daabm

Ich hätte noch ne ganz alberne Idee: Kauf für den Steuer-PC einen O365-Account und nutze Onedrive dafür. Verschieben muß ja vmtl. nicht sein. Und den Onedrive-Ordner gibst Du dann für diejenigen frei, die den brauchen. (Dropbox ginge natürlich auch, das würde dann auch LAN-Sync machen können... ) Edit: Geht natürlich nur, wenn I-Net-Zugang vorhanden ist...

So isses. FR Policies verschwinden nicht "einfach so", wenn sie nicht konfiguriert sind. FR muß ja wissen, was es denn nun machen soll...

Ja,,und jetzt halt nicht mehr. Wenn Du nicht Änderungen machst, um das Ergebnis zu prüfen, wird sich daran auch wenig ändern. Irgendwo mußt Du ja anfangen. Die Profifirma würde jetzt einen Fluke rausziehen und an die Dose hängen. Hast Du aber leider nicht, also bleibt nur experimentieren. (PS: Der Editor spinnt bei mir grad ein wenig, deshalb zu viel Zitat - sorry dafür...)

"Völlig gleich installiert" - und nur auf einem Lexmark-Software installiert?

Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen.

Du wolltest ja unbedingt servergespeicherte Profile, jetzt hast Du sozusagen den Salat... Und den Rechtsklick, den @mba meint, mußt Du in einem Explorer-Fenster machen, nicht direkt auf dem Desktop Alternativ Powershell: [environment]::getfolderpath("desktop")

Hängen die Rechner direkt am Switch? Nicht daß da einer so ne Split-Doppeldose verbaut hat... Und stehen sowohl Switch als auch NIC auf Auto/Auto Negotiation?

Ich auch nicht... "-analyze !v" hast Du gemacht? Und es war ein Full Dump, nicht nur Kernel?

Jupp. W2K3 haben wir noch 2 Server - QS für den Virenschutz

Wenn Du bei dem Hersteller arbeitest und Ihr offensichtlich InstallShield verwendet: Mach ein MSI statt ner setup.exe, dann ist ne silent Installation völlig problemlos und auch per Deployment mit GPO/SCCM/xyz easy möglich. Oder komprimiere wenigstens nicht alles in eine setup.exe, sondern laß das MSI noch separat, damit sich der geneigte Admin die Installationsmethode aussuchen kann.

...und als Ergänzung zu Nils: Die Schemaversion hat NICHTS mit dem Funktionslevel zu tun. Man kann auch eine 2000-Domäne (kein Tippfehler, wirklich zweitausend) mit dem 2016-Schema betreiben. Hat dann den Vorteil, daß z.B. für Win10 Bitlocker-Recovery im AD funktioniert und man WLAN und 802.1x GPOs verwenden kann, wenn man von nem Win10-Client aus bearbeitet. Der W2K-DC weiß davon allerdings nichts Nachtrag: Nein, wir haben keine W2K-DCs mehr. Aber noch 2008R2 - die Domains laufen aber mit dem 2016-Schema.

Autsch - ja, stimmt. Ok, zu lange nichts mehr damit zu tun gehabt...

Jan, zu RDSH-Farmen habe ich eine eigene Meinung, die hier wenig konstruktiv wäre... Cloud ist schön, aber nur solange die Infrastruktur nicht zickt. Wenn was nicht tut, kannst noch nicht mal an überfälliger Dokumentation weiterarbeiten, weil das Word aus der Cloud halt auch mit weg ist. ym2c...

Tesso, regedit zu verbieten ist Schlangenöl. Auf einem sauber konfigurierten System kann der User damit genau sich selber kaputt machen, nicht das System. Zur Frage des TO: Das liegt am Manifest. Da gibt es asInvoker, highestAvailable und requireAdministrator. Bei ersterem kommt nie eine UAC-Abfrage, bei letzterem immer. Bei dem in der Mitte nur dann, wenn der User Admin ist und daher auch elevaten kann.

Die Keys pro SKU kannst parallel installieren, der Client-Key ist vom Server-Key unabhängig.

Ohne ist fast genauso gut wie mit. Schlangenöl... Wir hatten einen Pentest per Mail, 20% haben es bis zum Ziel geschafft - 2 Makrowarnungen von Word bestätigt. Da hilft kein Virenscanner. Und ich kenne keine APT-Methode, gegen die ein Virenscanner irgendwas ausrichten könnte.

Ich weiß ja nicht, wie Du die Dumps analyisert hast. Aber wenn man die in windbg mit konfigurierten Symbols lädt, kommt fast immer was brauchbares raus. BluescreenView kenne ich nicht. https://www.google.com/search?q=windows+dump+file+analysis+windbg

RUP auf Notebooks? Wenn ich mal meine geschäftliche kritische Brille absetze, ist Onedrive derzeit der beste Weg, Notebook-User-Daten sinnvoll zu zentralisieren. RUP für Notebooks ist ein No-Go, Ordnerumleitung eine Krücke - vor allem mit der wackeligen Offline-Synchronisation.

Ich habe @Nobbyaushb nichts hinzuzufügen - servergespeicherte Profile mit Windows-Bordmitteln sind inzwischen ein richtiges Trauerspiel...

PS C:\WINDOWS\system32> err 3b # for hex 0x3b / decimal 59 : SYSTEM_SERVICE_EXCEPTION bugcodes.h Da sollte sich in einem Dump doch was finden lassen, welcher Service dafür verantwortlich ist.

Ersetzen ist kontraproduktiv, das zieht dem laufenden Windows beim Background-GPUpdate die Netzlaufwerke weg. Aktualisieren ist besser - oder eine Zielgruppenadressierung beim Mapping auf "GPOVerarbeitung != Background|Manuell". Noch besser ist allerdings IMHO immer noch ein gescheites Logonskript, und zu dem legt man dem User noch eine Verknüpfung bereit, damit er Laufwerke "interaktiv" aktualisieren kann. Die GPP Drive Mappings sind für mich Mist.

Dann sind wir uns beim Ping soweit einig? Der Rest stimmt, was den DC-Locator betrifft - DNS Anfragen regeln das über SRV-Records Ping war schon immer ein recht schlechtes Diagnosewerkzeug, weil der heimlich auch noch Wins und Netbios-Broadcasts verwendet, wenn man nur einen Namen angibt. Besser wäre Test-NetConnection oder (bevorzugt) nltest mit einem seiner vielen Parameter.

Hm, hast Du Dir schon mal das Application Compatibility Toolkit (ACT) von MS genauer angeschaut? Kostet nix... Wenn man damit weitere Verzeichnisse in die Schreibvirtualisierung aufnehmen kann, könnte das Dein Problem lösen...

Vielleicht ne blöde Frage, aber Treesize lief als Admin? Sonst sieht es nicht alles... Aber wenn ja, dann habe ich auch keine wirkliche Idee

Nicht mit den Carets, aber es kann sein daß Volatile Environment nicht geht. Ich hatte so ne Anforderung noch nie, daher leider keine Ahnung...