daabm

...ich werfe mal "klist /purge" in den Ring. Oder "Screen Saver Unlock" :cool:

BMR? Weil das ggf. einfacher ist als ein Tombstone Recovery einer gelöschten Root-OIU, in der alle meine Accounts waren und ich noch ohne Papierkorb fahre... :cool: Zum Thema GPO-Backup: http://evilgpo.blogspot.de/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html

Wie Nils schon sagt... Und allgemein: Alle Verwaltungsfeatures immer und überall installieren, dann fehlen sie im Bedarfsfall auch nicht...

Ich hab das mit dism noch nie probiert, mit ImageX (aus dem AIK von Windows 7) hat es problemlos funktioniert (und tut es bei uns noch heute, um x86 und amd64 in das gleiche wim zu packen). Kann es sein, daß dism das Mergen nicht richtig beherrscht?

LmCompatibilitylevel (LM/NTLM/NTLMv2) und SMB-Signing überprüfen...

AD und GPO gibt's nur auf Domain Controllern, und davon hast Du mehrere. Daher mußst Du Dir um Ausfälle keine großen Sorgen machen...

Da muß ich mal etwas Eigenwerbung machen, auch wenn ich dafür möglicherweise vom MOD auf die Finger bekomme... http://www.amazon.de/Windows-Server-2012-R2-Gruppenrichtlinien-Netzwerkverwaltung-ebook/dp/B00HETF014/ref=sr_1_1?ie=UTF8&qid=1406389105 lesen, denn Kapitel 10 beantwortet Deine Fragen. Und wegen "Achso, bei mir gibt es den Internet Explorer. mehr nicht ! FF Portable? was soll das?" - wie stellst Du das sicher? AppLocker/SRP aktiv, oder verläßt Du Dich auf das Unwissen der Anwender? Internetzugang per GPO steuern GEHT NICHT. Punkt. Und man könnte es soo einfach widerlegen...: C:\Users\martin>dsquery * -filter "(name=domain controllers)" -attr objectclass objectclass top;organizationalUnit; Warum das im Englischen wohl "organizational" heißt und nicht "organization"... Besch****te deutsche Übersetzung halt, die seit 15 Jahren für falsch aufgebaute AD-Strukturen sorgt :cool:

