MurdocX

Da der Client über das DNS seinen Standort mit dem dazugehörigen DC sucht, tendiere ich gefühlt dazu, dass du die C-Netze eintragen musst. Fall keine "Netlogon" Fehlermeldung am DC erzeugt wird, würde ich es so lassen :rolleyes:

Um Fehler abzufangen könntest du es mit "Try{} Catch{}" probieren. Der Fehler wird in der "$_" gespeichert. Try { # Befehl } Catch { # Ausführung im Fehlerfall Write-Host "$_" }

Ein Auszug aus der Technet für "Unblock-File" "The Unblock-File cmdlet lets you open files that were downloaded from the Internet. It unblocks Windows PowerShell script files that were downloaded from the Internet so you can run them, even when the Windows PowerShell execution policy is RemoteSigned. By default, these files are blocked to protect the computer from untrusted files." Diese Blockade ist auch unter "Eigenschaften" > "Allgemein" unten zu sehen. Dort wird mit einem Sicherheitshinweis darauf hingewiesen, dass sie evtl. blockiert wurde. Sie kann dort direkt entsperrt werden. Bei ZIP-Dateien wird der gesamte Inhalt entsperrt.

Deine Lösung ist kurz und prägnant, das ist nicht von der Hand zuweisen :D Vordefinierte PS-Skripte hab ich in den technet-blogs gefunden. Hier hat sich einer die Mühe gemacht das Prozedere zu vereinfachen :) http://blogs.technet.com/b/heyscriptingguy/archive/2014/11/22/weekend-scripter-use-powershell-to-get-add-and-remove-ntfs-permissions.aspx

@daabm Jain ;-) @Kuddel Hier ein kleines Beispiel für die Berechtigung "Ändern" auf ein Verzeichnis. Das ist aus einem Skript von mir. # Definition $objUser = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList ("DOMÄNE\USER") $colRights = [System.Security.AccessControl.FileSystemRights]'Modify' $InheritanceFlag = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit $PropagationFlag = [System.Security.AccessControl.PropagationFlags]::None $objType = [System.Security.AccessControl.AccessControlType]::Allow $objACE = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList ($objUser, $colRights, $InheritanceFlag, $PropagationFlag, $objType) $acl = Get-Acl $FQPath $acl.AddAccessRule($objACE) # DO! $acl | Set-Acl $FQPath

Get-ADGroupMember -Identity "GruppeABC" | Get-Member Dieser Befehl liefert Dir die Methoden und Eigenschaften des Befehls "Get-ADGroupMember". Über die Pipe mit FL (Format-List) kannst du dann dir die gewünschten Eigenschaften anzeigen lassen.

Probier´s mal mit Out-File

Normal ist mal nicht, dass du so oft Verbindungsabbrüche auf deinem Switch hast (-; (UP/DOWN der Ports). Irgendwo muss man mal anfangen und da könntest du starten.

Da du neu auf dem Gebiet der Roaming Profiles bist, empfehle ich Dir diese Anleitung: https://technet.microsoft.com/de-de/library/jj649079.aspx Servergespeicherte Profile würde ich nie auf einen Terminalserver legen, sondern immer in eine Freigabe im Netzwerk (Organisation, Performance, Sicherheit). Bevorzugt auf einem Fileserver oder NAS/SAN. Nachtrag: In den Collections / Sammlungen kannst du das Verhältnis, sowie die maximale Benutzeranzahl für einen Terminalserver, festlegen.

Um welche virtuelle Umgebung handelt es sich denn?

Daten werden umgezogen - verstanden Benutzer bekommen ein LW gemappt (autom.) - verstanden Benutzer sollen Ihr Passwort im vorhinein ändern - verstanden Nur in Kombination, die Logik - nicht verstanden Könntest du kurz erklären warum du das genau so machen möchtest? Warum wird ein Netzlaufwerk zur Passwortänderung gemappt und dann wieder getrennt?

Versuche es mal mir "Rsop.msc". Dort kannst du dir die angewendeten Office-Policys auf dem Client anschauen.

Besitzt der "abfragende Benutzer" auch die benötigen Berechtigungen? Welche Berechtigung hat der "abfragende Benutzer"?

Was heißt denn "zu viel"? SystemState ist die richtige Richtung! Mit Ntdsutil kannst du Snapshots und ein "Backup" der DB erzeugen. Das ist aber nur EIN Teil den du benötigst. Hier ist z.B. das Sysvol noch nicht mit inbegriffen. Im Fall des Falles ist ein SystemState Gold wert, glaub mir!... Egal wie groß. ;-)

Guten Abend :) Hier erst mal eine Anleitung u. Infos für den CentralStore findest du hier: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/ "schon bei der Akutalisierung der Gruppenrichtlinien erhalte ich Fehlermeldungen." Welche hast du denn bekommen? "Muss ich die bestehenden Files überschreiben oder nur die Neuen hinzufügen?" Am besten entfernen und neu hinzufügen. Halte ich mal für die sicherste Variante. "Vorlagen öffnen will, erhalte ich Fehlermeldungen." Vermutlich hast du den Ordner im Sysvol nicht richtig angelegt. "PoliciesDefintions" -> "PolicyDefinitions" ;-) RSAT sollte am Besten in der unterstützten Version zum jeweiligen Betriebssystem zum Einsatz kommen. Für 2008 -> Windows Vista, 2008 R2 -> Windows 7, 2012 -> Windows 8, 2012 R2 -> Windows 8.1

Danke, das kann ich nur zurück geben. :) Ex13 CU8 installiert, Regen und später noch "Maibaum aufstellen" und den Abend überstehen... Was für ein Tag heute :)

