daabm

Ewiger Kampf und Krampf :-) Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...). SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt. Zum Thema "wer ist wo genau Admin": http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html (als Idee :-))

Da wär ich bei Zahni - wer wechselt vom IE zu Chrome, um dann die Suchmaschine wieder auf Bing zu ändern? :-)

Willkommen in MS16-072 :)

Wie wärs mit "file://..." ? :)

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

Genau. Blöder Implementierungsfehler bei Shortcuts, URL geht.

Kauf Dir doch mal ein gutes Buch dazu :-)) Das mit dem Löschen/Hinzufügen ist suboptimal, weil es ewig dauern kann (dabei werden auch die Treiber neu installiert). Und wenn Du MIchaels Gruppen änderst, sollte der sich neu anmelden, damit das auch in seinem Kerberos-TGT steht. Sonst ist er da nämlich immer noch drin/draußen. Edit: Im GPResult siehst Du auch, welche Druckerelemente angewendet wurden. Und im GPP Debug Log siehst Du sogar, welche nicht und warum nicht. https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Fehlermeldungen im Wortlaut sind immer hilfreich :)

Im nächsten W10 Update sind die meisten Funktionen von EMET enthalten. Und Support haben wir in jetzt 4 Jahren dafür auch nie gebraucht - man kann das auch einfach bewerten, dokumentieren und weiter nutzen :)

Sehr wirr.... Hast Du einfach mal die effektiven Rechte des Webtitan-Users auf die verschiedenen Benutzer und OUs geprüft? In ADUC (dsa.msc, ADBuC oder wie auch immer Du es nennen willst) Menü Annsicht - Erweiterte Features anhaken, dann haben alle Objekte den Reiter "Sicherheit".

Du hast ne Domäne und DHCP macht die Fritzbox? Stell das um - DHCP/DNS sollte der DC mit erledigen, dann klappts auch mit den SRV-Records...

"Erfahrung" - und dreimal gemacht, bis ich wußte was alles "Rauschen" ist.

Bei XP hat das - leider - so funktioniert :) Aber man kann das auch ganz offiziell mit Bordmitteln lösen - wenn man servergespeicherte Profile hat: http://gpsearch.azurewebsites.net/#2570 http://gpsearch.azurewebsites.net/#2580 Benutzer fix und fertig einrichten, dann die beiden Einstellungen aktivieren. Fertig ist das mandatory Profile.

Das dürfte mit dsquery/dsget einfacher zu lösen sein :-) dsquery group -samid xyz | dsget group -members -expand | dsget user -samid -full Wo die Gruppe sich befindet, ist relativ egal - der SamAccountName ist eindeutig. Und in der Tat - Gruppenmitgliedschaften sucht man nicht "vom Benutzer aus", sondern direkt in der Gruppe :)

Wie viele Domain Controller gibt es? Und ist die Datei auf _allen_ vorhanden? Ich vermute nein - Sysvol-Replikation kaputt wegen NTFS Journal Wrap :-) Prüfe das FRS-- bzw. DFSR-Eventlog auf allen DCs. Und gibt es evtl. Anmeldeskripts, die in einen Timeout laufen könnten? Das wären dann per Default 20 Minuten.

Prima! Und Teilen magst Du Deine Lösung nicht? Es gäbe hier auch ein Skripting-Forum :thumb1:

Aus allem, was ich dazu in Technet bisher gelesen habe: Scheint ein Fehler im aktuellen .NET 4.7 zu sein... Runter damit auf 4.6 oder 4.5, dann sollte es wieder gehen.

Ich merke mal an: Wenn man ein Profilverzeichnis einfach löscht, ohne ProfileList in der Registry zu bereinigen, wird sich der User nicht mehr anmelden können. Und ab Win8 muß man noch ein paar weitere Reg-Werte in HKLM bereinigen (wegen dem App-Gedönse...). Also eher kein guter Weg...

Ja, die gibt es noch. Für weitere Recherche empfehle ich https://lmgtfy.com/?q=Windows+10+Kiosk+Mode

Mein Process Monitor behauptet, das steht hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Sensor\Overrides\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}

Das Drama haben wir auch. VGA geht immer, haben die neueren Geräte aber oft nicht mehr. DVI würde wohl auch immer gehen. HDMI und DP ist ein Glücksspiel, vor allem wenn am Beameranschluß dann noch ein Adapter dran ist. Beim einen Laptop geht's mit Adapter, beim anderen nur ohne, beim dritten dann gar nicht :cry:

Powershell wäre wohl die Lösung - es gibt einfach Dinge, die per Batch nur "saublöd" zu realisieren sind. Und %%a ist eine Schleifenvariable, die steht außerhalb NICHT zur Verfügung. Du hast 2 Schleifen, die die gleiche Variable verwenden, das hat aber NICHTS miteinander zu tun. Deine 2. Schleife befüllt die Variable neu.

...und ansonsten hilft auch immer ein kurzer Test mit ldp.exe, das sagt Dir dann schon ein wenig über Verbindungsprobleme. Notfalls parallel dazu per netsh trace mitschauen, was im Handshake schiefgeht - viel Spaß, wenn Du jetzt nicht mehr mitkommst :) Notfalls noch mal fragen, dann erzähl ich gern mehr dazu.

Spricht doch nix gegen eine Pfadregel, wenn der User da keine Schreibrechte hat ;)

Da braucht man kein AutoIt.... -Verb RunAs geht auch bei PowerShell Start-Process ganz gut :)