daabm

"Erfahrung" - und dreimal gemacht, bis ich wußte was alles "Rauschen" ist.

Bei XP hat das - leider - so funktioniert :) Aber man kann das auch ganz offiziell mit Bordmitteln lösen - wenn man servergespeicherte Profile hat: http://gpsearch.azurewebsites.net/#2570 http://gpsearch.azurewebsites.net/#2580 Benutzer fix und fertig einrichten, dann die beiden Einstellungen aktivieren. Fertig ist das mandatory Profile.

Das dürfte mit dsquery/dsget einfacher zu lösen sein :-) dsquery group -samid xyz | dsget group -members -expand | dsget user -samid -full Wo die Gruppe sich befindet, ist relativ egal - der SamAccountName ist eindeutig. Und in der Tat - Gruppenmitgliedschaften sucht man nicht "vom Benutzer aus", sondern direkt in der Gruppe :)

Wie viele Domain Controller gibt es? Und ist die Datei auf _allen_ vorhanden? Ich vermute nein - Sysvol-Replikation kaputt wegen NTFS Journal Wrap :-) Prüfe das FRS-- bzw. DFSR-Eventlog auf allen DCs. Und gibt es evtl. Anmeldeskripts, die in einen Timeout laufen könnten? Das wären dann per Default 20 Minuten.

Prima! Und Teilen magst Du Deine Lösung nicht? Es gäbe hier auch ein Skripting-Forum :thumb1:

Aus allem, was ich dazu in Technet bisher gelesen habe: Scheint ein Fehler im aktuellen .NET 4.7 zu sein... Runter damit auf 4.6 oder 4.5, dann sollte es wieder gehen.

Ich merke mal an: Wenn man ein Profilverzeichnis einfach löscht, ohne ProfileList in der Registry zu bereinigen, wird sich der User nicht mehr anmelden können. Und ab Win8 muß man noch ein paar weitere Reg-Werte in HKLM bereinigen (wegen dem App-Gedönse...). Also eher kein guter Weg...

Ja, die gibt es noch. Für weitere Recherche empfehle ich https://lmgtfy.com/?q=Windows+10+Kiosk+Mode

Mein Process Monitor behauptet, das steht hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Sensor\Overrides\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}

Das Drama haben wir auch. VGA geht immer, haben die neueren Geräte aber oft nicht mehr. DVI würde wohl auch immer gehen. HDMI und DP ist ein Glücksspiel, vor allem wenn am Beameranschluß dann noch ein Adapter dran ist. Beim einen Laptop geht's mit Adapter, beim anderen nur ohne, beim dritten dann gar nicht :cry:

Powershell wäre wohl die Lösung - es gibt einfach Dinge, die per Batch nur "saublöd" zu realisieren sind. Und %%a ist eine Schleifenvariable, die steht außerhalb NICHT zur Verfügung. Du hast 2 Schleifen, die die gleiche Variable verwenden, das hat aber NICHTS miteinander zu tun. Deine 2. Schleife befüllt die Variable neu.

...und ansonsten hilft auch immer ein kurzer Test mit ldp.exe, das sagt Dir dann schon ein wenig über Verbindungsprobleme. Notfalls parallel dazu per netsh trace mitschauen, was im Handshake schiefgeht - viel Spaß, wenn Du jetzt nicht mehr mitkommst :) Notfalls noch mal fragen, dann erzähl ich gern mehr dazu.

Spricht doch nix gegen eine Pfadregel, wenn der User da keine Schreibrechte hat ;)

Da braucht man kein AutoIt.... -Verb RunAs geht auch bei PowerShell Start-Process ganz gut :)

Die Frage von Jan hätte ich jetzt auch gestellt - abgesehen davon, daß es mit supporteten Bordmitteln schlicht nicht geht... Einziger Schmutztrick: Mach Dir per srvany einen eigenen Dienst, der Dein Skript ausführt. Definiere den GPSVC als DependendOn diesen Dienst. Ohne Gewähr, daß die User sich dann noch anmelden können, wenn Dein Skript mal Schluckauf hat :)

Du hast glaub zu viel gelesen - was ist das Problem daran, eine VM neu zu erstellen und ein heruntergefahrenes bestehendes DC-VHDX dort als Datenträger anzubinden? Edit: DC ist nicht sensibel - viel einfacher wäre möglicherweise aus Deiner Sicht, einfach einen neuen zu erstellen und zu promoten und dann den anderen zu depromoten.

Heise (c't) hat doch ne schöne Lösung dafür parat... Standalone-SRP-Konfigurator :)

Du bist ein Opfer des Explorer, der nicht mit UAC umgehen kann :)

Nein nicht das gleiche. Der verlinkte Thread bezieht sich auf die Versionsangaben bei den Group Policy Preferences - und dort kann nie ein neueres OS stehen als das, auf dem man grad unterwegs ist. Der TO meint "Administrative Vorlagen" - "Unterstützt auf". Und wenn ich wüßte, wo genau ich diese konkrete Einstellung finde, würde ich jetzt kurz nachschauen. I.d.R. stimmen die Angaben dort aber - das Setting ist ab Vista vmtl. einfach nicht mehr wirksam bzw. der entsprechende Dialog nicht mehr vorhanden.

Das ist Jacke wie Hose, wenn es in abc.net nicht noch Subdomains gibt, die auch ausgeschlossen werden müssen. shExpMatch ist etwas "teurer" in der Auswertung, aber das dürfte kaum spürbar sein :)

Wenn Du einen Firefox zur Hand hast: Ist es da genauso? Und dann im Firefox mal F12 (Entwicklertools), Reiter "Netzwerkanalyse" und vergleichen :)

Ja :) Für deutsche Systeme: Year=%Date:6,4% Month=%Date:~3,2% Day=%Date:~0,2% Hour=%time:~0,2% Minute=%time:~3,2% Second=%Time:~6,2% Timestamp=%Year%%Month%%Day%-%Hour%%Minute%%Second% Da war irgendein Problem, wenn Tag oder Stunde einstellig sind - weiß das aber nimmer genau :) Da mußte man dann noch mit Nullen auffüllen, damit es schön zweistellig wird. Das hier fände ich die bessere Lösung: for /f "usebackq" %%t in (`powershell -command "$timestamp = Get-Date -Format o | foreach {$_ -replace ':', '.'}; $Timestamp"`) do set timestamp=%%t Oder gleich in Powershell statt Batch, dann kann man sich solche Verrenkungen sparen :) Dass %time% eine Ausgabe liefert, die Doppelpunkte enthält und damit für Dateinamen nicht verwendet werden kann :)

Für die ISE gibt's ein Plugin, das in den Tools einen VariableExplorer nachrüstet. Ist recht brauchbar, wird aber unübersichtlich, wenn man _sehr lange_ Variablen hat :) https://gallery.technet.microsoft.com/PowerShell-ISE-VariableExpl-fef9ff01

Naja, der Client steht in %clientname%. Und WMI hilft prima: wmic path win32_pingstatus where (address="%clientname%") Die IP steht in ProtocolAddress.

Die Sicherheitseinstellungen sind "nur" eine Inf-Datei... Das, was per MMC-Snapin "Sicherheitsvorlagen" auch erzeugt wird. Kann man problemlos manipulieren, dann noch die GPO-Version in gpt.ini und Version-Attribut hochsetzen. Und wenn man's in einer neuen GPO machen will: Die Snapin/CSE GUIDs in gPCMachineExtensionNames reinschreiben. Viel Spaß - alles kein Hexenwerk :) Aber per DSC wäre das vmtl. wirklich einfacher.