daabm

Er meint explizit FR. Das merkt sich, wenn es mal aktiviert war, sonst könnte es sich ja nicht ungeschehen machen gemäß der ehemals eingestellten Optionen (die FDeploy.Ini bleibt vorhanden, die CSE in den gPCUserExtensionNames auch). Das gilt (bzw. galt) übrigens auch für IEM. Wenn die CSE aus den ExtensionNames entfernt wird, dann wird sie bei der GPO-Verarbeitung nicht mehr aufgerufen - und damit kann sie auch nichts mehr rückgängig machen.

Wenn ich das jetzt richtig verstehe: Du kriegst 1 als Wert, obwohl der User nicht in der Gruppe ist und es daher 2 sein sollte? Ist er verschachtelt drin? gpresult sagt Dir die effektiven Gruppenmitgliedschaften...

Aye das erklärt auch ne für mich eigenartige Anforderung, die ich kürzlich bekommen habe.... Da müssen Computerkonten Admin auf anderen Computern (SQL-Servern) werden - vmtl. könnte man das auch über geeignete Serviceaccounts lösen, aber wer versteht schon, was MS bei SCCM so treibt

Ich werf mal was sinnvolles in den Raum... Anmeldeskripts werden bei Administratoren und wenn UAC aktiviert ist mit dem elevated Token ausgeführt. Verbindet man darin dann Netzlaufwerke und hat EnableLinkedConnections nicht gesetzt -> unsichtbar :-)) Wenn der TO jetzt Fragen dazu hat: Erst mal ne Suchmaschine anwerfen, weitere Fragen beantworte ich dann gerne.

Die Links von Sunny werden Dich nicht weiterbringen, geplante Tasks in lokalen Richtlinien gibt es nicht. Habt Ihr irgend eine brauchbare Art von Softwareverteilung? Oder kannst Du per Powershell Remoting auf alle Clients zentral zugreifen? Anders gefragt: Welche Alternativen zum Turnschuh hast Du? (Und auch RDP ist ein - wenn auch digitaler - Turnschuh...)

Da ergänzen wir uns prima - ich bin alt, stur und grantig Naja, und manchmal ein wenig hilfreich...

Dir ist aber auch klar, daß die GPP Werte nicht von selbst wieder verschwinden, wenn sie - warum auch immer - mal da sind? Ich glaube, da liegt nur ein Verständnisproblem bei der Funktionsweise von GPP vor.

Für "kurz gesagt" war das ein seeeehr langer Post...

Norbert, wenn immer alles am Anfang stehen würde, wäre es ja kein Rätsel mehr

Bits, man soll nix reparieren, was nicht kaputt ist - und wenn das Diagnosegerät nix taugt (WMIDIag in dem Fall), dann ... :) Kannst übrigens - siehe Footer - auch Martin zu mir sagen.

So einfach kann es manchmal sein Die beiden Policies-Schlüssel sollte man sich als Admin merken. Wenn irgendwas mit GPOs und "vom Administrator verwaltet" klemmt, ist es oft hilfreich, die zu löschen. Hatte ich heute auch bei einem Kunden - da wollte eine Applocker-Regel ums Verrecken nicht greifen. SrpV2 gelöscht, schon ging's...

Nochmal zum Verständnis: Du meldest Dich als Normaluser an und startest was als Admin. Da gibst Du Adminuser 1 ein und es geht nicht, und mit Adminuser 2 geht es?

Moin moin. 200 Filialen, da seid Ihr weit über 1000 Leute, oder? Und kein Sysadmin... Aber das bringt Dich jetzt nicht weiter. Kennst Du Ausgabeumleitung? Bau die net use Befehle mal so um: net use s: \\xyz\abc >>%temp%\netuse.log 2>&1 Damit erhältst Du im %temp% des Users ein Logfile, in dem ein wenig was dazu stehen sollte, was genau schiefgeht. Und im Zweifel hast Du recht - der Netzwerkstack braucht bei neuen PCs länger zum Initialisieren als der Logon, dann geht es schief. Da hilft dann http://gpsearch.azurewebsites.net/#1839 (kannst Du auch direkt als Registrierungswert setzen da Ihr keine Domäne zu haben scheint )

Bei deiner Sig hätte ich das aber erwartet :-)) SCNR...

"Effektiver Zugriff" in der ACL sagt für diesen User was genau?

Hast Du "INhalt an den neuen SPeicherort verschieben" aktiviert? Dauert das evtl. zu lange? Oder hast Du ein Problem mit Offline-Cache? BTW: Das hab ich doch im Technet auch schon gelesen, oder?

Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet?

Loopback, immer wieder Loopback... Warum man es nicht nutzen sollte: https://blogs.technet.microsoft.com/askds/2013/02/08/circle-back-to-loopback/ Und wie es wirklich funktioniert, kurz erklärt: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

Hast Du mit RUP auch Folder Redirection mit Offline-Verfügbarkeit eingerichtet? Ist evtl. der Offline-Cache voll?

Naja ich würde ein Skript von 2007 nicht unbedingt als Referenz für den WMI-Status eines 2012R2 nehmen, der bald 10 Jahre später rauskam... :-() Hast Du konkrete Probleme? Wenn nein, dann ignoriere den WMIDiag-Output einfach. Wir hatten das auch mal in der Wartung mitlaufen, aber das produziert viel zu viele false positives und ist nicht language neutral. Also flog es wieder raus.

Dann prüfe mal unter HKCU und HKLM, was Du so unter SOftware\Policies und unter Software\Microsoft\Windows\CurrentVersion\Policies an Einträgen findest. Verdächtige Einträge dürften leicht zu erkennen sein, einfach löschen. Wenn sie wiederkommen, dann ist da doch was am Start

Commandline, "whoami /groups" - wie viele Einträge sind drin? Wenn es über 80 sind, sind wir im kritischen Bereich bei älteren Betriebssystemen. MS hat deswegen irgendwann die Default Token Size vergrößert und SID Compression eingführt - Google führt Dich ggf. zu weiteren Infos, wenn nein einfach kurz Bescheid, dann such ich was raus.

Hast Du evtl ein Kerberos Token Bloat Problem? Zu viele Gruppenmitgliedschaften, dann fehlen sporadisch und zufällig welche...

Ich würd ja mal mit "nslookup <domain>" anfangen - wer antwortet?

Jepp. Entweder nen Symlink dafür einrichten oder halt ein "Master-File" in alle Admin-Profile kopieren.