daabm

Kauf Dir doch mal ein gutes Buch dazu :-)) Das mit dem Löschen/Hinzufügen ist suboptimal, weil es ewig dauern kann (dabei werden auch die Treiber neu installiert). Und wenn Du MIchaels Gruppen änderst, sollte der sich neu anmelden, damit das auch in seinem Kerberos-TGT steht. Sonst ist er da nämlich immer noch drin/draußen. Edit: Im GPResult siehst Du auch, welche Druckerelemente angewendet wurden. Und im GPP Debug Log siehst Du sogar, welche nicht und warum nicht. https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

Fehlermeldungen im Wortlaut sind immer hilfreich :)

Im nächsten W10 Update sind die meisten Funktionen von EMET enthalten. Und Support haben wir in jetzt 4 Jahren dafür auch nie gebraucht - man kann das auch einfach bewerten, dokumentieren und weiter nutzen :)

Sehr wirr.... Hast Du einfach mal die effektiven Rechte des Webtitan-Users auf die verschiedenen Benutzer und OUs geprüft? In ADUC (dsa.msc, ADBuC oder wie auch immer Du es nennen willst) Menü Annsicht - Erweiterte Features anhaken, dann haben alle Objekte den Reiter "Sicherheit".

Du hast ne Domäne und DHCP macht die Fritzbox? Stell das um - DHCP/DNS sollte der DC mit erledigen, dann klappts auch mit den SRV-Records...

"Erfahrung" - und dreimal gemacht, bis ich wußte was alles "Rauschen" ist.

Bei XP hat das - leider - so funktioniert :) Aber man kann das auch ganz offiziell mit Bordmitteln lösen - wenn man servergespeicherte Profile hat: http://gpsearch.azurewebsites.net/#2570 http://gpsearch.azurewebsites.net/#2580 Benutzer fix und fertig einrichten, dann die beiden Einstellungen aktivieren. Fertig ist das mandatory Profile.

Das dürfte mit dsquery/dsget einfacher zu lösen sein :-) dsquery group -samid xyz | dsget group -members -expand | dsget user -samid -full Wo die Gruppe sich befindet, ist relativ egal - der SamAccountName ist eindeutig. Und in der Tat - Gruppenmitgliedschaften sucht man nicht "vom Benutzer aus", sondern direkt in der Gruppe :)

Wie viele Domain Controller gibt es? Und ist die Datei auf _allen_ vorhanden? Ich vermute nein - Sysvol-Replikation kaputt wegen NTFS Journal Wrap :-) Prüfe das FRS-- bzw. DFSR-Eventlog auf allen DCs. Und gibt es evtl. Anmeldeskripts, die in einen Timeout laufen könnten? Das wären dann per Default 20 Minuten.

Prima! Und Teilen magst Du Deine Lösung nicht? Es gäbe hier auch ein Skripting-Forum :thumb1:

Aus allem, was ich dazu in Technet bisher gelesen habe: Scheint ein Fehler im aktuellen .NET 4.7 zu sein... Runter damit auf 4.6 oder 4.5, dann sollte es wieder gehen.

Ich merke mal an: Wenn man ein Profilverzeichnis einfach löscht, ohne ProfileList in der Registry zu bereinigen, wird sich der User nicht mehr anmelden können. Und ab Win8 muß man noch ein paar weitere Reg-Werte in HKLM bereinigen (wegen dem App-Gedönse...). Also eher kein guter Weg...

Ja, die gibt es noch. Für weitere Recherche empfehle ich https://lmgtfy.com/?q=Windows+10+Kiosk+Mode

Mein Process Monitor behauptet, das steht hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Sensor\Overrides\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}

Das Drama haben wir auch. VGA geht immer, haben die neueren Geräte aber oft nicht mehr. DVI würde wohl auch immer gehen. HDMI und DP ist ein Glücksspiel, vor allem wenn am Beameranschluß dann noch ein Adapter dran ist. Beim einen Laptop geht's mit Adapter, beim anderen nur ohne, beim dritten dann gar nicht :cry:

Powershell wäre wohl die Lösung - es gibt einfach Dinge, die per Batch nur "saublöd" zu realisieren sind. Und %%a ist eine Schleifenvariable, die steht außerhalb NICHT zur Verfügung. Du hast 2 Schleifen, die die gleiche Variable verwenden, das hat aber NICHTS miteinander zu tun. Deine 2. Schleife befüllt die Variable neu.

...und ansonsten hilft auch immer ein kurzer Test mit ldp.exe, das sagt Dir dann schon ein wenig über Verbindungsprobleme. Notfalls parallel dazu per netsh trace mitschauen, was im Handshake schiefgeht - viel Spaß, wenn Du jetzt nicht mehr mitkommst :) Notfalls noch mal fragen, dann erzähl ich gern mehr dazu.

Spricht doch nix gegen eine Pfadregel, wenn der User da keine Schreibrechte hat ;)

Da braucht man kein AutoIt.... -Verb RunAs geht auch bei PowerShell Start-Process ganz gut :)

Die Frage von Jan hätte ich jetzt auch gestellt - abgesehen davon, daß es mit supporteten Bordmitteln schlicht nicht geht... Einziger Schmutztrick: Mach Dir per srvany einen eigenen Dienst, der Dein Skript ausführt. Definiere den GPSVC als DependendOn diesen Dienst. Ohne Gewähr, daß die User sich dann noch anmelden können, wenn Dein Skript mal Schluckauf hat :)

Du hast glaub zu viel gelesen - was ist das Problem daran, eine VM neu zu erstellen und ein heruntergefahrenes bestehendes DC-VHDX dort als Datenträger anzubinden? Edit: DC ist nicht sensibel - viel einfacher wäre möglicherweise aus Deiner Sicht, einfach einen neuen zu erstellen und zu promoten und dann den anderen zu depromoten.

Heise (c't) hat doch ne schöne Lösung dafür parat... Standalone-SRP-Konfigurator :)

Du bist ein Opfer des Explorer, der nicht mit UAC umgehen kann :)

Nein nicht das gleiche. Der verlinkte Thread bezieht sich auf die Versionsangaben bei den Group Policy Preferences - und dort kann nie ein neueres OS stehen als das, auf dem man grad unterwegs ist. Der TO meint "Administrative Vorlagen" - "Unterstützt auf". Und wenn ich wüßte, wo genau ich diese konkrete Einstellung finde, würde ich jetzt kurz nachschauen. I.d.R. stimmen die Angaben dort aber - das Setting ist ab Vista vmtl. einfach nicht mehr wirksam bzw. der entsprechende Dialog nicht mehr vorhanden.

Das ist Jacke wie Hose, wenn es in abc.net nicht noch Subdomains gibt, die auch ausgeschlossen werden müssen. shExpMatch ist etwas "teurer" in der Auswertung, aber das dürfte kaum spürbar sein :)