Wenn Du ein IE10-Element erstellst, enthält es per Default "Startoptionen" und "Browserverlauf". Und wenn Du die einzelnen Registerkarten aufgerufen hast, aktiviern die auch (ohne weiteres Zutun) diverse Standardelemente... b***d, ist aber so. Klickst Du z.B. einmal auf "Erweitert" und machst da sonst nichts, fängst Du Dir automatisch folgende Settings ein: Grafikkarte mit BeschleunigungSoftwarerendering anstelle von GPU-Rendering verwenden Aktiviert BarrierefreiheitImmer ALT-Text für Bilder anzeigen Deaktiviert Caretzeichenbrowser für neue Fenster und Registerkarten aktivieren Deaktiviert Systemzeiger mit Fokus-/Markierungsänderungen verschieben Deaktiviert Systemsounds wiedergeben Deaktiviert Textgröße auf "mittel" für neue Fenster und Registerkarten zurücksetzen Deaktiviert Zoomfaktor für neue Fenster und Registerkarten zurücksetzen Deaktiviert BrowsenAutomatisches Beheben von Seitenlayoutfehlern mithilfe der Kompatibilitätsansicht Aktiviert Nicht verwendete Ordner im Verlauf und in Favoriten schließen (Neustart erforderlich) Deaktiviert Skriptdebugging deaktivieren (Internet Explorer) Aktiviert Skriptdebugging deaktivieren (Andere) Aktiviert Skriptfehler anzeigen Deaktiviert Schaltfläche "Schnellinfo" bei Auswahl anzeigen Deaktiviert Automatische Wiederherstellung nach Systemabsturz aktivieren Aktiviert Vorblättern aktivieren Deaktiviert FTP-Ordneransicht aktivieren (außerhalb von Internet Explorer) Aktiviert "Vorgeschlagene Sites" aktivieren Deaktiviert Browsererweiterungen von Drittanbietern aktivieren (Neustart erforderlich) Deaktiviert Visuelle Stile auf Schaltflächen und Steuerelementen in Webseiten aktivieren Aktiviert Verwendung des Suchfensters für Websites aktivieren Deaktiviert Durch Eingabe eines einzelnen Worts in die Adressleiste zu einer Intranetsite wechseln Deaktiviert Benachrichtigen, wenn Download beendet ist Aktiviert Verknüpfungen im gleichen Fenster öffnen Aktiviert Kurze HTTP-Fehlermeldungen anzeigen Aktiviert Meldung anzeigen, wenn Internet Explorer nicht der Standardbrowser ist Aktiviert Links unterstreichen Immer Verwenden von AutoVervollständigen Aktiviert AutoVervollständigen im Explorer und im Dialogfeld "Ausführen" verwenden Deaktiviert Aktuelle Reihenfolge beim Umschalten zwischen Registerkarten mit Strg+Tab verwenden Deaktiviert Passives FTP verwenden (für Firewall- und DSL-Modemkompatibilität) Aktiviert Optimierten Bildlauf verwenden Aktiviert Einstellungen für HTTP 1.1HTTP 1.1 verwenden Aktiviert HTTP 1.1 über Proxyverbindungen verwenden Aktiviert InternationalCodierte Adressen immer anzeigen Deaktiviert IDN-Servernamen senden Aktiviert IDN-Servernamen für Intranetadressen senden Deaktiviert UTF-8-URLs senden Aktiviert Informationsleiste für codierte Adressen anzeigen Aktiviert MultimediaAlternative Codecs in HTML5-Medienelementen aktivieren Aktiviert Automatisches Anpassen der Bildgröße aktivieren Aktiviert Animationen in Webseiten wiedergeben Deaktiviert Sound in Webseiten wiedergeben Deaktiviert Platzhalter für den Bilderdownload anzeigen Deaktiviert Bilder anzeigen Aktiviert SicherheitAusführung aktiver Inhalte von CDs auf dem lokalen Computer zulassen Deaktiviert Ausführung aktiver Inhalte in Dateien auf dem lokalen Computer zulassen Deaktiviert Header " Do Not Track" (nicht nachverfolgen) immer senden Deaktiviert Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist Deaktiviert Ungeschützte Bilder mit anderem gemischten Inhalt blockieren Deaktiviert Auf zurückgezogene Zertifikate von Herausgebern überprüfen Aktiviert Auf gesperrte Serverzertifikate überprüfen (Neustart erforderlich) Aktiviert Signaturen von übertragenen Programmen überprüfen Aktiviert Verschlüsselte Seiten nicht auf dem Datenträger speichern Aktiviert Leeren des Ordners für temporäre Internetdateien beim Schließen des Browsers Aktiviert Speicherschutz aktivieren, um das Risiko von Onlineangriffen zu verringern Deaktiviert DOM-Storage aktivieren Aktiviert Erweiterten geschützten Modus aktivieren Aktiviert Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich) Aktiviert Original-XMLHTTP-Unterstützung aktivieren Aktiviert SmartScreen-Filter aktivieren Deaktiviert SSL 2.0 verwenden Deaktiviert SSL 3.0 verwenden Aktiviert TLS 1.0 verwenden Aktiviert TLS 1.1 verwenden Deaktiviert TLS 1.2 verwenden Deaktiviert Warnung anzeigen, wenn die Zertifikatadresse nicht übereinstimmt Aktiviert Beim Wechsel zwischen sicherem und nicht sicherem Modus warnen Aktiviert Warnung anzeigen, wenn die Eingabe in eine Zone umgeleitet wird, in der keine Eingaben zugelassen sind Aktiviert Da hiflt nur F8, um alles erst mal wieder abzuschalten, und dann F6, um genau das gezielt einzuschalten, was Du benötigst.

Mehr ist da nicht drin???

