Sunny61

Du kannst es versuchen mit einem lokalen Benutzer, gleicher Login und PW wie auf dem anderen PC. Nochmal zum Verständnis für mich. Der Fatclient im B-Zimmer ist in der Domain, der User der automatisch angemeldet wird, ist nicht in der Domain. Jetzt sollen sich die User, die davor sitzen, sich mit ihrem Login auf dem entfernten Arbeitsplatzrechner mit ihren Domain Credentials anmelden können? Beantworte bitte noch meine zweite Frage wegen der neuen Domain.

Wer genau steht denn jetzt in der lokalen Gruppe der Remotedesktopbenutzer? Weshalb neue Domäne? Bist Du nicht der Admin?

Dann solltest Du zuerst aktualisieren. 4 CUs fehlen. Hier findest Du eine exakte Aufstellung: https://docs.microsoft.com/de-de/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2016

Wenn Du den Wert kennst, kannst Du das mit Hilfe einer Stored Procedure machen. Die SP heißt SearchAllTables und kann aus diesem Posting kopiert werden: https://stackoverflow.com/questions/15757263/find-a-string-by-searching-all-tables-in-sql-server-management-studio-2008/19846145#19846145 Oder auch als einfach AdHoc Abfrage laufen lassen: https://stackoverflow.com/questions/15757263/find-a-string-by-searching-all-tables-in-sql-server-management-studio-2008/45585548#45585548

Im OP schreibt der TO von Windows 7 Clients.

Naja, wenn nur Zeit ist um die Systeme am Leben zu halten, ist keine Zeit um sich zu informieren.

Er glaubt wohl mit den März Updates die Zwangs SSL Verschlüsselung zu bekommen.

Probier es doch einfach mal aus. Dauert ungefähr 5 Minuten. Natürlich streichst Du das Script zum Test aus dem AD Objekt raus. Weißt du denn wo in den GPO Einstellungen Du das Script angeben musst?

Also kein GPO sondern im Benutzerobjekt unter Anmeldescript? Hier unter Logon Script: Bild ist von dieser Website: http://www.selfadsi.de/user-attributes-w2k8.htm Du kannst dem User auf diesem Rechner ein neues Benutezrprofil verpassen oder das Script wirklich in einem GPO unterbringen, im AD-Objekt dann entfernen.

Danke Norbert, prüfe ich. ;)

Wo genau in den Einstellungen hast Du das Script eingestellt? Betrifft das nur diesen 1 User oder alle User? Falls nur der eine User betroffen ist, ist das Problem auf allen Clients auf denen sich der User anmeldet doer nur auf dem einen Client?

Mit Delprof2 von Helge Klein sollte das funktionieren: https://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/

@zahni Die Einstellung kann ich in der GPMC nicht finden.

Mit dem GPO kannst Du lokal einen User anlegen, nicht mehr und nicht weniger. Man kann so eine Einstellung setzen, wenn man lokale Benutzer für bestimmte Dinge benötigt. Zum Beispiel einen lokalen Administrator oder einen lokalen Installationsbenutzer. Ein Benutzer in der Domain hat manchmal zu viele Berechtigungen. Aber ein User der im AD angelegt ist, sollte nicht lokal ein zweites Mal angelegt werden. Ein User aus der Domain muss sich einmal am Client anmelden, wenn der Client eine Verbindung zum AD hat, danach braucht der User und der Client niemals wieder eine Verbindung zum AD. BTW: Es heißt einsetzen. :)

Und wo wird es aufgerufen? Als geplanter Task bei der Anmeldung oder als GPO-Einstellung?

Mit einem lokalen User hebelst Du sehr viel aus, GPO-Einstellungen für Domänen Benutzer greifen dann nicht mehr. Und vieles andere vermutlich auch nicht. Der Domänen User kann doch am Client selbst sein PW ändern, sobald der Client dann im AD ist, wird das PW AFAIK gegen das AD gesynct. Er kann es natürlich auch zusätzlich gleich über OWA ändern.

Dafür braucht man aber nichts zu tun, wenn der User und der Computer in der Domain ist, dann ist nichts weiter zu tun. Auch dafür braucht man keinen User lokal anlegen/erzeugen. Wo genau hängst Du? STRG, ALT + ENTF > Kennwort ändern auswählen. Über welches Webmail meinst Du? OWA = Outlook Web Access? Damit die Anmeldedaten am PC auch geändert werden, muss der Client eine Verbindung zum AD bekommen, richtig. Das macht man am sichersten über einen VPN Zugang.

Weshalb möchtest Du einen User aus der Domain auch lokal anlegen? Was sind die Anforderungen? Was möchtest Du erreichen? Nicht den Weg beschreiben, sondern die Anforderungen, die Aufgabe die erfüllt werden soll.

Wie lange nach der Anmeldung wird das Script ausgeführt? Wie bekommt der User das Script? Per GPO? Per GPP oder liegt das Script im Netlogon Verzeichnis?

Danke für die Rückmeldung. ;)

Mit W10 hat MSFT die Servergespeicherten Profile verschlimmbessert. Auch unter den früheren Betriebssystemen hat das immer wieder zu Fehlern geführt, unter W10 wurde es IMO gefühlt viel schlimmer. Ordnerumleitung mit Offlinesychronisierung für die User einstellen, die mit mobilen Geräten unterwegs sind. Die von dir gen. Einstellungen sollte man vollständig per GPO erschlagen, das ist dann zentral gesteuert.

Für uns schon... :)

Eine Aktualisierung des BIOS kann sicherlich auch nicht schaden. ;)

OK, bin gespannt auf ein Feedback dazu. ;)

Servergespeicherte Profile entsorgen und nur die Ordnerumleitung weiter einsetzen. Zumindest solltest Du das testen. BTW: Es ist ein Ha*k*en. ;)