daabm

Auf dem einen ist sie topaktuell (der von Kollege Ralf, der kann mit seinem Surface Pro4 connecten und damit auch nen FW-Update machen), auf dem anderen ein paar Revisionen älter, aber gleiche Hauptversion.

Kann ja sein, daß der PDC irgendwann das krbtgt-Kennwort geändert hat und diese Änderung wurde nicht mehr rausrepliziert... Ein Netzwerktrace wäre hilfreich. Und im Security-Eventlog solltest irgendwo auf KRB_ERR_AP_MODIFIED oder so stoßen.

Zahni alles bekannt. Das ist auch keine "P2P"-Verbindung, sondern fängt als AdHoc an, dann spannt der Computer tatsächlich einen AccessPoint auf, zu dem der Miracast dann connected (wenn ich das im Log noch richtig in Erinnerung habe). Deshalb klappt das auch erst mit neueren WLAN-Adaptern. Diese AP-Funktion kann Windows ab 7, wenn es der Adapter unterstützt. Wie geschrieben, wir hatten 2 MWDA, beide neu (V2). Und die Testrechner hatten teilweise keine Verbindung zu einem WLAN. Für uns immer noch kein Muster erkennbar, morgen geht's mit dem PFE weiter auf die Suche (mit nem Surface Pro3).

Nenene, war ja net mein Bauch :-)))

Bauchschuß: krbtgt-Kennwort nicht mehr synchron... Lösung: kdc auf allen DCs außer dem PDC deaktivieren, dann alle außer dem PDC neu booten.

Ich gehe mal davon aus, daß takeown/icacls in einer Admin-Commandline gemacht wurde? Wenn nein: Noch mal zurück auf los Wenn ja: Process Monitor, schau nach per Filter was da alles auf dieses File zugreift, das Du grad löschen willst.

@Jan like it ;)

Das bestätigt mein Reden: Reines Glücksspiel... Das mit dem Pro 5 ärgert mich am meisten, ist die oobe-Installation von MS drauf und geht nicht :-( Und die Möglichkeiten zur Fehlersuche sind schlicht beschissen.

Du sollst dafür sorgen, daß bei jeder Benutzeranmeldung die Bilddatei zugreifbar ist. War sie das einmal nicht, implementiere ein kleines Skript, das den dämlichen Cache löscht - Google sagt Dir, was genau zu löschen ist. Normalerweise empfehle ich, die Bilddatei im Computerkontext oder per Deployment lokal auf den Client zu kopieren und dann im Userkontext diesen lokalen Pfad zu verwenden. Klappt immer.

Ich bin im Grundsatz bei magheinz und Nils. ABER was hier viel zu kurz greift: Brain 2.0 als wirksamste - und viel zu selten eingesetzte - Last line of defense... Was nutzt es, den Zugriff auf Dropbox zu verhindern, wenn per Mail beliebige Anhänge verschickt werden können? Was nutzt eine Data Leakage Prevention auf Computersystemen, wenn jeder MA ein Smartphone mit aktiver Kamera hat? (Ggf. ein privates...) Organsiatorisches "Verhindern und verbieten" gehört für mich in weiten Teilen zu Schlangenöl. Technisches "Verhindern und verbieten" sollte sich auf das Erforderliche beschränken. Es gibt beeindruckende APT-Tests, in denen bis zu 80% der Anwender mehrfach (!) Sicherheitswarnungen wegklicken.

...Umbenennen geht auch auf viele andere Methoden, WMI wäre meine präferierte. Und "-executionPolicy Bypass" kann man auch direkt im Powershell-Aufruf als Parameter angeben. Ich frage mich grad nur, warum der Name (Get-WmiObject Win32_SystemEnclosure).SMBiosAssetTag sein sollte - ist der tatsächlich domainweit eindeutig? Ich habe hier einen Fujitsu-Laptop (Q702), da ist das leer... Und das ist kein Consumer-Gerät.

Nur so als Tipp: Beim Setzen des Bilds per GPO muss das Bild beim Erstellen des Profils (bzw. beim erstmaligen Anwenden der GPO, die das Bild setzt) vorhanden und zugreifbar sein, sonst landet ein schwarzes Bild im Cache. Und das bleibt da bis in alle Ewigkeit, wenn nicht ein neues Bild festgelegt wird (also nicht einfach die Bilddatei austauschen, sondern eine andere Datei festlegen!)...