"dieselbe Fehlermeldung" wäre da im Detail möglicherweise hilfreich...

Die sind nicht wirklich versteckt - das ist nur eine Konvention, dass die nicht angezeigt werden... Um es anders zu sagen: Nicht der Server teilt seine Freigabe nicht mit, sondern der Client (der sie schon kennt!) zeigt sie Dir nicht an...

Maximal 1000 GPOs gehen... Steht irgendwo in den Tiefen von Technet. Weiß aber grad nimmer, ob das die Anzahl GPLinks pro OU war oder die Gesamtanzahl im SOM Search Request. Die Verarbeitungszeit steigt halt proportional. Ich stimme Norbert da zu - eine "große" Baseline-GPO und dann die Ausnahmen einzeln. Möglicherweise haben wir da mehr Erfahrung als Deine AD-Abteilung :cool: 50 GPOs find ich zu viel...

...und wenn der TO sich für OUs entscheidet: Du sollst _nicht_ die Abteilungsstruktur abbilden, sondern dein AD damit organisieren. Dafür sind sie nämlich da...

> Leistungsindikatoren wurden nicht gestartet Na, dann starte sie doch einfach...

Norbert, das Stimmt nur bezüglich "unsupported". Wenn Du den Startmodus auf deaktiviert setzt und neu bootest, dann geht das durchaus :cool: Wenn Du ihn einfach nur stoppst, dann landet der Computer allerdings in der Boot Time Protection und läßt gar nix mehr durch :rolleyes:

Procmon kannst Du ohne Adminrechte gar nicht starten... Aber er kann nicht an die Aktivitäten von Filtertreibern andocken - k.a. was dieser Defragmenter genau benutzt :cool:

...und wenn das nur ein "One time task" ist: Schau Dir psexec mal genauer an...

"Profile geöffnet" - wo? Lokal oder auf dem Remote-Server? Hol Dir einen Netzer dazu... Die Netzwerkkarte ist absolut unwahrscheinlich.

Dein DNS funktioniert nicht (erstes Event), deshalb funktioniert auch Kerberos nicht. FRS hat ein eigenes Eventlog, da steht mehr dazu drin, dürfte aber auch ein DNS-Problem sein. Ursache ist meist, daß ein einzelner DC sowohl DNS als auch alles andere macht. Und DNS startet zu spät.

Guck an, man lernt nie aus :rolleyes: Mal schauen, ob ich mir das merken kann, bis ich's mal wieder brauche.

Der Thread ist 10 Jahre alt... Bitte mach einen neuen auf.

Schau Dir die SIDs der Gruppen an. Die "gültigen" liegen im Bereich 500 bis 1000. Die Container sind AFAIK immer englisch.

samAccountName ist indiziert, das ist kein großes Problem... Und in der Tat - Du kannst nicht direkt binden, Du MUSST eine Query verwenden. Wäre schön, wenn es den direkten Zugriff auf User oder Computer auch gäbe, aber so isses halt. CN ist kein Bestandteil der LDAP Query Language. Du kriegst ja nicht mal den Parent per Query raus :-)

Wenn Du per Telnet auch nicht hinkommst -> Firewall (Windows oder extern). Was für ein Portscanner und von wo aus aufgerufen? Hol Dir nen Netzwerker mit dazu :cool: BTW: Firewall-Logging in Windows mußt Du einschalten, ist per default leider aus. wf.msc ist Dein Freund (oder eine Gruppenrichtlinie, aber das Interface ist das gleiche...)

Schema und Domain Naming Master sind keine Funktionen der Child Domain, sondern der Root-Domain. Wenn das falsch ist, dann hat vor langer langer Zeit mal was mit der Replikation der Config-Partition nicht funktioniert... Seizen würde ich da eher nix - schau Dir lieber mal erst die Root-Domain genau an, ob die noch "grün" ist. Und dann schau Dir die AD-Replikation der Child-Domain genau an. Ggf. hilft es schon, die 2 Roles einfach in der Root nur zu transferieren, so daß sich eine Änderung ergibt, die repliziert werden kann.