Sunny61

Das soll nur als Vorschlag dienen wie man evtl. das AD umbauen könnte: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie Wenn ich das noch richtig abgespeichert habe, greift in den Container Computers und Users nur die Default Domain Policy.

Dann sperr den Lehrkräften doch einfach den Zugang zu diesem Rechner. Geht mit GPO in 5 Minuten.

Naja, dann bleibt ja nur noch gpresult, auch wenn Du dich weigerst es zu benutzen.

Such doch im SYSVOL nach dc01, entweder über den Explorer oder mit dem Tool AgentRansack. Manches mal taucht dann noch etwas an einer Stelle auf, die man gar nicht vermutet hat.

Muss an dem Kiosk denn wirklich Zugriff auf Ressourcen der Domain erfolgen? Würde mich nicht wundern, wenn das nur mit MS-Konto funktioniert.

Keine Ahnung, hab keine veganen Telefone. :)

Du kannst ja mal den MyPhoneExplorer ausprobieren: https://www.fjsoft.at/de/

Ausführen als Administrator dürfte der Unterschied zwischen Lokal und Remote sein. Alternativ mit PSEXEC probieren.

BIOS/UEFI ist aktuell? Falls nicht, aktualisieren. In https://learn.microsoft.com/en-us/answers/questions/389387/windows-10-fails-upgrade-from-1909-(18363-1533)-to gibt es einen Lösungsvorschlag, probieren kann nicht schaden.

Das wäre auch mein Vorschlag gewesen. ;)

Was genau ist das Ziel der Aktion? Soll der Benutzer KIOSK nur auf bestimmte Ordner zugreifen können? Falls ja, wenn seine NTFS-Berechtigungen eingeschränkt sind, ist es doch kein Problem wenn er auch auf andere Ordner innerhalb seines Profils zugreifen kann, oder doch? Sorry, aber verstanden habe ich nicht was Du da machst.

Zuerst mal diese Liste hier: https://www.gp-pack.com/wp-content/uploads/2024/01/gp-pack.com-ALLinOne-BSI-20H2.htm 3rd Party Dienste kann man fast immer abschalten. Wir haben HP-Laptops, Treiber von HP, ansonsten ist das eine saubere Installation ohne Crapware. Wenn man die Wahl bei der Installation von Treibern hat, sollte man IMHO immer die INF-Variante wählen, da kommt dann nur das was wichtig ist, die Treiber.

Habt ihr auch Dienste abgeschaltet? Hab gezählt bei uns, 69 sind deaktiviert, incl. 11 3rd Party Dienste von Intel. EDIT: plus 6 von HP.

Der NLA hat keine Wirkung mehr in W11. https://learn.microsoft.com/de-de/troubleshoot/windows-client/networking/domain-joined-machines-cannot-detect-domain-profile Weil 24H2 mehr als buggy ist, wir stellen auch auf 23H2 um. Da wir Education haben, ist das mit dem Support auch kein Problem, gibt ja noch Updates bis November 2026 für 23H2 Enterprise/Education: https://learn.microsoft.com/de-de/lifecycle/products/windows-11-enterprise-and-education

Hmm, mit einer Suchmaschine deines geringsten Vertrauens sollte das recht schnell möglich sein: https://support.microsoft.com/de-de/topic/aktivieren-und-deaktivieren-der-bildschirmtastatur-in-windows-e2b05375-908d-45ec-b7f7-729349a10c7a#id0ebf=windows_11

Klingt jetzt b***d, aber stell doch mal auf beiden Seiten, Server + Client, den Hintergrund auf eine Volltonfarbe um. Anschließend beide Beteiligten einmal neu starten.

Das lässt sich sicher ganz einfach lösen. 10 Jahre wird es ihn noch geben, gibt es W11 noch 10 Jahre? Vermutlich nicht, weshalb setzt Du jetzt auf W11?

Das entspricht nicht der Wahrheit.

Ist das denn die aktuellste Version von PingCastle? Du könntes ja auch eine Beschreibung erstellen und PingCastle dazu fragen was sie dazu meinen.

Für MS hat der Dienst natürlich eine Daseinsberechtigung. Man kann ihn abschalten, ob er beim nächsten Update wieder aktiviert wird, weiß ich nicht. Mit GPP den Wert gesetzt, wird er wieder deaktiviert. Es gibt noch weitere Dienste die man abschalten kann. Das Kontextmenü kannst Du auf jeden Fall wieder reaktivieren, allerdings nicht mit GPO-Einstellungen sondern nur mit Registry Einträgen, die dann via GPP verteilen. Nimm dir doch einen W11 Client und probier etwas rum, dann findest Du recht schnell raus was geht und was nicht. Und in Sachen Datenschutzeinstellungen geben die gpPack Settings schon einiges her, man muss sich nur damit beschäftigen.

Cross Posting hab ich auch noch eins: https://forum.ubuntuusers.de/topic/aus-bootfaehigem-usb-stick-eine-bootfaehige-cd

Du kannst es damit probieren: https://www.gp-pack.com/gp-pack-pat-privacy-and-telemetry/ https://www.gp-pack.com/gp-pack-sim-bsi-sicherheitsmodul-zu-windows-10/ Kommt natürlich auch drauf ob ihr Pro oder Enterprise/Education im Einsatz habt, es gibt natürlich Einstellungen die nur für Education/Enterprise geändert werden können, nicht für Pro. BTW: Das hier lässt sich recht schnell umsetzen: https://hitco.at/blog/windows-userchoice-protection-driver-ucpd/

Lesen: https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server Man darf es ruhig öfter lesen. ;) Und wenn Zusammengeführen als Computer-GPO NUR für die Terminalserver gesetzt ist, notfalls die TS-Server in eine Unter-OU der bestehenden OU verschieben und die TS-GPO auf die Unter-OU verlinken, dann die im tenforums genannte Einstellung ebenfalls in ein GPO auf die TS-Server verlinken und die Server einmal neu starten. Prüfen ob das GPO übernommen wurde. Den Rest kriegst Du hin. Alternativ einen Dienstleister buchen.

Dann kann es IMHO ja nur noch an den GPOs liegen. Ist Loopback via GPO aktiviert? Wenn ja, wie? Zusammenführen oder Ersetzen? Schau mal ob du das auf Computerebene eingestellt hast: https://www.tenforums.com/tutorials/49963-use-sign-info-auto-finish-after-update-restart-windows-10-a.html Falls nein, aktivieren, natürlich auch für die TS und alle beteiligten Server/Clients einmal neu starten.

Gibt es mehrere DCs? Falls ja, Replikation untereinder funktioniert einwandfrei?