Sunny61

Das wichtigste fehlt, um welchen Drucker bzw. um welche genau Gruppe geht es denn? Was passiert wenn Du als der betroffene User auf den Printserver, ich geh mal davon aus dass der Drucker auf einem Printserver installiert + freigegeben ist, gehst und den Drucker manuel installierst? Im Explorer: \\DeinPrintserver [ENTER] Jetzt solltest du die freigegeben Drucker sehen, den betroffenen Drucker per Doppelklick installieren. Klappt das?

Liegt der betroffene User im Verwaltungsbereich des GPO? Ruf mal als angemeldeter User in einer command diesen Befehl auf und überprüfe das Ergebnis: whoami /groups [ENTER]

Es gibt viele Variante, aber so ein WDS/MDT-Server ist doch schnell hochgezogen. Referenzinstallation mit SYSPREP vorbereiten, eine install.wim draus machen und auf den MDT-Server bringen. Wenn ihr mehrere Referenz Images habt/braucht, einfach mehrere Deployments dazu anlegen. Der Vorteil von einem Server ist, du kannst den USB-Stick nicht versehentlich irgendwo liegen lassen. Der Nachteil ist, du brauchst Zugriff auf das Netz um von PXE botten zu können.

Evtl. fällt @daabm oder @NorbertFe etwas dazu ein. Hauptsache es funktioniert jetzt. ;)

Super, passt. ;) Was ist der Unterschied? Außer neu erstellen vom GPO.

Stimmt die neue Adresse wirklich komplett? Haben die Server auch das richtige Zertifikat? Probier mal von einem 2012er aus: http://DeinWSUS:8530/selfupdate/wuident.cab bzw. https://deinWSUS:8531/selfupdate/wuident.cab Trag deinen WSUS-Namen ein, was passiert? BTW: Ein WSUS verteilt nichts, gar nichts. Er stellt zur Verfügung, die Clients holen sich die Updates ab. ;)

Ist evtl. das Profil des betroffenen Users defekt?

Das Update hat sich er der Client vermutlich am WSUS vorbei gezogen. Hast Du DualScan disabled? Falls nein, dann liegt hier der Grund. https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsUpdate::DisableDualScan&Language=de-de Auf Enabled für alle Clients stellen.

IIS Dienste anhalten bevor man mit dem Inplace beginnt, wäre auch noch wert es zu testen.

Ich meine man kann auch einen Pfad direkt eintragen: %systemdrive%\%username%\Pfad zum Programm. Alternativ den Hersteller via Herausgeber blockieren. EDIT: Wenn Du schon dabei bist, am besten auch gleich die Ausführbaren Dateien für den %USER% sperren, nur den Standard und den Admin zulassen. Spart das Gehampel an der Stelle. Denn dann dürfen die User nur freigegebene EXEn ausführen, und den Standard in %programfiles%, %programfiles x86% und %windir%. Alles andere sollte nur der Admin dürfen. Ein Baustein mehr zum Haus Sicherheit.

Keine Ahnung weshalb, im Zweifel lassen wir das immer via Dism /cab manuell laufen, funktioniert immer. ;)

Lade doch mal das File für das Update herunter und installiere es manuell. Geht das denn? KB5015684 downloaden und installieren. DISM.exe /Online /Add-Package /PackagePath:PfadzurCABDatei Hier finden sich die Downloads zur MSU und zur CAB Datei: https://www.deskmodder.de/blog/2022/07/25/kb5015684-funktionsupdate-auf-die-windows-10-22h2-19045-manueller-download/ Hättest Du einen WSUS, käme der Download auf dem WSUS an, wenn man Upgrades synchronisiert. EDIT: https://support.microsoft.com/de-de/topic/kb5015684-empfohlenes-update-für-windows-10-version-22h2-mithilfe-eines-aktivierungspakets-09d43632-f438-47b5-985e-d6fd704eee61 in dem Artikel findest Du auch die Vorausetzungen für die Installation, ist das erfüllt?

Kannst Du bei einem Testclient mal alles aus dem og. Schlüssel entfernen, Client neu starten und nochmal suchen lassen? WSUS verwendet ihr keinen?

Hä? Genau dafür ist doch eine Gruppe im AD gemacht. User A fängt an, kommt in Gruppe A. User B fängt an, kommt in Gruppe A. User A hört auf, wird gelöscht oder sonstwas damit gemacht, gleichzeitig werden alle Gruppenmitgliedschaften entfernt, Gruppe A beinhaltet nur noch User B. Der derzeitige angemeldete ausführende User wird zur Verbindung verwendet, niemand anderer sonst.

Der Exchange ist ein wie Briefkasten, dem werden die Briefe auch eingeworfen. Der Briefkasten sammelt sie nicht selbst ein. ;) Der Briefzusteller ist im Fall vom Exchange das SMTP Protokoll. https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

@Admin666 @winmadness wollte wissen, wie genau ihr IPV6 deaktiviert habt. Die Antwort fehlt noch.

Mit c, also gehackt: ;)

Danke für die Antwort, nein, ich hatte so etwas noch nie.

Vorher die OST auf dem Client löschen und neu aufbauen lassen.

Alternativ, aber nicht unbedingt besser, über einen Task die SW auf den Client kopieren lassen und anschließend installieren lassen. Wenn Du ein eigenes GPO für die VPN-User machst, dann kannst Du dort auch den lokalen Pfad zur Installationssource angeben.

Ausnahmen gibt es immer, aber es gibt weitaus mehr Server die NICHT ins Internet können müssen. Bei uns sind es sehr sehr wenig Dienste, die ins Netz können. Standard ist kein Internet.

Oder noch schöner, es gibt nur 1 Drucker, nennt sich FollowMe. :)

Alternativ kann man natürlich Item Level Targeting oder Zielgruppenadressierung, wie es auf Deutsch heißt, nutzen.

Gegenfrage: Weshalb kommen/müssen die Server überhaupt ins Internet? Es spricht nichts dagegen auf dem Gateway den Servern den Zugriff ins Internet abzudrehen.

Die 10 EURO sollte man sich leisten können. ;)