Ja, Stichwort "Auditing", Prozessüberwachung aktivieren - dann Security Eventlog. Oder AppLocker einschalten im Protokollierungsmodus - dann AppLocker Eventlog. An Eventlogs kannst Du Tasks binden per Trigger. Oder WMI-Eventsink auf InstanceCreationEvent von Win32_Process mit entsprechendem WQL auf Dein gewünschtes Programm, das ist ressourcenschonender

Sicherheitseinstellungen, "Deny access to this computer from the network" - oder was war jetzt die Frage?

Ich klinke mich da mal ein - als ebenso Leidtragender... Ich hab hier und im Büro ein ganzes Rudel von Laptops, und ich habe die immer gegen einen aktuellen Microsoft Wireless Display Adapter (MWDA) getestet. Nicht ein Gerät hat funktioniert - u.a. ein Surface Pro3 und ein Pro5. Alle natürlich unter 1809, warum sollte ich das mit älteren Builds ausprobieren? Ein Kunde hat es mit einer DVD-Installation von 1709 auf einem Lenovo (T560, glaube ich) versucht - ging auch nicht. Mit einem USB WLAN-Stick an einem Desktop ging es erst auch nicht, dann ging es plötzlich, dann wieder nicht mehr. Ob dabei WLAN mit einem AP verbunden ist oder nicht, spielt keine Rolle. Die FW des MWDA spielt keine Rolle (wir haben 2 mit unterschiedlicher FW). Treiberversionen sind iwie auch egal - auf allen Geräten habe ich nach den ersten Fehlversuchen Treiberupdates gemacht, gleiches Problem. netsh wlan show driver behauptet "alles ok". Auf dem Bildschirm am MWDA sehe ich "Connecting to <Computername>", nach einer Minute dann wieder "Ready to connect". In Windows "Es ist ein Fehler aufgetreten". Im WLAN-Eventlog den Connect zum MWDA, das Aufspannen der WIFI Direct Verbindung, nach einer Minute "Verbindung wurde vom Benutzer getrennt" - hä??? Auch mein Kollege Ralf von surfaceinside.de war ratlos, ebenso wie unser PFE und alle anderen, die sich damit auseinander gesetzt haben. Das scheint ein reines Glücksspiel zu sein :-( Ein echtes Trauerspiel, was MS und Intel da abliefern.... Bahn frei für Airplay, das funktioniert immer...

Nein, macht es nicht. Wer ist Owner der "gelöschten" Files?

Der fragt den ersten DC, der antwortet. -Server angeben :) Und Du weißt, daß alle Anmelde-Zeiten im AD unzuverlässig sind?

Dritte Alternative: Machs mit Win7, das klappt auch für Win10. Die FW-Regeln enthalten eine Versionsnummer...

Erstellungsdatum? "Aus dem Nichts" entstehen keine Ordner, und Robocopy kopiert auch nur, was live da ist.

...und wenn das einfaches HTML wäre, dann könnte man das in ein XML laden und da schön rausparsen. Oder in den IE, wenn es ein schönes DOM hat. Oder oder oder :-))

Schalt mal die Energiesparfunktionen der Netzwerkkarte ab. Irgendwas mit "Computer kann dieses Gerät deaktivieren" abschalten - dunkle Erinnerung... Edit: Und auch ggf. den Schnellstart abschalten. Sonst ist der erste Boot kein Boot, sondern nur ein Wakeup.

Treiber aktuell? Geht es nach "netsh int ipv4 reset" wieder?

So hätte ich das auch vorgeschlagen. Einfach das passende Objekt erstmal holen, dann ist die Lokalisierung egal :)

Sourceforge Regshot besorgen, Snapshot erstellen, ändern, 2. Snapshot erstellen und vergleichen. Mußt zwar bissle was rausfiltern, ist aber i.d.R. überschaubar.

Beide Rechner in einer Domäne? Sonst könnte ich mir vorstellen, daß als Owner ein lokaler Account des anderen Rechners drinsteht, und der ist dann natürlich ungültig... Weiß grad nur nicht, wie man den aktuellen Owner "raw" ermittelt, also direkt aus der ACL holt.