daabm

Du führst angabegemäß folgenden Befehl aus: Wie wird denn daraus dieser Befehl aus der Fehlermeldung? Hast Du Remove-LocalGroupmember nachgebaut? (Edit: Bzw. hat das der Autor dieses Moduls nachgebaut?) Und um Lokalisierungsproblemen aus dem Weg zu gehen, könnte man sich die Well Known Groups auch gezielt holen (z.B. über den RID oder über die Builtin Roles). PS: Wenn Du die Member einmalig hinzufügst, könntest Du sie auch einmalig entfernen - Zielgruppenadressierung dazu, fertig.

Noooorbert...! Das hast Du sogar selber geschrieben: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Gut, könnte man mal alles in eine einzige GPO packen, per GPP Registry verteilen, dort mit Collections arbeiten, die ein ILT auf die Domainrole haben. Aber grundsätzlich ist es immer noch richtig

Das klingt NICHT nach diesem Skript als alleinige Ursache - Zitat von oben: Wenn das funktioniert, liegt es eher nicht am Skript, sondern an xyz, was in Deiner Umgebung auch noch so läuft.

Dann klemm schon mal die Beine zusammen, damit der Spagat nicht zu breit wird - sonst findst Dich in einer Reihe mit etlichen Kliniken und Stadtverwaltungen Sorry, aus meiner Sicht: Auch in "informierten" Unternehmen liegt die Hit Rate von APT bei deutlich über 20%, und da hilft nur "blocken, bis es weh tut".

Auch wenn hier eigentlich schon "zu" ist: Dem ist nichts hinzuzufügen. Wer in den Grundlagen verkackt, der verkackt auch im Endergebnis. Ich find's erschreckend, wie immer wieder sogar Behörden derart epic fail demonstrieren.

Dann mach das mal

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN (Immer noch einer der besten Grundlagen-Artikel dazu)

..man könnte auch auf die Idee kommen, die Replikation instant anzustoßen und gar nicht zu warten. ym2c...

1. rsop.msc ist deprecated 2. "gpresult /h report.html" in einer Admin-Commandline ist Dein Freund Und im Rest bin ich bei Sunny61: Das ganze funktioniert millionenfach recht problemlos, nur bei Dir nicht. Wo könnte das Problem liegen? Klar, das hilft Dir nicht, aber das Problem liegt in Deiner Umgebung bzw. in Deinem Verständnis dafür. Ich lehne mich mal etwas aus dem Fenster: Wenn ich vor Ort wäre und das Konstrukt live sehe, brauche ich keine 5 Minuten, um Dein Problem zu vestehen, zu erklären und zu beheben. Hier im Forum finden wir aber leider sehr oft "vor-interpretierte" Infos - und da fehlen dann entscheidende Merkmale.

Ich kenn da aus ferner Vergangenheit so ne Daumenregel, die sich bewährt hat: Ab 3 Installationen muß es automatisch gehen. Klingt wenig, stimmt aber.

Klar ist das Kerberos. Mit dem Admin-Kennwort, das Du beim Join eingibst (oder dem Offline-Join-File bei Prestaging) hat der Computer ein Secret, um einen Secure Channel aufzubauen, und dann geht auch Kerberos.

Der Computer wurde mal neu gestartet, seit er in der OU ist?

Ahem - grad mal geschaut, "Turn off the store" gibt es für User und Computer... Hast Du beides geprüft?

Korrekt. Mit Vista hat MS diese Profilordner-Versionierung eingeführt (damals V2), weil das in weiten Teilen nicht mehr wirklich kompatibel war zu XP.

Olaf, das hilft nicht viel - es ist jeweils "speziell". Offiziell ja eine einfache JScript-Funktion, aber der Teufel steckt im Detail.

Jede "einfache" Ausgabe eines Objekts (und $table ist ein Objekt) gibt per Default vordefinierte Eigenschaften aus - und fast nie sind das alle...

Doch, kann er. Für den Join braucht's kein NTLM.

Wo ich das grad noch mal so lese: Da ist wohl doch Loopback aktiviert - oder Du hast ein grundsätzliches Verständnisproblem beim Anwenden von GPOs. Vererbung blockieren ist halt Vererbung blockieren. Screenshots aus der GPMC wären jetzt echt hilfreich.

Dunkle Erinnerung - da gab es mal ein Problem mit der Größe... Wirklich testen kannst Du das nicht, nur ausprobieren.

Du erwartest hier hoffentlich nicht wirklich engagierte Hinweise zum Weiterbetrieb von XP (Anders formuliert: Tot ist tot...)

Nein, das ist noch nicht wirklich verständlich. Was willst Du denn als Ergebnis haben? Ein Printscreen vom Suchergebnis "Seeungeheuer" Seite 1 und 2 - da reicht die URL, das hat Nils schon geschildert. Das HTML-Ergebnis kriegt man auch irgendwie weiterverarbeitet. Die Frage ist, was will man mit nem Screenshot von Seeungeheuer-Suchergebnissen? Also was willst Du WIRKLICH erreichen?

Mir war klar, daß Du das sagst - das ergab sich schon aus dem Eingangs-Post, und ich kann es sogar verstehen. Du kannst ja mal mit Heise/Mitsubishi/Stadtverwaltung abc/Krankenhaus xyz Kontakt aufnehmen, die aber alle "nur" nen Krypto-Trojaner hatten. Golden Ticket ist eine andere Hausnummer, da weiß der Angreifer so ungefähr alles, was er wissen wollte. Wenn er ganz cool war, hat er Euch (bzw. dem Kunden) nen PWFilter auf den DCs untergeschoben und damit ungefähr alle Kennwörter im Klartext abgegriffen. Das standardisierte Vorgehen von MS ist m.W. genau dieses: Rebuild from scratch. Mir ist völlig klar, daß ich das bei uns auch nicht machen wollte. Das wäre ein Super-GAU. Aber mental bin ich darauf vorbereitet, daß es passieren kann.

Vielleicht wäre jetzt der richtige Zeitpunkt, mal die Aufgabe exakt zu beschreiben. Ich glaube, Dein schon vorhandener Lösungsansatz ist nicht der "beste"...

Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch.

Alles richtig gemacht eigentlich. Jetzt noch Loopback Merge einschalten, und die Laufwerke werden verbunden Was ICH aber machen würde: Zielgruppenadressierung nicht auf "User ist Mitglied von Gruppe", sondern "Computer ist Mitglied von Gruppe". Und pro Raum machst Du eine Gruppe, in der die Computer drin sind.