daabm

Auf jeden Fall die erste. Die zweite hat viele viele Nachteile... - braucht NTLM/NetBios - ist auf 20 Rechner beschränkt - kennt keine Gruppen - Funktioniert "unerwartet" mit NLA und RDS/Citrix - ...

Ich hab so das Gefühl, daß der TO noch nicht den Unterschied kennt zwischen "Zugriffsweg" und "Anbindung". Zugriff macht man per Share. Anbindung per iSCSI oder sonstwas. iSCSI ist ein Netzwerk-Ersatz für SCSI oder (S)ATA, und genau wie das ist es originär dafür gemacht, mit genau EINEM Rechner verbunden zu werden. Shared Anbindungen gehen per Default nur bei einem Cluster, aber auch da hast dann nur die Anbindung an den Cluster, aber noch keinen Zugriffsweg.

Andere Idee... DFS einrichten, eine Seite aktiv, die andere passiv. Dann Replikation abwarten und umschalten. DFS ist eh besser für Fileservices, weil die Servernamen aus den UNC-Pfaden verschwinden. Ansonsten sollte das so passen. Kannst ja einen DataFolder.Test anlegen zum Ausprobieren, empfiehlt sich immer. Wenn Du ein Log schreibst, empfehle ich noch "/np /tee". Ohne /np sieht das Log ziemlich albern aus, und ohne /tee siehst Du nix, wenn Du gespannt zuschaust. Wegen der Parameter kannst auch mal nach "DFSR preseeding" suchen, die Jungs von MS machen das auch per robocopy.

Ich hätte noch ne ganz alberne Idee: Kauf für den Steuer-PC einen O365-Account und nutze Onedrive dafür. Verschieben muß ja vmtl. nicht sein. Und den Onedrive-Ordner gibst Du dann für diejenigen frei, die den brauchen. (Dropbox ginge natürlich auch, das würde dann auch LAN-Sync machen können... ) Edit: Geht natürlich nur, wenn I-Net-Zugang vorhanden ist...

So isses. FR Policies verschwinden nicht "einfach so", wenn sie nicht konfiguriert sind. FR muß ja wissen, was es denn nun machen soll...

Ja,,und jetzt halt nicht mehr. Wenn Du nicht Änderungen machst, um das Ergebnis zu prüfen, wird sich daran auch wenig ändern. Irgendwo mußt Du ja anfangen. Die Profifirma würde jetzt einen Fluke rausziehen und an die Dose hängen. Hast Du aber leider nicht, also bleibt nur experimentieren. (PS: Der Editor spinnt bei mir grad ein wenig, deshalb zu viel Zitat - sorry dafür...)

"Völlig gleich installiert" - und nur auf einem Lexmark-Software installiert?

Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen.

Du wolltest ja unbedingt servergespeicherte Profile, jetzt hast Du sozusagen den Salat... Und den Rechtsklick, den @mba meint, mußt Du in einem Explorer-Fenster machen, nicht direkt auf dem Desktop Alternativ Powershell: [environment]::getfolderpath("desktop")

Hängen die Rechner direkt am Switch? Nicht daß da einer so ne Split-Doppeldose verbaut hat... Und stehen sowohl Switch als auch NIC auf Auto/Auto Negotiation?

Ich auch nicht... "-analyze !v" hast Du gemacht? Und es war ein Full Dump, nicht nur Kernel?

Jupp. W2K3 haben wir noch 2 Server - QS für den Virenschutz

Wenn Du bei dem Hersteller arbeitest und Ihr offensichtlich InstallShield verwendet: Mach ein MSI statt ner setup.exe, dann ist ne silent Installation völlig problemlos und auch per Deployment mit GPO/SCCM/xyz easy möglich. Oder komprimiere wenigstens nicht alles in eine setup.exe, sondern laß das MSI noch separat, damit sich der geneigte Admin die Installationsmethode aussuchen kann.

