, Plan umsetzen.

[OT]Manchmal muß ich nicht nur, sondern will sogar Neuester Streich: Bevölkere die lokale Hyper-V Administratoren Gruppe mit Usern/Gruppen aus der Domäne. Problem: Gruppenname ist sprachabhängig und in den GPP "Local Users and Groups" nicht als vordefinierte Gruppe enthalten. Lösung: Item Level Targeting mit WMI-Abfrage auf die SID und LocalAccount="True", Property "Name" in Variable speichern und die als Gruppenname verwenden.[/OT] @Aehrfoordt bist du mit dem GPResult weitergekommen?

Darfst auch gerne auf den Crosspost im Technet hinweisen - hier sind viele, die auch dort unterwegs sind

@Weingeist ketzerisch finde ich das nicht mal - mir fehlt in Deiner Liste nur eins: Externes Backup. Mit dem Rest bin ich völlig einverstanden, läuft hier privat auch so (ist quasi eine 3-Mann-Firma). Kosten/Nutzen ist privat natürlich noch mal relevanter, das externe Backup fehlt mir noch - im Moment läuft es auf dem VM-Host mit. Suboptimal, wenn da die Platten abrauchen Ich hoffe, es hält, bis das externe Backup realisiert ist. Und wenn nicht - da privat, liegen die wirklich wichtigen Sachen eh in OneDrive. Gibt ja keine Datenbank, nur Dateien. @noobi Der Tip von Nils ist gerechtfertigt. Kostet vielleicht 2k Euro, dann gibt's nen klaren Fahrplan ohne irreführende Sackgassen oder übertriebene Ausstattung.

So sieht's aus. SW-Deployment per GPO über MS VPN ist nahezu aussichtslos - und auch ohne VPN ist es eine Sackgasse.

Du hast die falsche Antwort als "die Antwort" markiert - richtig wäre die von @MurdocX gewesen

LOL - zu viel Infrastruktur im Zeitdienst Und zu viele Firewalls, um die man sich kümmern muß - woher kenn ich das?

wf.msc hilft da auch weiter - Du kannst da eine Spalte "Regelquelle" einblenden, da steht dann notfalls die ausschlaggebende GPO drin. Könnte einfacher sein als der HTML-Report Und wenn Du meinst, Deine OU- und GPO-Struktur wäre undokumentiert und komplex: Nein, ist sie nicht. Egal wie sie aussieht, ich hab hier eine, die gewinnt da auf jeden Fall Über 15.000 GPOs... (Nein, kein Tippfehler, das ist eine 15 mit 3 Nullen.)

Wenn man den Gruppennamen braucht, geht das immer über WMI. In den GPP "Local Users and Groups" dann per Zielgruppenadressierung mit WMI-Abfrage und Eigenschaft "Name" in Variable. Und überhaupt berechtigt man niemanden per Skript - https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Da stehe ich auch gerne für weitere Infos zur Verfügung - wir setzen das grad im Enterprise um. Hat etwas gedauert, weil das "nachträglich" kaum ohne Verluste geht

Dann haben sich weitere Antworten wohl erübrigt

Die hartnäckige local CMos Clock kenne ich nur von VMs, wo die Zeitsynchronisation eben NICHT deaktiviert war.

Es kann so einfach sein, wenn man sich an den existierenden Anleitungen orientiert: Zeitidienst per GPO, WMI reparieren, VM Zeitsync abschalten (Ja hilft niemandem mehr, aber mir ist langweilig und ich muß meine 5000 Wörter am Tag schreiben... )

Korrekt. Anpassungs-Relativität korrigieren, dann klappt's auch mit dem Nachbarn

Das ist ein Objektproblem - jedes Element deiner Arrays ist ein eigenständiges Objekt. Diese Objekte hast Du jetzt in 2 Arrays aufgenommen. Änderst Du das Objekt in Array3, dann ist das natürlich das gleiche Objekt wie in Array2.... Entweder mit "Select" neue Objekte erzeugen (wie oben) oder die Arrays vorher klonen.

Was liefert w32tm /query /source?

Ne, das wird an genau einer Stelle verwendet - für den privaten Passworttresor.

rasphone.pbk war das mal, da gab's nen Eintrag um das abzuschalten. Ich kann gerne suchen, aber das kannst Du ja auch selbst

Fast alle Commands von net.exe unterstützen den Parameter /Y, der Nachfragen unterdrückt. Und wenn New-LocalUser nicht gefunden wird, würde ich mal eine aktuelle OS//Powershell Version heranziehen

Full ACK von Martin, dessen privates Kennwort nicht ganz so lang ist (24 Zeichen), aber auch noch nie geändert wurde

Das kapier ich dann leider auch nicht Schön wäre ein Trace am Client - einfach mal sehen, was der denn so an Authentifizierungsversuchen wo hin schickt.