daabm

Nö, sollte man nicht. Willkommen in der Neuzeit :p A propos: "Ein DC ist immer DNS/DHCP" - das funktioniert erst ab 2012 einigermaßen. Vor allem mit dem DHCP... :rolleyes: Und von AD-integriertem DNS hast Du schon mal gehört? Dein Post klingt nicht danach... :nene:

Um Nils zu ergänzen: Das Modell nennt sich "Single Domain Single Forest" - lieber ein Trust als ein Domain Tree, ist deutlich einfacher :cool:

Bei einem Trust werden NIE Kennwörter synchronisiert. Der "Gag" dabei ist, dass Du den ursprünglichen Account verwendest. Und in allen Umgebungen, die ich kenne (wir haben bei uns etwa 1000 Forests mit etwa 1500 Trusts) klappt das völlig problemlos und transparent. Da ist wohl eher was mit Deinem Trust nicht in Ordnung...

Sagt Dir "Forwarder" schon was? Und Dein Szenario 2 ist eher Unfug - jeder DC ist generell auch DNS, und jeder DC verwaltet die Zone seiner Domain. So einfach ist das.

Zwinge Kerberos, TCP statt UDP zu verwenden. Wenn die Kerberos-Daten nicht in ein einziges Datenpaket passen und per UDP vesendet werden (Standard bis 2048 Byte), dann können die beim Empfänger "out of order" ankommen. Und leider kann Kerberos damit nicht umgehen, obwohl es das eigentlich müßte, wenn es UDP verwsendet. Wenn Du eine Suchmaschine bedienen kannst, reicht das als Info. Wenn nicht, dann sag nochmal Bescheid. :cool:

Da wirst Du hier keine Antworten bekommen (hoffe ich wenigstens...) Abschreiben war noch nie zielführend.

Hmpf... Security Eventlogs der Domain Controller nach Account Lockout prüfen, da steht doch drin, von welchem CLient und wann genau das verursacht wurde. Und dann "Jugend forscht" :cool:

Das ganze ist ja kein NTFS-Problem, sondern ein Problem des Win32-APIs, das diese bescheuerte Beschränkung enthält... Übrigens am einfachsten: robocopy /mov - damit kannst Du den ganzen Baum auf einen USB-Stick oder eine USB-Platte verschieben und DEN/DIE dann hinterher formatieren :cool:

Ja, den legst Du einfach an.

"Gezogen, aber nicht aktiv" - was soll das heißen? Wird laut "gpresult /h report.html" Dein Anmeldeskript ausgeführt oder nicht?

Na, dann musst Du ihm ja eh mindestens schon 2 IPs gegeben haben - dann gib ihm halt noch ein paar weitere :D

Mir persönlich fehlt da die konkrete Frage - oder ist hier doch ein Beratungsforum, und ich hab's nicht mitbekommen? :cool:

Welche Rechte hast Du Share- und NTFS-seitig auf \\Server\Share gesetzt? Damit Offlinedateien funktionieren, muss der User ab "Share" Leserechte haben.

Was hat jetzt "Domänenmitglied" und "Server aus" mit "normal arbeiten" zu tun???

Warum sollte es - bei Deiner Umleitung - einen Unterordner anlegen? "Documents" ist "\\fileserverdfs\user\basislw\speer_sven\"... Ich würde weder den Basisordner nehmen noch Bilder/Musik folgen lassen -> http://www.mcseboard.de/topic/199149-verst%C3%A4ndnis-serverseitiges-profil-und-ordnerumleitung/?do=findComment&comment=1239350

Sorry - das ist eben NICHT korrekt... Zumindest nicht im praktischen Betrieb: 1. Nimm nicht "Einen Ordner für jeden Benutzer...", sondern "An folgenden Pfad umleiten". Und dieser Pfad sei %homeshare%%homepath%Documents (für Dokumente) bzw. hinten raus halt was anderes für die anderen Ordner. Und NEIN, dieser Pfad enthält tatsächlich keinen "\"... 2. Bilder/Videos/Musik folgen NICHT dem Ordner Dokumente, sondern liegen daneben. 3. Speichern und kommt nicht an? Hast Du ein Problem mit den Offline-Dateien? (Umgeleitete Ordner werden automatisch offline verfügbar, d.h. das Speichern erfolgt zunächst lokal. Im Hintergrund wird dann - i.d.R. innerhalb der nächsten 5 Minuten - das Dokument auf den Server synchronisiert) Und zum Thema Offlinedateien: Damit die funktionieren (siehe Punkt 3), benötigt der Benutzer auf dem kompletten Pfad ab Freigabeebene mindestens "Ordner auflisten" (aka "Lesen").

