daabm

Geht IMHO auch nur mit servergespeicherten Profilen - egal was Du versuchst :-) MIr ist keine Methode bekannt, das mit einem Standalone-Rechner sinnvoll umzusetzen.

Ja, aber der Boardname verrät Dir auch die Zielgruppe... :cool: Wenn nicht, dann bist Du hier wirklich falsch aufgehoben, und nicht gleich böse sein...

Wenn Du die Setie deaktivierst, kommt der User da halt nimmer hin. Die Haken, die er gesetzt hatte, bleiben erhalten, wenn Du die nicht anderweitig übersteuerst... Und wenn der User mit regedit/reg import oder Skripts zurecht kommt, dann kann er das natürlich auch immer noch anders konfigurieren, wenn Du da nicht auch anderweitig gegensteuerst - GPP (Sunnys Vorschlag) sind da keine Lösung, da müßtest Du echte Policies verwenden (da hat der User keine Schreibrechte).

Die Systemsicherung kannst Du Dir in dem Fall eigentlich sparen, aber ok - doppelt hält besser...

Das ist das Problem des TO - er sucht die "best Mögliche Lösung", und die gibt es schlicht und einfach nicht :cool: :cool: :cool:

Ist das eine Privatumgebung von Dir, oder hängen da produktive Arbeitsplätze dran? Wenn zweiteres: Besorge Dir Unterstützung. Wenn ersteres: Besorge Dir ADExplorer von Sysinternals.

...ich meinte den DFSN-Betriebsmodus, nicht die Sysvol-Replikation :D

Ja, sonst würde ich das ja nicht empfehlen. Du bräuchtest nur noch genau EIN Mapping, das eine Variable enthält. Und der inhalt dieser Variablen wird zur Laufzeit per Zielgruppenadressierung aus einem AD-Attribut gefüttert. Ich hab mal ein Buch über GPOs geschrieben, und da gibt's ein Beispiel zu Ordnerumleitung und eines zu "msds-PrimaryComputer auf älteren Betriebssystemen"; da verwende ich genau das. Funktioniert prima, wenn man ein klein wenig LDAP spricht - selfadsi hilft ggf. dabei :cool: Und Norbert hat recht - wozu 100 Shares , wenn ein share mit 100 Unterordnern reicht?

Da war auch noch was mit DFS-N/R, wenn ich mich recht erinnere (aber das kann täuschen...)

Yepp - wenn R: ein Mapping ist, dann klappt das natürlich nicht in einem Task... :cool:

ERROR_BAD_NETPATH winerror.h # The network path was not found. 2 A-Records, Round Robin macht den Rest .Ich wäre bereit, darauf zu wetten :rolleyes:

Gilt nimmer seit 208R2... Wurde gefixt :cool: Mal ne ganz andere Idee... .Schreib in adminDescription den Pfad rein und mappe per GPP mit Zielgruppenadressierung "LDAP-Abfrage" auf dieses Attribut. Geht recht einfach, und wenn Du ein gutes IDM drüber hast, sollte das dieses Attribut füttern können. Kannst auch irgendein anderes nehmen - wenn die XCH-Schemaerweiterungen da sind, gibt's genügend freie Attribute :cool:

Nein, gibt es nicht. Es gibt nur "letzer Benutzer" oder eben nicht.

RDP hätte den großen Vorteil, dass die User-Session lokal auf dem Server liegt - VPN-Probleme trennen dann zwar die Session, schießen aber keine offenen Datenbanken ab, denn die Session selbst läuft ja weiter :cool: Also erst VPN-Tunnel herstellen, und dann per RDP auf den Server zugreifen. Und wie left schon sagt: Lizenzen nicht vergessen... Edit sagt: 256 kBit reichen für RDP aus, wenn Du Auflösung und Farbtiefe sinnvoll runterdrehst. Bei 16 MBit geht auch Dualmonitor 3200x1200 bei 24 Bit Farbtiefe flüssig.

Um die Frage des TO mal zu beantworten: Nein, Ordnerumleitung ist keine Lösung. Ein "schmutziger" Trick wäre ein Symlink auf einen UNC-Pfad.

Sunny, warum so kompliziert? :cool: sc \\server start dienstname

Daniel, meinst Du "lastLogon" und "lastLogonTimestamp"? Der eine ist "pro DC", der andere wird repliziert - aber nur alle paar Tage mal, taugt also nur begrenzt für exakte Analysen. Gibt auch nen Technet-Artikel und ich glaub auch nen Blogbeitrag bei AskDS dazu. Wenn Du was anderes meinst, müßtest Du das mal genauer formulieren :p

Ist nicht böse gemeint, aber z.B. bei Microsoft Technet gibt es Hunderte und Aberhunderte von Tutorials, Anleitungen und Einsteiger-Dokus. Da solltest Du erst mal durch und dann mit konkreten Fragen wieder melden. Und das ist auch nur _meine_ Meinung, das steht nicht für die anderen, die sich hier beteiligen :cool:

Nils hat technishc recht - ich würde allerdings noch empfehlen, nicht die DDCP zu bearbeiten, sondern eine eigene "DC GPO" zu erstellen und darüber zu verlinken. Hätte den Vorteil, daß dcgpofix noch uneingeschränkt verwendbar ist und alle Anwendungsinstallationen, die mit der DDCP hantieren, keine Probleme verursachen.

Ich halt mich hier gerne raus - da fehlen zu viele Grundlagen. Und ein Forum ist kein Schulungsraum...

...und prüfe auf jeden Fall, ob Du Anmeldeskripts in GPOs eingebaut hast. Die sind dafür Top-Kandidaten.

Zu 1: "Arbeitsstationen zur Domäne hinzufügen" ist Dein Suchbegriff. Zu 2: Das verstehe ich nicht - was ist die Frage?

Es gibt KEINE Verzeichnisse, auf denen JEDER zwingend FULL braucht. Defintiiv nicht. NIrgends und niemals. Da kannst Du grinsen, so lange Du willst, Deine Aussage ist falsch... Sorry :confused:

Geht es per Commandline? Meistens ist das tatsächlich ein Problem der IE Zonenzuordnung (ja, die wirkt auch auf den Explorer!)

...und Share-Berechtigungen sind für die NTFS-Rechte (mit denen Du nicht klarkommst) ohne BElang. Zeig doch mal einen icacls von einem Ordner, in dem eine Datei "Jeder" bekommt. PS: Es wird nicht "geerbt", sondern "vererbt". Und zwar nur beim Erstellen eines Objekts, das bekommt die Rechte von Oben geerbt (immer!). Und danach ändert sich daran nie wieder was, wenn man nicht von oben wieder durchvererbt. "Geerbte" ALCs hängen genauso direkt am Objekt wie nicht geerbte, die haben nur zusätzlich ein Bitflag "inherited" gesetzt.