daabm

Jupp. W2K3 haben wir noch 2 Server - QS für den Virenschutz

Wenn Du bei dem Hersteller arbeitest und Ihr offensichtlich InstallShield verwendet: Mach ein MSI statt ner setup.exe, dann ist ne silent Installation völlig problemlos und auch per Deployment mit GPO/SCCM/xyz easy möglich. Oder komprimiere wenigstens nicht alles in eine setup.exe, sondern laß das MSI noch separat, damit sich der geneigte Admin die Installationsmethode aussuchen kann.

...und als Ergänzung zu Nils: Die Schemaversion hat NICHTS mit dem Funktionslevel zu tun. Man kann auch eine 2000-Domäne (kein Tippfehler, wirklich zweitausend) mit dem 2016-Schema betreiben. Hat dann den Vorteil, daß z.B. für Win10 Bitlocker-Recovery im AD funktioniert und man WLAN und 802.1x GPOs verwenden kann, wenn man von nem Win10-Client aus bearbeitet. Der W2K-DC weiß davon allerdings nichts Nachtrag: Nein, wir haben keine W2K-DCs mehr. Aber noch 2008R2 - die Domains laufen aber mit dem 2016-Schema.

Autsch - ja, stimmt. Ok, zu lange nichts mehr damit zu tun gehabt...

Jan, zu RDSH-Farmen habe ich eine eigene Meinung, die hier wenig konstruktiv wäre... Cloud ist schön, aber nur solange die Infrastruktur nicht zickt. Wenn was nicht tut, kannst noch nicht mal an überfälliger Dokumentation weiterarbeiten, weil das Word aus der Cloud halt auch mit weg ist. ym2c...

Tesso, regedit zu verbieten ist Schlangenöl. Auf einem sauber konfigurierten System kann der User damit genau sich selber kaputt machen, nicht das System. Zur Frage des TO: Das liegt am Manifest. Da gibt es asInvoker, highestAvailable und requireAdministrator. Bei ersterem kommt nie eine UAC-Abfrage, bei letzterem immer. Bei dem in der Mitte nur dann, wenn der User Admin ist und daher auch elevaten kann.

Die Keys pro SKU kannst parallel installieren, der Client-Key ist vom Server-Key unabhängig.

Ohne ist fast genauso gut wie mit. Schlangenöl... Wir hatten einen Pentest per Mail, 20% haben es bis zum Ziel geschafft - 2 Makrowarnungen von Word bestätigt. Da hilft kein Virenscanner. Und ich kenne keine APT-Methode, gegen die ein Virenscanner irgendwas ausrichten könnte.

Ich weiß ja nicht, wie Du die Dumps analyisert hast. Aber wenn man die in windbg mit konfigurierten Symbols lädt, kommt fast immer was brauchbares raus. BluescreenView kenne ich nicht. https://www.google.com/search?q=windows+dump+file+analysis+windbg

RUP auf Notebooks? Wenn ich mal meine geschäftliche kritische Brille absetze, ist Onedrive derzeit der beste Weg, Notebook-User-Daten sinnvoll zu zentralisieren. RUP für Notebooks ist ein No-Go, Ordnerumleitung eine Krücke - vor allem mit der wackeligen Offline-Synchronisation.

Ich habe @Nobbyaushb nichts hinzuzufügen - servergespeicherte Profile mit Windows-Bordmitteln sind inzwischen ein richtiges Trauerspiel...

PS C:\WINDOWS\system32> err 3b # for hex 0x3b / decimal 59 : SYSTEM_SERVICE_EXCEPTION bugcodes.h Da sollte sich in einem Dump doch was finden lassen, welcher Service dafür verantwortlich ist.

Ersetzen ist kontraproduktiv, das zieht dem laufenden Windows beim Background-GPUpdate die Netzlaufwerke weg. Aktualisieren ist besser - oder eine Zielgruppenadressierung beim Mapping auf "GPOVerarbeitung != Background|Manuell". Noch besser ist allerdings IMHO immer noch ein gescheites Logonskript, und zu dem legt man dem User noch eine Verknüpfung bereit, damit er Laufwerke "interaktiv" aktualisieren kann. Die GPP Drive Mappings sind für mich Mist.

Dann sind wir uns beim Ping soweit einig? Der Rest stimmt, was den DC-Locator betrifft - DNS Anfragen regeln das über SRV-Records Ping war schon immer ein recht schlechtes Diagnosewerkzeug, weil der heimlich auch noch Wins und Netbios-Broadcasts verwendet, wenn man nur einen Namen angibt. Besser wäre Test-NetConnection oder (bevorzugt) nltest mit einem seiner vielen Parameter.

Hm, hast Du Dir schon mal das Application Compatibility Toolkit (ACT) von MS genauer angeschaut? Kostet nix... Wenn man damit weitere Verzeichnisse in die Schreibvirtualisierung aufnehmen kann, könnte das Dein Problem lösen...

Vielleicht ne blöde Frage, aber Treesize lief als Admin? Sonst sieht es nicht alles... Aber wenn ja, dann habe ich auch keine wirkliche Idee

Nicht mit den Carets, aber es kann sein daß Volatile Environment nicht geht. Ich hatte so ne Anforderung noch nie, daher leider keine Ahnung...

Sag lieber nichts, wenn Du es nicht weißt Der DC-Locator ist mein großer Bruder, ich sag dem sonst Bescheid...

Denk mal über Dein Problem nach, dann wirst Du feststellen, daß es keine Lösung dafür gibt... Du willst, daß verschiedene User auf C:\Blubb zugreifen, aber tatsächlich jeder User dabei in einem eigenen Verzeichnis landet, das im Profil (oder sonstwo) liegt. Mit einem Hardlink geht das auf keinen Fall, da Hardlinks im NTFS liegen und keine Variablen unterstützen. Hast Du mklink /D schon versucht?

Er meint, daß da seitens MS eine Strategie dahinter steckt. Ich meine das auch. MS unterstützt die Community ziemlich einseitig, da gibt es nur noch Azure und Cloud, alles andere wurde gestrichen.

Ich kenn eins, ich kenn eins Nennt sich "Brain 2.0"...

Lol... Zum Nachlesen, wie man Benutzerrechte delegiert: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Klappt auch im Enterprise-Umfeld mit mehreren tausend Servern einwandfrei.

www.gruppenrichtlinien.de - Mark hat nen guten Artikel, wie man das per GPO dauerhaft und zuverlässig regelt...

Kennt Ihr das, daß Windows aus den E-Modus automatisch in Hibernation geht nach einiger Zeit?

Ein Leidensgenosse... Wir sind da noch