daabm

Verabschiede Dich und Deine GF mal von RuP. Das ist Technik aus dem letzten Jahrtausend... Und macht mehr Ärger als es nutzt. Einzige Ausnahme: TS-Umgebungen ohne UPD. Aber auch da kommt man mit nem guten Satz von Login-Skripts ohne RuP aus.

Jupp. Ich hab auch noch eins (uralter Laptop aus 2004), aber ich weiß genau was ich tue. Beim TO bin ich mir nicht so sicher, wenn ich lese "aktiv genutzt für Mitarbeiter" rollen sich meine Fußnägel hoch...

Das ADK/MDT ist keine Softwareverteilung - das kann nicht in laufenden Betrieb nachträglich was installieren (ich lass mich da gerne korrigieren). Für das überschaubare Netz würde ich mal den WPP genauer anschauen: https://github.com/DCourtel/Wsus_Package_Publisher

Olaf, zu Stackoverflow solltest ihn nicht schicken - da gibts nur gleich Mecker wegen "zu unspezifisch" und blah...

Schwarz heißt, daß das Bild beim ersten Anwenden der Policy nicht erreichbar war... Wenn der Bildpfad in der Policy nicht geändert wird, bleibt das auch schwarz Eigentlich steht alles schon in den vorigen Posts, nur die Lösung dazu nicht - aber https://lmgtfy.com kannst Du sicher auch bedienen.

Super - erinnert mich an unsere internen Störungsendemeldungen: "Das Problem hat sich ohne Beteiligung der Fachabteilung behoben"

Na, zum Glück will der nicht mehr... XP auf nem aktiv genutzten Gerät???

Wenn Du "irgendwie" an das Dateisystem rankommst (was genau ist der Rescue Modus?), dann kannst Du C:\Windows\System32\GroupPolicy löschen oder umbenennen.

Da müsste man jetzt wissen, was MS unter einem "Benutzeralias" versteht: "Der Basisverzeichnispfad jedes Benutzers setzt sich aus dem angegebenen Stammpfad des Basisverzeichnisses und dem Benutzeralias zusammen." Warum machst Du das nicht einfach konventionell über das Homeset des AD-Accounts? Alternativ kannst Du in der Ordnerumleitung den statischen Pfad \\server\share\%username%.%userdnsdomain% verwenden. Oder %homeshare%%homepath% (ich weiß aber nicht, ob das mit der RDP-Basispfad-Policy korrekt gefüllt wird...)

Bin bei Tesso - ein "net use" erstellt kein PSDrive, also kann man es damit auch nicht entfernen

Klingt alles nach "wasch mich, aber mach mich nicht nass". Warum kriegt der extrem sensitive Mitarbeiter nicht einfach nen Laptop, den er mitnimmt? Oder im Safe einsperrt... Möglichkeiten gibt es beliebig viele, auch gegen Seitenkanäle kann man sich schützen - indem man in einem Metallcontainer offline arbeitet

Dann würde ich den Raspi-Ansatz weiter verfolgen - da bin ich aber raus. Hier läuft ein Windows-Server, der das machen würde

Dann hast Du verloren, das stimmt... Ja, ich bin zu weit weg vom auftragsbezogenen Dienstleister :-(

Vielleicht beschreibst Du erst mal Dein grundsätzliches Vorhaben, statt direkt in einen halbfertigen Lösungsansatz zu springen? Was genau willst Du als Ergebnis erreichen? (Und nein, "Ergebnis" meint nicht, einen Befehl irgendwie auszuführen ) BTW: Deine Fritzbox wird Dir dabei nicht helfen - da bräuchtest eine Box mit OpenWRT und ziemlich viel weitere Kenntnisse...

[ot]Mach es am Anfang richtig, dann bist Du auch am Ende noch zufrieden. Mach es am Anfang falsch, und es wird auch am Ende noch falsch sein...[/ot] Dienstleister oder nicht, es gibt zu viele, die "einfache Wege" einschlagen und deshalb am Ende erst vor dem steilen Anstieg stehen und kapitulieren. Wir haben mit Vista entschieden, daß "Program Files" ein Leerzeichen enthält und das auch bleibt. UAC auf höchster Stufe. Mit Win10 AppLocker mit Minimalregeln, dazu noch Smartscreen. Jedesmal Prügel von allen Seiten, aber nach 6 Monaten kräht kein Hahn mehr danach und alle sind zufrieden. Geht also

Yes, I name it. Eat the shit once - irgendwann mußt Du da durch, und dann ist es ausgestanden

Mal abgesehen davon, daß man die SamID niemals aus natürlichen Namen bilden sollte (die ändern sich zu oft...): Nichts im AD ist nicht unicode-fähig. Was spricht gegen den doppelten Umlaut? Den Rest verbuche ich mal unter unbedachte Äußerungen, sonst müßte ich jetzt noch über Rassismus und Diskriminierung nachdenken.

Der von Dir zitierte KB-Artikel ist mißverständlich. Produktiv ist immer nur "PolicyDefinitions" ohne was hinten dran - das dient dann nur Dir als Übersicht und Versionsverwaltung.

Nen "Semi-Master" kannst einrichten über Sites und Services oder über aktiv/passiv, und innerhalb eines Standorts geht das auch irgendwie (so dunkle Erinnerung), aber "out of the box" gibt es keinen Master...

Der Index ist einfach nur ne fortlaufende Nummer, der in der Reihenfolge des Erscheinens/Entstehens der Interfaces fortlaufend vergeben wird. Und mit dem man die dann eindeutig identifizieren kann.

Wir hatten nie F-Secure, aber IMHO war das ein Bug in den Defs (von Symantec in unserem Fall). Ich hatte nicht wirklich damit zu tun, nur am Rande mitbekommen.

Der Loopback Merge sorgt ggf. dafür, daß weitere User-GPOs aus der RDS-OU dazukommen - hast Du das geprüft? Ich bin kein Freund von Dateirechten via GPO, aber ansonsten finde ich grundsätzlich nix in Deiner GPO, was die von Dir beschriebenen Probleme auslösen könnte oder dürfte... Der Loopback Merge sorgt ggf. dafür, daß weitere User-GPOs aus der RDS-OU dazukommen - hast Du das geprüft? Ich bin kein Freund von Dateirechten via GPO, aber ansonsten finde ich grundsätzlich nix in Deiner GPO, was die von Dir beschriebenen Probleme auslösen könnte oder dürfte... Der Loopback Merge sorgt ggf. dafür, daß weitere User-GPOs aus der RDS-OU dazukommen - hast Du das geprüft? Ich bin kein Freund von Dateirechten via GPO, aber ansonsten finde ich grundsätzlich nix in Deiner GPO, was die von Dir beschriebenen Probleme auslösen könnte oder dürfte. @Madison "Sehen" ist kein Problem, "Ändern können" ist es. Mach das System sicher, lass sie sehen, was sie wollen...

Das sind doch keine gemappten Laufwerke, das sind Netzwerkspeicherorte (oder wie auch immer die heute heißen). Wenn nur ein User das Problem hat: Profil löschen

Naja, das ist eine SID. Die kannst per LDAP Query im AD nachschlagen... Get-ADObject wäre das Cmdlet dafür Und wenn die nicht aufgelöst werden kann, hat jemand den 33.711ten Security Principal gelöscht, der in Eurem AD angelegt wurde.

Wir hatten das Problem auch mal, da war es der Virenscanner...