Netmon ist ein guter Ansatz. Und zu "hängt beim ersten Start" - wie weit kommt er denn? Steht schon die Homepage in der Adressleiste oder bleibt alles weiß?

...und ich versteh die Frage nicht... Die Rechnungen sind doch schon da inkl. Betrag, was kannst Du da noch "kostenoptimieren"? SCNR :p

Unter 2012/Win 8 funktionieren die GPP "Ordneroptionen -Öffnen mit" nicht mehr, da keine Schreibrechte vorhanden sind. Gibt im englischen GPO-Technetforum auch ein paar Beiträge dazu. Hab mir das vór längerer Zeit auch mal im Detail angeschaut. Wenn Du zum folgenden Fragen hast: Einfach fragen... Manually chose to open MP4 and TXT with 7zg.exe as default. GPP to assign MP4 -> notepad.exe :-) and TXT -> notepad.exe (action "update"). First try in user context -> no change. This was expected because of the above ACL. Unchecked "run in logged in users context -> no change again - that's what we don't understand right now. It SHOULD work, but it doesn't. So I opted for action "replace". Still not working. Hands up for Mark Russinovich - "if you don't know what to do, use process monitor". Date & Time: 2/19/2014 10:42:34 AM Event Class: Registry Operation: RegSetValue Result: SUCCESS Path: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MP4\UserChoice\Progid TID: 2952 Duration: 0.0000155 Type: REG_SZ Length: 50 Data: Applications\notepad.exe So the value indeed IS written correctly. But what I see in regedit is still 7zg.exe? Yes - GPP writes to HKU\.DEFAULT... Ok, I'm running as SYSTEM right now, and SYSTEM is S-1-5-18 which .DEFAULT links to. Back to "run in logged on users context". Now we see the following event: Date & Time: 2/19/2014 10:49:07 AM Event Class: Registry Operation: RegOpenKey Result: ACCESS DENIED Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4\UserChoice TID: 2952 Duration: 0.0001901 Desired Access: All Access As expected - we have a deny ACL in place...

Was Du willst, geht AFAIK mit Bordmitteln nicht.

Du kannst das so nicht machen. 1. Laufwerke werden verbunden, bevor Ordner erstellt werden. Beim ersten Mal geht das also sicher schief. Wenn Du die Idee haben solltest, den Ordner per "Group Policy Preferences" zu erstellen. 2. Die Rechte auf diesem Ordner stimmen dann i.d.R: nicht. 3. Es ist kein echter Basisordner. Insbesondere die %homexxxx%-Variablen fehlen Dir dann. 4. Du kannst keinen Ordner "erstellen", indem Du einfach einen Net Use darauf machst. Der Ordner muß schon existieren. Trag's im AD-Profil ein und erstelle die Ordner per Skript. Beispiele gibt es zuhauf.

Noch ne Anmerkung meinerseits: Du möchtest langfristig auf servergespeicherte Profile verzichten und lieber alle relevanten Daten per Ordnerumleitung (nach %homeshare%%homepath%Documents etc...) im Basisordner speichern. Wenn Du jetzt fragst "warum"? Weil RUP (Roaming User Profiles) ein Alptraum sind, wenn Du mit Win7, Win 8, WIn 8.1 und das auch noch gemsicht 32 Bit/64 Bit hantierst. Spätestens bei 32/64 Bit wird das völliger Schrott Frag mich mal, woher ich das weiß... :confused: Zum Nachlesen: http://support.microsoft.com/kb/2384951 Interessant dabei: Sie supporten das Mischen nicht. Aber sie sagen uns nicht, wie wir's lösen können ohne auf RUP zu verzichten :cool:

...und immer dran denken: Bei "Loopback Merge" braucht ab Vista/2008 der Computeraccount Leserechte auf die User-GPOs, damit sie angewendet werden.

Bei WIn7: NICHT gpedit.msc aufrufen, sondern MMC. Dann Snapin hinzufügen, und hier hast Du dann die Möglchkeit, Benutzer oder Admins auszuwählen.

acctmgmt.dll aus dem 2003 Resource Kit suchst Du... Aber siehe oben: Erweiterte Features einschalten und "Attribut-Editor" verwenden ist die zeitgemäße Lösung.