daabm

Bin bei Jan. Wenn man skripten kann, sind Skripts nach wie vor die einzige tragbare Lösung für das Zuordnen/Trennen von Laufwerken und Druckern.
 
Wenn Du das per GPP lösen willst: Immer 2 Preferences erstellen, eine die den Drucker verbindet, eine die ihn löscht. ILT dazu "ist nicht". Und da das das Problem vermutlich noch nicht lösen wird- GPP Debug Logging aktivieren und schauen - https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555
 
Du hast aber die Windows-Verwaltung des Standarddruckers deaktiviert?

Nein, das geht nicht. Du kannst mit dem reinen Exe-Namen arbeiten, aber in Verbindung mit einem Pfad bist Du auf Umgebungsvariablen als einzigen variablen Bestandteil festgelegt.
Du kannst das aber mit einem etwas "quirky" Trick dynamisch lösen Group Policy Preferences Registry und Zielgruppenadressierung. Mit der Zielgruppenadressierung kannst Du den Installationspfad in eine Variable schreiben, die Du in einem Reg-Wert verwenden kannst.

Ja. Das ist ein 32 Bit Wert. Die unteren 16 Bit (also "1") sind die Computer-Version, die oberen (also 65536 = 2^16) die User-Version. Mit 65537 erhöhst Du beides um 1, sorgst damit für eine auf jeden Fall höhere Version, die dann auch angewendet wird.

Sind auf den Domain CLients lokale FW-Ausnahmen zugelassen? Ich würde vermuten "nein" - dann kann man nämlich per netsh beliebig weitere lokale Regeln anlegen, nur interessiert das niemand . Dann wäre die Lösung von @Sunny61 wohl passend. Wenn ja, ginge es per scheduled Task.

Tote Server einfach löschen, ja. Hinterher noch DNS prüfen. Wenn Du mehr Infos brauchst, such mal nach "Metadata Cleanup"
Umbenennen völlig schmerzfrei - die meisten wissen nicht mal, was Sites eigentlich sind... Sie sollten nur mit ihren IP-Netzen die korrekte Topologie abbilden, damit AD die Replikation optimal einrichten kann (macht es dann i.d.R. selbst so gut, daß Du nichts anfassen mußt).

Warum bist Du darauf angewiesen?
 
Und Windows mag den garantiert nie, weil in der Registry unter ProfileList für Deinen Login ein neuer Eintrag erstellt wird. Dort wird auch das Profilverzeichnis eingetragen, und wenn das schon existiert -> neues. Kannst jetzt natürlich anfangen, das existierende Verzeichnis und die Registry so zu befuddeln, daß es auch zu einem Profil gehört, aber davon würde ich abraten...

Ich empfehle da immer streams.exe von Sysinternals Da ist das vergleichsweise einfach mit -s -d

Sicher, daß der DC rauskann?
153430 14:10:29.1642158s - Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.
 
w32tm /stripchart /computer:de.pool.time.org liefert was genau? de.pool.time.org läuft hier in einen Timeout. Irgendwie auch logisch:

 
Edit: Ich persönlich habe mit de.pool.NTP.org gute Erfahrungen gemacht.

Die Security Settings kommen aus der lokalen Registry - sceregvl.inf dürfte als Suchbegriff weiterhelfen. Und auch im Gruppenrichtlinien-Editor wird dafür nur das secpol.msc Snapin geladen. Das holt sich dann zwar seine Settings aus der jeweiligen GPO, aber die Darstellung unverändert aus der lokalen Registry. Ist halt W2K-Technologie

