daabm

Was meinst Du mit "an ihrem lokale Ort"? C:\Users? Da geht das nie einfach so per Explorer - nimm ne Admin-Commandline... Und wozu überhaupt? Lokale Profile (und damit auch lokale Kopien servergespeicherter Profile) löscht man über Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile. Oder über WMI (Win32_UserProfile). Wenn Du nur das Verzeichnis entsorgst, gibt es hinterher Probleme mit Apps.

Wir sind so ein RZ - Du mußt erst mal die Anforderungen klar beschreiben. Vorher gibt's keine sinnvollen Antworten

Die Office-Optionen sind seit längerem schon etwas "übergreifend"

Du hast vermutlich ein Problem mit Sicherheitszonen... Steck den Hostname und den FQDN des Servers im IE in die Trusted Sites, dann sollte es gehen.

Vermutlich würde es dem TO helfen, seine ADMX mal zu aktualisieren

Portfast ist aktiviert? Oder wie auch immer das heute heißt Alternativ https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/

Nimm 24 Bit, das ist genau ein Kasten... SCNR Und lies Dich mal in die verschiedenen Möglichkeiten ein, wie man administrativ was ausführen kann. Task bei Anmeldung, Logonskript, "Run" etc.

Nein. Wenn keine Domänenverbindung besteht, geht das unendlich lange. Dein Problem ist ein anderes, aber das hast Du ja noch nicht wirlich beschrieben.

Skript unsichtbar ging mit VB-Script prima - "wscript //B logon.vbs". Heute wäre mir nichts direkt so einfaches bekannt.

Umpf - isses jetzt klar? "User ist Mitglied" und "NICHT User ist Mitglied" Und wir verbinden per Agent - aka "Skript". Besser is das.

Ich hab nix von logon.bat geschrieben - meine heißen immer logon.vbs oder logon.ps1. Wenn da 5 Konsolenfenster aufpoppen, ist das eher Chaos bei der Administration. Und wenn es "irre lange" dauert, ist das auch Chaos bei der Administration. Lang dauernde Anmelde-Tasks startet man asynchron in eigenen Threads. Gibt genug Möglichkeiten dafür.

a) Korrekt. Deshalb auch "synchrone Anmeldeskripts" deaktivieren. c) Wenn a) umgesetzt, passiert das doch automatisch. Ich würde aber grundsätzlich was anderes empfehlen: 1. Anmeldeskripts synchron lassen. Hat den Vorteil, daß sie laufen, bevor der Desktop kommt. Das wiederum spart Nerven mit Netzlaufwerken und Druckern. Darf aber dann sonst auch NIX rein, was Zeit kostet. 2. Alles, was länger dauert, über "Diese Programme bei der Benutzeranmeldung ausführen" starten. Das läuft immer asynchron und erst, wenn der Desktop da ist (Run-Key in Registry, sinngemäß)

...und bei GPP könntest Du eine Zielgruppenadressierung auf Datei nutzen - mußt dann halt 2 Items machen. Oder Registry - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun:InstallPath (wenn Du ClickToRun hast, sonst natürlich anders). Geht alles irgendwie Aber Logonskript würde ich auch beibehalten - gibt irre viel, was damit viiiiel einfacher und zuverlässiger und schneller ist als rein mit GPOs.

Ich kenne die zugehörigen Events jetzt nicht auswendig, aber beim Verbinden mit der Domäne gibt es auf jeden Fall einen Profilwechsel bei der Firewall und ein Network Change Event. Wenn es Windows RAS wäre, "rasman" protokolliert das. Cisco sollte das auch hinbekommen... Ansonsten: Nachschauen

"Anmeldeskripts gleichzeitig ausführen = Aktiviert." ist grob irreführend - das mußt Du deaktivieren. https://gpsearch.azurewebsites.net/#2302 Die englische Erklärung ist besser als die deutsche Synchron ist eben NICHT gleichzeitig. Vor allem nicht im englischen. Ah - Edit: Ja, Robocopy ist besser. GPP Dateien ist Schrott. Nachteile: Kein Aktualisieren einzelner geänderter Dateien, synchrone Vordergrundverarbeitung (wenn's hängt, hängt die ganze Anmeldung), kein Logging für einzelne Dateien, kein Throttling, kein Multithreading usw usw usw. Schrott halt.

Auf dem Register "Gemeinsam" gibt es so einen Haken "Im Kontext des angemeldeten Benutzers ausführen". Fehlt der, braucht das Computerkonto Zugriff. Und wie Jan schon schrub: GPP sind ganz brauchbar - außer "Dateien", das ist Schrott (und "Drucker" auch). Wirst Du merken, wenn mal was schiefgeht Skript ist besser.

Gegen Eltern hilft nur ausziehen

Das kann Dir nur MS beantworten. Die Lizenzbedingungen sind - vermutlich bewußt - extrem undurchsichtig.

Was ist an einer VM jetzt ein "richtigerer" Router als ne Fritzbox? Powerline gilt als Kabel. Möglich ist ein Kabel immer, kommt nur auf den Willen dahinter an. Stichwort "Gebüsch"...

Lege ein Kabel. NAT über WLAN unterstütz die Fritzbox m.W. nicht.

https://www.windowspro.de/wolfgang-sommergut/uebersicht-microsoft-cals-wann-braucht-man-client-access-licenses Keine IIS-CAL, wenn ohne Authentifizierung...

Du konntest es gut erläutern, ja. Und Du hast auch erläutert, daß Du daran nichts ändern willst...

Ok, wir kommen der Sache näher Über PAW reden wir, sobald Du 2 DCs hast. Und weißt, was PAW alles mit sich bringt - separater Computer als PAW, darauf eine VM mit dem Arbeitsrechner (grad noch akzeptiert, eigentlich aber wirklich separater Computer), dann separater Netzzugang, abgeschotteter Raum, 2FA, und genaugenommen Bastion Forest. PAW ist einer der Bestandteile von ESAE, die man am ehesten wegrationalisieren kann - meine Meinung. Wenn Ihr bisher nicht mal OUs genutzt habt, hattet Ihr im AD keinerlei Delegation. Damit auch keine Tier-Trennung, keine gezielten GPOs für's Hardening und und und

Hm - ich hab's seit Vista nie verstanden und ich verstehe es auch jetzt nicht: Wer um alles in der Welt braucht das Startmenü noch? Win-Taste drücken, tippen, Enter, fertig... Und "Ausblenden" heißt nicht "verhindern". MS würde so was bei Office nie als Zugriffssteuerung anerkennen... Und um auch was hilfreiches zu sagen: gpresult /r sagt Dir, ob Deine Umleitungs-GPO auch angewendet wurde. gpresult /h report.html sagt Dir das sogar grafisch und auch, welche effektiven Werte nun angewendet werden.

Man könnte jetzt über ein Auditing auf ACL-Änderungen nachdenken