Ne so wird das nix... ;) Habe leider keine Zeit, deswegen werde ich Dir mal nur den Code in den Raum schieben... Den Rest musst du Dir aber erst mal selber anpassen! Ändere den Besitzer und passe Dir die Berechtigungen an wie du sie brachst und fertig ;-) $Permission = Get-ChildItem -Path 'C:\Test' | Get-Acl ForEach ($Obj in $Permission) { $objUser = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList ("BESITZER") $colRights = [System.Security.AccessControl.FileSystemRights]'Modify' $InheritanceFlag = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit $PropagationFlag = [System.Security.AccessControl.PropagationFlags]::None $objType = [System.Security.AccessControl.AccessControlType]::Allow $objACE = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList ($objUser, $colRights, $InheritanceFlag, $PropagationFlag, $objType) $acl = Get-Acl $FQPath $acl.AddAccessRule($objACE) }

Erläuterung Das Skript prüft folgende Richtlinie: Nachname 6 Zeichen, Vorname 2 Zeichen. Es generiert aus Vor- und Nachname einen Benutzernamen und prüft diesen auf Richtlinienkonformität (vergleicht den aktuellen SamAccountName). Durch das Verändern der Variablen intLaengestrVorname und intLaengestrNachname kann Einfluss auf die Generierung genommen werden. Achtung: DOMAINCONTROLLER, ORAGANISATIONSEINHEIT, DOMÄNE und PFAD müssen noch angepasst werden! Viel Erfolg mit meinem Skript :) Skript #requires -Version 1 -Modules ActiveDirectory # Deklaration [String]$strKonvention = '' [String]$strVorname = '' [String]$strNachname = '' [String]$SamAccountName = '' [Int]$MissigChars = 0 [Int]$intLaengestrVorname = 2 [Int]$intLaengestrNachname = 6 # Abfrage der AD-Benutzer Write-Host -Object '[+] Informationen werden abgerufen. Bitte warten...' -ForegroundColor Yellow -NoNewline try { $ADUser = Get-ADUser -Filter { Name -like '*' } -Properties SamAccountName -AuthType Negotiate -Server 'DOMAINCONTROLLER' -ErrorAction SilentlyContinue -SearchBase 'OU=ORGANISATIONSEINHEIT,DC=DOMÄNE,DC=DOMÄNE' Write-Host -Object '[OK!]' -ForegroundColor Green } catch { Write-Host -Object "[ERROR] Fehler in der AD-Abfrage!`n$_" -ForegroundColor Red Exit } # Objektverarbeitung foreach ($User in $ADUser) { try { # Füllen der Variablen $strVorname = $User.GivenName $strNachname = $User.Surname $SamAccountName = $User.SamAccountName # Benutzernamen generieren If ( $strNachname.Length -ge $intLaengestrNachname ) { # generiere $strKonvention = $strNachname.SubString(0,$intLaengestrNachname) + $strVorname.Substring(0,$intLaengestrVorname) } # Benutzernamen generieren If ( $strNachname.Length -lt $intLaengestrNachname ) { # Berechne fehlende Zeichen $MissigChars = $intLaengestrNachname - ($strNachname.length) # generiere $strKonvention = $strNachname + ($strVorname.Substring(0,($intLaengestrVorname+$MissigChars))) } # Vergleiche die strKonvention mit dem Benutzerobjekt if ($SamAccountName -notlike $strKonvention) { Write-Host -Object "[!!] Unstimmigkeit gefunden! Vorname:'$strVorname', Nachname:'$strNachname', Erwartet:$strKonvention, Vorhanden:$SamAccountName" -ForegroundColor Yellow Out-File -FilePath 'PFAD' -Append -InputObject "[!!] Unstimmigkeit gefunden! Vorname:'$strVorname', Nachname:'$strNachname', Erwartet:$strKonvention, Vorhanden:$SamAccountName" } } catch { Write-Host -Object "[ERROR] $_" } }

Ist das noch aktuell, sonst würde ich mich da mal dran probieren ;-) ?

$Inhalt = Get-Content -Path 'PFAD' "Client, Number`n" + $Inhalt | Out-File -FilePath 'PFAD' Aus dem Kopf heraus, hätte ich jetzt das hier mal probiert.....

OT: Für alle die das btw. auch interessiert, ist hier eine offizielle Aussage von MS: https://social.technet.microsoft.com/Forums/windowsserver/en-US/3816efc7-255f-4f01-a71d-f27be627e439/authenticated-users-vs-everyone

Passwort ändern Strg + ALT + Entf > "Kennwort ändern" Domänenübergreifend kenne ich nichts. Hier handelt es sich ja um eine komplett andere Domäne mit eigenen Objekten. Per Skript könnte ich mir das jedoch schon eher vorstellen.

Falls dafür eine Gruppenrichtlinie angelegt wurde, kann über die "Delegierung" eine Übernahme der Richtlinie verweigert werden. Hinweis: Über die GPP können auch Netzlaufwerke gemappt werden ;)

Ich verstehe das Ganze noch nicht so ganz.. In einem Austauschverzeichnis soll doch normal jeder Benutzer alles sehen, um die vom dem Kollegen abgelegte Dateien sich von dort herunterzuladen. Hier sollen aber vorhandene Dateien nicht angezeigt werden?! Das musst du jetzt nochmal erklären ;) Warum nicht "Authentifizierte Benutzer" ? Sonst hast du afaik auch "Anonymous" mit an Board!

Jeder Hinweis ist ein Hinweis zu viel, laut meiner Erfahrung ;-) Richtlinie Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Update > "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind" AKTIVIEREN Und dann, wie Sunny61 empfiehlt, die Updates um 12 Uhr installieren lassen und die Rechner gegen 22 Uhr ausschalten lassen. So verfahren wir übrigens auch. :)