...und als Ergänzung zu Nils: Die Schemaversion hat NICHTS mit dem Funktionslevel zu tun. Man kann auch eine 2000-Domäne (kein Tippfehler, wirklich zweitausend) mit dem 2016-Schema betreiben. Hat dann den Vorteil, daß z.B. für Win10 Bitlocker-Recovery im AD funktioniert und man WLAN und 802.1x GPOs verwenden kann, wenn man von nem Win10-Client aus bearbeitet. Der W2K-DC weiß davon allerdings nichts Nachtrag: Nein, wir haben keine W2K-DCs mehr. Aber noch 2008R2 - die Domains laufen aber mit dem 2016-Schema.

Autsch - ja, stimmt. Ok, zu lange nichts mehr damit zu tun gehabt...

Jan, zu RDSH-Farmen habe ich eine eigene Meinung, die hier wenig konstruktiv wäre... Cloud ist schön, aber nur solange die Infrastruktur nicht zickt. Wenn was nicht tut, kannst noch nicht mal an überfälliger Dokumentation weiterarbeiten, weil das Word aus der Cloud halt auch mit weg ist. ym2c...

Tesso, regedit zu verbieten ist Schlangenöl. Auf einem sauber konfigurierten System kann der User damit genau sich selber kaputt machen, nicht das System. Zur Frage des TO: Das liegt am Manifest. Da gibt es asInvoker, highestAvailable und requireAdministrator. Bei ersterem kommt nie eine UAC-Abfrage, bei letzterem immer. Bei dem in der Mitte nur dann, wenn der User Admin ist und daher auch elevaten kann.

Die Keys pro SKU kannst parallel installieren, der Client-Key ist vom Server-Key unabhängig.

Ohne ist fast genauso gut wie mit. Schlangenöl... Wir hatten einen Pentest per Mail, 20% haben es bis zum Ziel geschafft - 2 Makrowarnungen von Word bestätigt. Da hilft kein Virenscanner. Und ich kenne keine APT-Methode, gegen die ein Virenscanner irgendwas ausrichten könnte.

Ich weiß ja nicht, wie Du die Dumps analyisert hast. Aber wenn man die in windbg mit konfigurierten Symbols lädt, kommt fast immer was brauchbares raus. BluescreenView kenne ich nicht. https://www.google.com/search?q=windows+dump+file+analysis+windbg

RUP auf Notebooks? Wenn ich mal meine geschäftliche kritische Brille absetze, ist Onedrive derzeit der beste Weg, Notebook-User-Daten sinnvoll zu zentralisieren. RUP für Notebooks ist ein No-Go, Ordnerumleitung eine Krücke - vor allem mit der wackeligen Offline-Synchronisation.

Ich habe @Nobbyaushb nichts hinzuzufügen - servergespeicherte Profile mit Windows-Bordmitteln sind inzwischen ein richtiges Trauerspiel...

PS C:\WINDOWS\system32> err 3b # for hex 0x3b / decimal 59 : SYSTEM_SERVICE_EXCEPTION bugcodes.h Da sollte sich in einem Dump doch was finden lassen, welcher Service dafür verantwortlich ist.

Ersetzen ist kontraproduktiv, das zieht dem laufenden Windows beim Background-GPUpdate die Netzlaufwerke weg. Aktualisieren ist besser - oder eine Zielgruppenadressierung beim Mapping auf "GPOVerarbeitung != Background|Manuell". Noch besser ist allerdings IMHO immer noch ein gescheites Logonskript, und zu dem legt man dem User noch eine Verknüpfung bereit, damit er Laufwerke "interaktiv" aktualisieren kann. Die GPP Drive Mappings sind für mich Mist.

Dann sind wir uns beim Ping soweit einig? Der Rest stimmt, was den DC-Locator betrifft - DNS Anfragen regeln das über SRV-Records Ping war schon immer ein recht schlechtes Diagnosewerkzeug, weil der heimlich auch noch Wins und Netbios-Broadcasts verwendet, wenn man nur einen Namen angibt. Besser wäre Test-NetConnection oder (bevorzugt) nltest mit einem seiner vielen Parameter.