MurdocX

Das kannst du ja über gpresult.exe selber nachschauen.

Verstoßen eigentlich die Tools von Microsoft auch gegen die Boardregeln?

Nope, Dienst netprofm steht bei mir 1809 auf "Manuell" Edit: Und wird regelmäßig ausgeführt.

Hast du den Dienst mit "msconfig.exe" deaktiviert? Oder versucht ihn damit wieder zu aktivieren?

Ihr könnt auch die Sperre auf 5 Minuten setzen. Dann ist denen geholfen die sich beschweren und auch denen die sich nicht beschweren. Setze doch "Bildschirm aus" auf 3 Minuten und den Bildschirmschoner mit sperren auf 4, dann hast du das Problem gleich erledigt.

Vermutlich nur ob man sich noch im "Rahmen" befindet Ich finde es ganz nett mal zu lesen was die Anderen so Zuhause rumstehen haben.

Alles liste ich mal nicht auf, sonst wird das hier zu lang Die aufgelistete Hardware ist aktiv in Benutzung. Meine kleine Spielwiese... HP DL380 G7, 128GB, SAS10K 8x 140GB, 1TB NVME Fujitsu E720, 32GB, 2x 1TB NVME HP 2810-24G HP 1810-24G Synology 5 Bay Lenovo T470s, 20GB, 512GB 2x DELL U2415

Ja

Neueste Firmware eingespielt?

Hier verlässt du aber die Norm. Denn das Netz 192.168.0.0/16 geht bis 192.168.255.255/16. 192.169.x.x/x -> Entspricht einer öffentlichen IP-Adresse und das sollte vermieden werden.

Das passt schon. Dein Netz geht von 10.16.0.0 bis 10.31.255.255. Alles im gleichen Netz muss nicht geroutet werden. Gehe ich ich recht in der Annahme, das ihr nur ein Segment in Benutzung habt?

Warum braucht man ein Netz für 1.048.574/Subnet Geräte? Da würde sicher auch eine Standardmaske von /16 für 65534 reichen. Vielleicht erledigt sich dann auch dein Problem damit.

Hier kann ich mich anschließen

Lese dich mal hier: https://www.it-explorations.de/windows-bereitstellungsdienste/ ein. Generell ist zu sagen, dass die Setup-Unattended nichts mit der Betriebssystem-Unattended zu tun hat. Die werden an zwei verschiedenen Orten hinzugefügt. Ändere niemals die XML-Datei von Hand, sondern immer vom Editor! Nur ein gut gemeinter Ratschlag! Du benötigst nur 64-Bit und 64-Bit für UEFI, also solltest du auch nur dort die XML zuweisen.

Nein die sehe ich nicht. Bisher keine Probleme damit gehabt.

Dann hast du die neuen Konfigurationsmöglichkeiten für das jeweilige Betriebssystem. Nimm die des aktuellsten Betriebssystems im Unternehmen. Deine GPO-Vorlagen (Templates) speichern nicht deine Konfiguration. Die liegt auch auf dem Sysvol auf dem auch deine Vorlagen liegen.

Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. Vorteil Variante 1: - Es wäre einmal definiert und für alle gleich nutzbar. Nachteil Variante 1: - Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach. Vorteil Variante 2: - Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler Nachteil Variante 2: - Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben.

Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist.

Ich meine hier im Forum mal vernommen zu haben, dass man das aus Kompatibilitätsgründen nicht machen sollte. In den Technet-Foren wurde auf diesen Thread https://social.technet.microsoft.com/Forums/windowsserver/en-US/01db509a-1ce0-405a-81c3-4f782a6e5d57/remove-domain-admins-for-member-server8217s-local-administrators-group?forum=winserverManagement verwiesen. Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

Genau das gleiche Problem hatte ich vor Wochen auch mal. Jetzt hast du es ja selbst lösen können.

Bei Server 2012 ist die Standardeinstellung für MaxTokenSize bei 48.000 Bytes.

Der AppLocker ist auf jeden Fall eine solide Basis. Der Windows Defender schneidet auch neuerdings gut ab. Da spricht m. M. n. nichts dagegen. Die Konfiguration würde ich mit dem Softwarehersteller absprechen, ob nicht Inkompatibilitäten dagegensprechen würden.

Danke für die Rückmeldung (:

Das "Anscheinend" wirst du nicht los bekommen, bevor du ihn nicht kontaktiert hast und Gewissheit bekommst. Spekulieren können wir natürlich auch weiter, bringen tut es uns nur nix

Was sagt denn der Provider dazu? Er kann sehen woher die Mails kommen und Dir sicherlich den entscheidenden Tipp geben.