daabm

"Unter dem normalen User" - hat der Admin-Rechte? Sonst fehlen Computereinstellungen...

Wenn die GPO nicht angezeigt wird, stimmt was mit der Verlinkung nicht.

Wenns per IP geht und per Hostname nicht - UND der Hostname auf die korrekte IP auflöst - hast Du ein Problem mit Kerberos. Und das solltest Du im einen oder anderen Security Event finden. Hintergrund: "Name" macht per Default Kerberos, nur wenn kein SPN gefunden wird kommt NTLM Fallback. IP macht immer NTLM.

Hat doch bei Dir nichts mit der Uhrzeit zu tun... Nennt sich "Zustand" oder "Wesensart". SCNR 😂

Das dürfte nichts helfen - ich tippe eher auf "normale" Anmeldeprobleme, z.B. die TS Credential Delegation oder Probleme bei NLA oder was weiß ich. Das ist etwas diffus so "remote" RDS-Host ist hier erst mal noch nicht beteiligt IMHO.

Macht dein RDS-Host DHCP und hat ne neue IP bekommen? Stimmen alle Namen und IP-Adressen im DNS? Was sagt bei dem fehlgeschlagenen Anmeldeversuch das Security-Eventlog des RDS-Hosts und des/der Domain Controller? Fragen über Fragen

Aus 18.0 wurde ja schon 18.0.1, d.h. ganz grobe Bugs sollten schon weg sein

Du bist beim falschen RZ. Komm zu uns, wir haben Kekse 🍪 SCNR... 😂

Ich schmunzle da nicht mehr 😒 Wir arbeiten seit 3 Jahren daran, und es ist - hm - "zäh" wäre ein Euphemismus... Mit Kerberos only fängt man sich gleich noch ganz viel DNS ein (Disjoint Namespaces, Hostnamen in "irgendwelchen" DNS-Zonen etc.). Meist ist das der Zeitpunkt, wo man merkt, daß das DNS-Design zwar "schön" aussieht, technisch aber eigentlich unbrauchbar ist. Jaja, Limits im Code. Heute über eins gestolpert... Wollte per Skript Domain_Realms konfigurieren, gibt ein Policy Setting dafür: https://gpsearch.azurewebsites.net/#1823 Ok, REG_SZ kann ich auch per Skript schreiben, gesagt getan - tut aber nicht. WTF? Ok, es waren 100 DNS-Zonen für ein Realm. Eigentlich weit von der Grenze von 64 kB (?) entfernt, die ein Reg-Wert groß werden darf. Aber haste nicht gesehen, da gibt's doch tatsächlich findige MS-Programmierer, die vor vielen Jahren mal "irgendwas" gedacht haben: Mit Zone #82 haben wir diese Grenze überschritten...

Hätte ich vorher noch mal genauer recherchieren sollen, wo da die Limits sind 🙈 mea culpa Wobei ich zu den 5 Tagen nichts finde. https://github.com/MicrosoftDocs/win32/blob/docs/desktop-src/ADSchema/a-msds-logontimesyncinterval.md

LastLogon geht, aber nur wenn der "most recent DC" nicht ausgetauscht wurde. Dann wäre es weg TGT/TGS hilft nur, wenn Du NTLM deaktiviert hast - viel Spaß dabei... Einfacher ist es, das Replikationsintervall von LastLogonTimestamp runterzusetzen. In halbwegs modernen Infrastrukturen sollten auch 30 Minuten kein Problem darstellen. Die Infrastruktur-Annahmen beim Design von AD berücksichtigten noch analoge Wählleitungen 🙈

Mount Points sollten gehen.

[OT] Wireshark kann die netsh-Traces auch lesen, wenn man sie vorher konvertiert. Ein paar Meta-Informationen gehen dabei verloren, aber nichts wesentliches. [/OT]

Du hast irgendwelche Grundlagenprobleme - das lässt sich per Forum nicht lösen, wenn Du nicht deine komplette Infrastruktur offenlegen willst Bisher hab ich ja nicht mal nen GPResult von "funktioniert wie erwartet" und "funktioniert nicht" gesehen.

Ja. Alles irrelevant.

Was genau wird da aufgerufen? Kann der User das auch interaktiv aufrufen, wenn er in der fraglichen Gruppe ist?

Dann ist GPResult Dein Freund. Gern mit /h report.html, ist einfacher zu lesen. Welche GPOs werden angewendet, welche nicht und warum nicht?

Sind das alles Logon Skripts? In einer oder mehreren GPOs? Wenn mehrere - irgendwas mit "deny apply" gespielt? Welches XML durchsuchst Du da? (Ich kenne kein XML in GPOs, das mit Logon Skripts zu tun hätte...) BTW: "Skripts" hängen nicht an OUs, GPOs hängen an OUs

Was genau meinst Du mit "Powershell-Skripte nicht verarbeitet"? Laufen sie nicht oder werden sie gestartet und bleiben hängen/stürzen ab oder xyz? Die Verarbeitungszeiten von GPOs und deren unterschiedlichen Elementen werden im GPO-Eventlog protokolliert. Wer's noch genauer wissen will, aktiviert das gpsvc Debug Logging und analysiert das Log dann mit https://www.heise.de/download/product/policy-reporter-45973 (die Herstellerwebseite ist leider in den Internet-Friedhof gezogen...)

Wenn sich Windows 10 installieren ließ, dann hat Windows 10 selbst den PC offensichtlich als "geeignet" empfunden. Sonst hätte es die Installation verweigert. Warum möchtest Du zurück zu Windows 7 - nur wegen der Aussage von Sony, die aufgrund des PC-Alters ohnehin irrelevant ist?

"Bei der Anmeldung zweimal" - da passt Loopback doch perfekt 😁 Gibt zu viele GPOs, wo nicht auf eine Trennung von User/Computer geachtet wird.

Logon Skripts, GPO mehrfach verlinkt bei User und Computer, Loopback Merge? So als Ergänzung zu @cj_berlin

@cj_berlin falsche (oder gar keine) Auswertung des Allow/Deny Flags?

[OT] Frag mich mal zum Thema UPN-Suffixes und Suffix Routing... Ich dreh grad hohl deswegen im Zusammenhang mit Kerberos und Disjoint Namespaces, wo manche Zielhosts (mit dem gleichen DNS-Suffix) in einer anderen Domäne stehen als die übrigen. Da kannst dann skripten und für jeden Host einzeln Domain Realms konfigurieren... [/OT]

Ich werfe mal das Debug Logging für die Preferences in den Raum... https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555 Hilft meist mehr als die Eventlog-Einträge.