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang

Here we go - bei mir liegt das in ner Funktion. Ist zwar VBS, aber das ist von VB6 nicht so weit weg, das solltest Du portieren können
Das entscheidende ist das "manuelle" Einfügen von Zeilenumbrüchen an jedem "><" und das Transformieren per Stylesheet mit indent="yes".
Dim strXmlCOMObject strXmlCOMObject = "Msxml2.DOMDocument.6.0" Function FormatXML( ByVal XMLObject ) Dim strXML, objXML, objXSL, strStyleSheet Set objXML = WScript.CreateObject( strXMLComObject ) Set objXSL = WScript.CreateObject( strXMLComObject ) strXML = Replace( XMLObject.XML, "><", ">" & vbCrLf & "<" ) objXML.LoadXML strXML strStylesheet = _ "<xsl:stylesheet version=""1.0"" xmlns:xsl=""http://www.w3.org/1999/XSL/Transform"">" & _ "<xsl:output method=""xml"" indent=""yes""/>" & _ "<xsl:template match=""/"">" & _ "<xsl:copy-of select="".""/>" & _ "</xsl:template>" & _ "</xsl:stylesheet>" objXSL.loadXML strStylesheet objXML.transformNode objXSL Return objXML.XML End Function  

Da kommt IMHO üblicherweise vorher noch eine Abfrage nach der Auflösung. Wenn man die einfach mit Esc wegdrückt, landet man bei der "alten" direkten Verbindung ohne RDP.

Zu 2: "Funktioniert nicht" ist hier keine gültige Problembeschreibung
Zu 3: Lösche die Policies-Regkeys nach dem Unjoin. HKLM|HKCU\Software\Policies und HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.
Oder lösch die auch einfach mal so - das, was tatsächlich per GPO kommt, kommt danach wieder. Alles, was irgendwelche phänomenalen "Tools" gesetzt haben, ist dann wieder weg.

Ich weiß jetzt nicht, wie dein "Default Switch" konfiguriert ist - wenn der NAT macht, wird das nix. Dem Browser ist das egal, SSL auch, dem IPSec nicht.

Fast alle Commands von net.exe unterstützen den Parameter /Y, der Nachfragen unterdrückt. Und wenn New-LocalUser nicht gefunden wird, würde ich mal eine aktuelle OS//Powershell Version heranziehen
 

Nachdem das der einzige DC ist - kopier Sysvol per Robocopy /xj auf ne USB-Platte (reicht völlig, ist aber eigentlich unnötig) und mach, was in Step 2 steht.
Was nutzt es Dir, den "neuen" DC zu bearbeiten, wenn der alte nicht replizieren will?

Und was genau ist jetzt die Frage? Nicht authentifizierte Zugriffe auf egal was gehen nicht.

Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g
Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?

Nichts einfacher als das. Aber warum verwendet Ihr die DDP überhaupt für solche Sachen?
https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html
Wenn Du damit nicht klarkommst, melde Dich wieder.
Und Tipp: Für lokale Benutzer einfach nicht den Object Picker nehmen ("..."), sondern schlicht reinschreiben...

Naja, man könnte Forenregeln lesen und auf Crossposts hinweisen In Powershell 4 (mit der 2012R2 ab Werk kam) kennt Get-Item noch kein .Target... Das kam erst mit Version 5. Deshalb geht's auch mit Win10...

Was hindert Dich daran, das ganz nativ mit Group Policy Preferences "Registry" zu machen? Item Level Targeting auf den Wert, wo der neue Name drinsteht, und dann halt schreiben... Geht da nämlich auch in HKLM.

Hast Du in der Quelle Symlinks "/xj"...

Basisverzeichnis ist das Homelaufwerk, das kann ja für jeden User "irgendwo" liegen. Der Stammpfad ist für alle User gleich, und er kann sich natürlich vom Homelaufwerk unterscheiden. Es macht also NICHT das gleiche.
Und beides taugt nix Wenn Du schon umleitest, leite um nach %homeshare%%homepath%Documents (ja, ohne "\").

Nein, Du willst meinem "Vorschlag" nicht nachgehen. LOM ist nichts für KMU-Umgebungen, sorry. Und LOM ist eine globale Einstellung, da geht nix "selektiv".
 
Da wäre es einfacher, die Gruppenstruktur so umzubauen, daß die delegierten Gruppen eben KEINE Auswirkungen weiter oben haben. Für Gruppen gilt prinzipiell das gleiche wie für GPOs: Was sich in unteren OUs befindet, darf weiter oben nicht verwendet werden. Sonst kann man nicht sinnvoll delegieren.

Ich gebe zu, daß ich das Problem "so" noch nie hatte... Vielleicht hilft das explizite NTLM-Auditing? 
https://blogs.technet.microsoft.com/askds/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7/