Sunny61

Naja, ich würde es mit einer sauberen Neuinstallation verifizieren, erst wenn es dann auch ganz ohne SRP-GPO funktioniert, hast Du temporär gewonnen.

Ja, das lässt sich per GPO regeln. 2 Stunden Leerlaufzeit sollten IMHO ausreichen, am besten bespricht man so etwas mit dem betroffenen Team und stellt es dann ein. https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.TerminalServer::TS_SESSIONS_Idle_Limit_2&Language=de-de

Du hast ganz sicher den Rechner komplett neu installiert und neu in die Domain aufgenommen und nur das 1 GPO für den Applocker verlinkt? Falls nein, mach das doch mal. ;) BTW: Enterprise hat übrigens auch Vorteile, der Support für die einzelnen W10 Versionen ist länger, d.h. Du brauchst nicht so oft alle Maschinen upzudaten. ;)

Aha, ein TS, die Information ist jetzt neu. Aber OK, wenn es ein User-GPO ist, sollte sie auch als User auf dem TS wirken, kommt aber immer auf die vorhandene Konfiguration an. Siehe: https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode

Natürlich kann man das auch für den Server einstellen, das GPO muss dann auf den Server wirken können. Aber weshalb soll es auf dem Server wirken? Arbeiten die Mitarbeiter direkt auf dem Server? Merke: Deine Konfig weiß von uns niemand, keiner sieht auf deinen Bildschirm.

Sorry, dann bin ich raus, keine Idee mehr.

Da gibt es auch einen Artikel dafür: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force

Dann befrei den Rechner und den Testuser doch mal von sämtlichen GPOs und starte neu. Am besten in eine neue leere OU verschieben, Vererbung von GPOs deaktivieren und rebooten. Dann GPO für GPO dazu nehmen und prüfen. Außer Du weißt welche GPO-Einstellungen noch auf den Rechner/User wirken.

Du hast ein Fenster zu viel aufgemacht, schau doch einfach meine Screenshot nochmal genau an.

Und der Name, um den es hier geht, ist auch exakt so wie er in der Fihlermeldung steht, auch in der Zonenzuweisung enthalten? Kommt die Zonenzuweisung beim User/Computer an? D.h. das musst Du exakt so in der Registry finden. Schau dir auch mal diese beiden Artikel an: https://www.gruppenrichtlinien.de/artikel/konfiguration-der-internet-explorer-zonenzuweisung-internet-explorer-zonemapping https://www.gruppenrichtlinien.de/artikel/fehler-beim-anwenden-internet-explorer-zonemapping-liste-der-site-zu-zonenzuweisungen Öffne auf einem betroffenen Client den IE > Zahnrad > Internetoptionen > Sicherheit > Lokales Intranet. Bei Intranet automatisch ermitteln sollte KEIN Haken sein. Das lässt sich ebenfalls über GPO einstellen.

Du kannst auch in den DFSR Logsfiles nach Fehlern suchen, wenn auf der einen Seite viel gelöscht wird kann natürlich auch das zu Problemen führen, wenn der dazugehörenden Cache nicht groß genug ist.

Dann solltest Du zuerst das Problem fixen, bevor Du an das nächste gehst. Für das Problem mit der Sicherheitswarnung schaust Du hier: https://www.andysblog.de/windows-sicherheitswarnung-beim-oeffnen-einer-ausfuehrbaren-datei-von-einem-netzlaufwerk https://social.technet.microsoft.com/Forums/de-DE/852e7bb6-57e0-429a-a09b-022d9f6cc702/netzlaufwerk-wird-nicht-als-intranetzone-erkannt?forum=gruppenrichtliniende

Vertrauenswürdige Speicherorte ist der Suchbegriff, da kann man sehr viel via GPO beisteuern. BTW: Wenn es eine Ordnerumleitung gibt, ist der Speicherort auf dem Server, bei Roaming Profiles liegt die Datei auf dem Client direkt.

Die Lösung ist IMHO ROBOCOPY mit diversen Parametern. Einfach mal anschauen und ausprobieren.

Und nochmal SYSPREP in die Diskussion geworfen. Probier es doch einfach mal aus, was kann passieren? Schlimmer als jetzt kann es nicht mehr werden.

Du kannst das auch mit SetACL von Helge Klein in einem Rutsch ausführen: https://helgeklein.com/setacl/documentation/ C:\Windows\system32\SetACL.exe -on "DeinOrdner" -ot file -actn setprot -op "dacl:np;sacl:nc" -rec cont_obj -actn setowner -ownr "n:tld\namedesusers"

Warum jetzt schon den Aufwand betreiben und nicht erst Mitte 2023 wenn die wichtige Software sowieso abgelöst wird? Vor allem bist Du dann safe und kannst den Essential richtig abschalten.

Damit kommst Du vom Regen in die Traufe: https://www.gruppenrichtlinien.de/artikel/bereitgestellte-drucker-drucker-veroeffentlichung Mach es dir doch einfach: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-besser-wird-es-nicht

Diese Dinge dachte ich, hast Du schon durch, für mich hatte sich dein erstes Posting so gelesen. ;) Aber schön wenn es weiter geht. ;)

Es geht auch auf die harte Tour, dauert evtl. etwas länger. Auf die Schnelle konnte ich keine andere Beschreibung finden: https://www.dtonias.com/forced-removal-domain-controller/

Das ist IMO die beste Idee. :)

Du musst den Befehl in der Exchange-Powershell ausführen, die normale PS kennt die Cmdlets nicht.

Der Rechner darf mit vielen Browser Prozessen eigentlich nicht langsamer werden, außer es gibt Bremsen. Adblocker oder andere AddOns können schon bremsen, oder auch die aufgerufenen Websites. Man kann auch über eine Wechsel des Browsers nachdenken.

Puh, das bremst aber schon. Einen Drucker offline nehmen und im GPO auf Aktualisieren umstellen.

Die Freigabe des Druckers lautet dann: \\Server\Freigabe\Druckername Richtig? Falls ja, dann wäre das was @Userle meinte. Werden die Drucker erstellt/ersetzt oder aktualisiert in der GPO? Aktualisieren wäre richtig, die anderen beiden Einstellungen sind kontraproduktiv.