zahni

Ich kenne die Office-GPOs nicht persönlich, aber vielleicht gibt es eine Richtlinie, die das Erstellen der Temp-Dateien im Ordner der Datei verhindert...

Bei Rund 70 Server-VMs werden die Dinger alle den gleichen Templates installiert... Aber wir sind jetzt Offtopic.

Das was man da machen kann, wird natürlich remote erledigt. Mit RSAT, Heyna & Co. Aber gerade Applikationen haben von diesen Tools noch nicht gehört. Bei DB2 ist es z.B. einfacher für bestimmte Dinge mit Adminrechten eine DB2-Shell am Server zu öffnen.

Nichts auffälliges, außer das Smb Signing am Server deaktiviert ist. Übrigens könnte noch ein Virenscanner dazwischen funken und z.B. das Erstellen der TMP-Dateien von Office verhindern.

Ich weis ja, Windows-Admins sind nur cool, wenn sie alles per Powershell machen (weil man nur so den Linux-Admins nacheifern kann). Sorry, mir fehlt die Zeit dazu. Ich muss mich hauptsächlich mit Applikationen rumärgern. Da brauche ich eine GUI auf den Servern. Und möglichst nicht die Touchscreen-Oberfläche von 2012R2. In sofern ist 2016 und 2019 ein Fortschritt.

Wie können nur weiterraten. Guck Dir alles an und poste detaillierte Informationen. Gibt es z.B. noch andere Bereiche auf dem DHCP? Gibt es andere DHCP Server? Was steht im Eventlog? Kann auch beim Client interessant sein, der keine IP bekommt.

Wenn Du in allen Netzsegmenten das gleiche Subnet hast, machst Du etwas falsch. Dann routet der Router nichts. Daher die Frage: Du hast also überall das gleiche VLAN und in keinem Router den IP Helper konfiguriert?

Was was wird denn nun geroutet? Jedes Subnet braucht einen Bereich im DHCP.

Was hängt denn "hinten" dran? Gibt es Router oder L3-Switche, die das Netz segmentieren?

Es gäbe da schon eine Übersicht: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/windows-commands

Und die passen in der "Pizzaschachteln" eh nicht rein.

Und hier noch ein Einwurf: Wenn die Lease-Time ausreichend lang ist, vergessen Geräte nicht gleich ihre IP-Adressen, wenn der DHCP nicht da ist. Einfach mal ausprobieren.

Poste mal den Inhalt vom Server HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters und vom Client HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Bringt, je nach DSLAM, u.U. überhaupt nichts.

Warum ist denn der Domänentyp bei Windows 7 2000 und bei 10 "2008 und höher"? Sind DC01 und DC02 wirklich in der gleichen Domäne?

Oder User@domain.irgendwas?

Gruppen sind generell unabhängig von einer OU zu sehen. In der Theorie sollen domänenlokale Gruppen keine Benutzer enthalten sondern nur globale Gruppen. Sie sollen zur Vergabe von Berechtigungen auf Ressourcen verwendet werden. In der "Realität" spielt das nur eine geringe Rolle, da man auch globale Gruppen verschachteln kann.

Einen Domain-User benutzen, der auf beiden Geräten ausreichende Berechtigungen hat. Zugreifen kann man dann per UNC-Pfad.

Schau Dir mal https://www.systemtools.com/hyena/ . Externe Tools kann man da hinterlegen. Und man bestimmte Aktionen so konfigurieren, dass sie nur dann ausgeführt werden, wenn ein Gerät auf ein PING antwortet. Die Tools kann auch die alte Computer-Browser-Liste integrieren. Wobei man darauf bei neuen Installationen eher verzichten sollte (braucht Netbios over TCP/IP, WINS und der Browser-Dienst).

Mit Hyena http://www.systemtools.com/ gibt es die Möglichkeit die Anlage von Home-Verzeichnissen zu automatisieren.

Mal lesen: https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016 https://support.microsoft.com/en-us/help/3000483/ms15-011-vulnerability-in-group-policy-could-allow-remote-code-executi https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

Welche SMB-Version wird verwendet? Wurde da irgendetwas am Client deaktiviert, z.B. 2 und 3? Falls SMB1 verwendet wird, ist das 1. doof und vielleicht wurde noch damit gespielt: https://support.microsoft.com/en-ph/help/296264/configuring-opportunistic-locking-in-windows

Für die Nutzer einer Netapp ist ein Upgrade auf Ontap 9.5P1 angeraten. Die SP-Firmware gibt es aber auch separat. Was womit kompatibel ist, müsst Ihr Netapp fragen: BTW: Manchen Entwicklern würde ich gern mal die Meinung sagen. Immer mit "default" Usern arbeiten, weil man sich die die vielen Passwörter nicht merken kann, und dann vergessen den Mist abzuschalten. The detailed advisory is posted at the following link: https://security.netapp.com/advisory/ntap-20190305-0001

Domänen-User <> lokaler User. In der Domäne musst Du einen Domänen-User nehmen. Der lokale User interessiert nicht. Hat Du Dich irgendwie mal in die Materie eingearbeitet?

Nein, muss es nicht. Das Drop-Down mit der Domäne gab es zuletzt unter WIndows XP.