daabm

...und im Zweifel ist "gpresult /h report.html" auch hier der Freund der Stunde. Vielleicht gibt's ne Spezial-GPO, die den User auf dem einen Rechner in die Admins steckt? Wenn nicht, dann hat ihn da jemand manuell reingetan und es gibt eben _keine_ GPO, die die lokalen Admins steuern würde.

gpresult /h report.html ist Dein Freund. Wenn Du skripten kannst, dann schmeiß die Druckerzuordnung per GPO einfach ersatzlos weg - da gibt es nichts, was zuverlässig funktioniert. BTW - hast Du die Drucker im Computer- oder User-Kontext zugewiesen? Ist "fast startup" aktiv? Dann booten die Rechner nicht wirklich, sondern gehen nur in Hibernation. Hast Du "Immer auf das Netzwerk warten" aktiv? Fragen über Fragen :-))

DHCP oder statisch? DHCP Server autorisiert?

Hilft Dir vielleicht https://redmondmag.com/articles/2016/08/16/windows-10-p2p-update-controls.aspx als Einstieg?

Wo ist das Problem? Entweder ich schmeiß die betreffende GPO dann weg und mach sie neu. Oder ich editiere das registry.pol mit dem Torchsoft Registry Workshop :) (Bzw. genau genommen editiere ICH es mit meinem Skript - https://www.faq-o-matic.net/author/martin-binder/ ) Alternativ (so machen wir's im Unternehmen) keinen Central Store verwenden, sondern custom ADMX templates per Software Deployment ausrollen. Dann nimmst für jede GPO halt das OS zum Bearbeiten, für das die GPO ziehen soll.

Ewiger Kampf und Krampf :-) Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...). SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt. Zum Thema "wer ist wo genau Admin": http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html (als Idee :-))

Da wär ich bei Zahni - wer wechselt vom IE zu Chrome, um dann die Suchmaschine wieder auf Bing zu ändern? :-)

Willkommen in MS16-072 :)

Wie wärs mit "file://..." ? :)

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

Genau. Blöder Implementierungsfehler bei Shortcuts, URL geht.

Kauf Dir doch mal ein gutes Buch dazu :-)) Das mit dem Löschen/Hinzufügen ist suboptimal, weil es ewig dauern kann (dabei werden auch die Treiber neu installiert). Und wenn Du MIchaels Gruppen änderst, sollte der sich neu anmelden, damit das auch in seinem Kerberos-TGT steht. Sonst ist er da nämlich immer noch drin/draußen. Edit: Im GPResult siehst Du auch, welche Druckerelemente angewendet wurden. Und im GPP Debug Log siehst Du sogar, welche nicht und warum nicht. https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Fehlermeldungen im Wortlaut sind immer hilfreich :)

Im nächsten W10 Update sind die meisten Funktionen von EMET enthalten. Und Support haben wir in jetzt 4 Jahren dafür auch nie gebraucht - man kann das auch einfach bewerten, dokumentieren und weiter nutzen :)

Sehr wirr.... Hast Du einfach mal die effektiven Rechte des Webtitan-Users auf die verschiedenen Benutzer und OUs geprüft? In ADUC (dsa.msc, ADBuC oder wie auch immer Du es nennen willst) Menü Annsicht - Erweiterte Features anhaken, dann haben alle Objekte den Reiter "Sicherheit".

Du hast ne Domäne und DHCP macht die Fritzbox? Stell das um - DHCP/DNS sollte der DC mit erledigen, dann klappts auch mit den SRV-Records...

"Erfahrung" - und dreimal gemacht, bis ich wußte was alles "Rauschen" ist.

Bei XP hat das - leider - so funktioniert :) Aber man kann das auch ganz offiziell mit Bordmitteln lösen - wenn man servergespeicherte Profile hat: http://gpsearch.azurewebsites.net/#2570 http://gpsearch.azurewebsites.net/#2580 Benutzer fix und fertig einrichten, dann die beiden Einstellungen aktivieren. Fertig ist das mandatory Profile.

Das dürfte mit dsquery/dsget einfacher zu lösen sein :-) dsquery group -samid xyz | dsget group -members -expand | dsget user -samid -full Wo die Gruppe sich befindet, ist relativ egal - der SamAccountName ist eindeutig. Und in der Tat - Gruppenmitgliedschaften sucht man nicht "vom Benutzer aus", sondern direkt in der Gruppe :)

Wie viele Domain Controller gibt es? Und ist die Datei auf _allen_ vorhanden? Ich vermute nein - Sysvol-Replikation kaputt wegen NTFS Journal Wrap :-) Prüfe das FRS-- bzw. DFSR-Eventlog auf allen DCs. Und gibt es evtl. Anmeldeskripts, die in einen Timeout laufen könnten? Das wären dann per Default 20 Minuten.

Prima! Und Teilen magst Du Deine Lösung nicht? Es gäbe hier auch ein Skripting-Forum :thumb1:

Aus allem, was ich dazu in Technet bisher gelesen habe: Scheint ein Fehler im aktuellen .NET 4.7 zu sein... Runter damit auf 4.6 oder 4.5, dann sollte es wieder gehen.

Ich merke mal an: Wenn man ein Profilverzeichnis einfach löscht, ohne ProfileList in der Registry zu bereinigen, wird sich der User nicht mehr anmelden können. Und ab Win8 muß man noch ein paar weitere Reg-Werte in HKLM bereinigen (wegen dem App-Gedönse...). Also eher kein guter Weg...

Ja, die gibt es noch. Für weitere Recherche empfehle ich https://lmgtfy.com/?q=Windows+10+Kiosk+Mode

Mein Process Monitor behauptet, das steht hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Sensor\Overrides\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}