daabm

Branch Cache ist keine Lösung, das arbeitet nur für lesende Zugriffe, und für Profile mal wieder eher nicht, weil die beim Abmelden geschrieben werden und sich ohnehin in weiten Teilen dauernd ändern :-) DFS-R ist auch keine Lösung, weil es keine File Locks anbietet und damit die Profile gerne mal kaputt gehen können. Gilt übrigens für Ordnerumleitung auch - das Ziel der Umleitung darf zwar DFS-N sein, das darf dann aber nur ein aktives Verweisziel haben. Ordnerumleitung in Verbindung mit Offline-Dateien ist IMHO das einzig Sinnvolle, und dadurch kriegst Du das Profil so klein, daß die WAN-Übertragung keine Rolle mehr spielt.

Vielleicht hilft Dir das hier: http://social.technet.microsoft.com/Forums/windows/en-US/3bdd7bb6-82b0-4543-93eb-f68598155729/configuring-uac-via-group-policy?forum=w7itproinstall

"Suchen" ist ein gutes Stichwort... Warum macht das immer keiner, wo doch jeder Browser integrierte Search Engines hat? :confused: https://www.google.de/search?q=group+policy+scheduled+task Die ersten beiden Treffer... :thumb1: Wir wollten Suchmaschinen pushen, weißt Du noch? :rolleyes:

Du sollst die MTU eigentlich gar nicht mehr "manuell" befrickeln - das ist seit Win7 nicht mehr State of the Art. KB-Artikel dazu gibt's auch, bin grad aber zu müde zum Raussuchen... Mach lieber mal einen E2E-Trace und finde raus, wo die Zeit "vergeht".

Norbert, sag ich doch :rolleyes:

Naja, was wohl - die Analyse von Loopback :thumb1:

Du nutzt einen Mailserver eines Drittanbieters - da bist Du hier eher falsch... Wie dieser Drittanbieter SSL/TLS implementiert, ist kein Windows-Thema :cool:

Wo ist da das Problem? (Wenn Du nicht auf Share-Ebene keinen Vollzugriff hast, natürlich :cool: )

...und beim Sysprep hast Du ggf. Treiberleichen mit drin. Sollte aber - wenn alles MS WQHL-zertifiziert ist - kein Problem darstellen.

Aufgabenplanung, Trigger "bei der Anmeldung", verzögern um 9,5 Stunden (=570 Minuten!), Konto "Vordefiniert\Benutzer" (Users). Oder verstehe ich die Frage nicht?

...da wäre schon interessant, welche Ordnerberechtigungen in A und B gesetzt sind...

...leider haben Firefox, Chrome, Java, TomTom und was weiß ich wer noch alles eigene Certstores, an die Du per GPO nicht so direkt rankommst :nene:

Wie siehst Du das? Und was sagt Process Monitor so zur Rechnerauslastung? Das Problem sind eher nicht die 2 GB RAM, sondern die CPU - entweder die des Clients oder (wie schon geschrieben) die des XCH-Servers.

BIOS, CPU, RAM fällt mir spontan ein. Am einfachsten ist noch "RAM-Riegel einfach mal anders einstecken". Den WPD-Fehler kannst getrost ignorieren.

Hast Du Anmeldeskripts per GPO?

Ich wüßte da was Lesenswertes :cool: http://superuser.com/questions/18383/preventing-applications-from-stealing-focus

@Lars: http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-golden-ticket-howto/ Und da auch auf dem RODC ein kdc läuft -> we are owned :cool:

Das mit dem physikalischen Zugriff ist klar - und da die meisten vmtl. die Kennwortreplikation aktivieren, gilt für den RODC blöderweise das gleiche... Viele unserer Kunden schaffen es dann auch noch, ein oder zwei WDCs dazu zu stellen, das ist alles nur b***d :shock: Einen echten Nutzen kann ich für mich nicht erkennen (DCs ins RZ, vorort nur File/Print), aber das ist ym2c...

Ja, ist es. Jedes IP-Netz wird definiert, und jedes Netz wird auch einer Site zugeordnet. Gibt nen interessanten Artikel dazu bei Askds wegen lsass-Performance: http://blogs.technet.com/b/deds/archive/2014/06/06/event-warnung-netlogon-5807-fuer-viele-clients-hat-seit-w2k8-deutliche-auswirkungen.aspx

Jepp, Schattenkopien fällt mir auch ein. vssadmin ist Dein Freund :cool: Und ggf. noch windirstats (als Admin ausgeführt) - hast Du Deduplizierung aktiviert?

Ein RODC muß nur einen Writeable DC erreichen können, der interessiert sich (theoretisch) nicht für andere RODCs... Ich würde das aber bleiben lassen mit der Rolle, macht nur Ärger :cool: Das mit "jeder mit jedem" stimmt ohnehin nicht - wo steht das?

Procmon kann Dir sagen, was der Prozess da so treibt (oder eben nicht)...

Procmon sagt Dir, welcher Zugriff genau scheitert... Und welcher Pfad dabei tatsächlich verwendet wird. Oder hast Du den echten Favoritenpfad schon in User Shell Folders überprüft?

Genau - das ist keine Sicherheitsrichtlinie (secpol.msc bzw. secedit /configure), sondern ganz einfache Gruppenrichtlinie - entweder aus der Domäne oder lokal (lokal geht am einfachsten mit dem Security Compliance Manager, der hat dafür ein Skript zum Importieren...)

Stimmt alles, bis auf 3, 4, 6 und 7 :cool: 3. Der DC prüft das Kennwort sowie zugelassene Arbeitsstationen und Anmeldezeite und stellt dann ggf. ein TGT aus. 4. Die lokale LSA prüft anhand des TGT, ob Anmelderechte vorhanden sind (seLogonInteractive etc.). Dann wird ein TGS für den lokalen Rechner angefordert und der Benutzer tatsächlich "angemeldet". 6. Die Benutzersession wird initialisiert (Laden der Registrierung, Festlegen der sessionspezifischen Umgebungsvariablen wie %userprofile% oder %sessionname%) 7. GPOs werden jetzt erst ermittelt (und zwar nicht vom DC, sondern lokal - der DC sendet nur stupide eine Liste von allen, die es gibt) und dann angewendet (komplett vor dem Aufbau des Desktops) 8. Anmeldeskripts werden ausgeführt (je nah "Synchron" entweder vor dem Desktop oder nach dem Desktop - ich empfehle ersteres.) 9. Der Desktop wird geladen 10. Registry Run/RunOnce/RunOnceEx sowie Autostart--Ordner werden ausgeführt :thumb1: