daabm

AFAIK nein - es gibt nur "einen" primären Computer. Aber vermutlich kann man mit GPP was tricksen - lies Dir mal diese 10 Posts durch: http://evilgpo.blogspot.de/2014/10/implementieren-von-ordner-nur-auf.html

Vorgängerversion weg -> VSS deaktivieren (im Dateisystem des Servers). Kontextmenü -> http://gpsearch.azurewebsites.net

Mit dem Befehl schaltest Du das UPNP-Forwarding der Windows-Firewall ab - nicht, dass der Rechner UPNP-Anfragen verschickt... Das geht nur im Router. Und wenn der das nur "global" kann, dann war's das möglicherweise. Was Du versuchen kannst: Blockiere in der Firewall inbound und outbound (!) UDP Port 1900 - https://de.wikipedia.org/wiki/Universal_Plug_and_Play

Ich glaub ich poste jetzt auch nur noch Lösungsansätze in PoSh... :) :) :) VBS kann ich zwar fließend, aber das will wohl keiner mehr.

Da wäre der "nicht andere" Norbert in der Nähe :) Aber auch ich würde sagen, daß 5k weit zu niedrig ist.

GPP geht net - da kannst kein Kennwort eintragen, und ohne Kennwort wird das i.d.R. nicht funktionieren... Computerstartskript, "net user" und "net localgroup" wäre der pragmatische Workaround.

Entweder deaktivierst Du die Vorgängerversionen global, oder Du nimmst den Usern das Kontextmenü weg. Was anderes wüßte ich nicht, aber vielleicht kommt noch jemand vorbei, der mehr dazu sagen kann :)

Hm - was hat jetzt aktivierte/deaktivierte UAC mit der MSI-Installation per GPO zu tun? Die läuft im Systemkontext... Oder verwendest Du Benutzer-Zuweisungn? Absolutes No-Go :-))

Man "könnte" das Manifest ändern lassen - durch den Hersteller. (Ich weiß nicht, ob ein application.exe.manifest das integrierte Manifest überschreibt - wenn ich raten soll: Nein) Man "könnte" dem User, der das machen muß, einen zweiten Account mit lokalen Admin-Rechten geben. Man könnte aber auch mal schauen, was im Manifest wirklich steht - ist das "requireAdministrator" oder "highestAvailable"? Im zweiten Fall kommt nämlich ebenfalls ein Anmeldedialog der UAC, nur könnte der User da dann seine eigenen Credentials eintippen. So macht das z.B. auch die Ereignisanzeige. Wie man schaut? Exe mit Notepad öffnen - das Manifest kommt im Klartext relativ weit hinten. Oder mt.exe aus dem SDK.

Das hier If objfolder.name = strSCANNINGFOLDER Then gehört nach oben als äußere Bedingung... Mit VBS hat das aber wenig zu tun, eher mit Programmierlogik :) Und die For Each Schleife für die Unterordner könntest auch nach oben setzen.

Heut irgendwo gelesen (weiß leider nimmer wo): Google Chrome deinstallieren. Ja ich weiß wie unwahrscheinlich das klingt und ich kanns auch nicht nachprüfen - ich hatte diesen Fehler noch nie... :)

Verschiebst Du auf dem gleichen Laufwerk? Dann bleiben die Berechtigungen erhalten.. Workaround 1: Verschiebe auf ein anderes Laufwerk, dann werden die Berechtigungen geerbt vom Zielverzeichnis. Workaround 2: Kopiere erst und lösche dann die Quelle Workaround 3: Vergib die Berechtigungen neu :)

Hmmmm.... Stimmen auf C:\Users die Rechte noch? c:\users NT-AUTORITÄT\SYSTEM:(OI)(CI)(F) VORDEFINIERT\Administratoren:(OI)(CI)(F) VORDEFINIERT\Benutzer:(RX) VORDEFINIERT\Benutzer:(OI)(CI)(IO)(GR,GE) Jeder:(RX) Jeder:(OI)(CI)(IO)(GR,GE) Und ist das Default-Profil noch vorhanden?

...stimmt - hab ich net ganz realisiert

Falsche Rechte auf dem neu erstellten serverseitigen Profilordner?

Ja, vollständiges Event wäre schon hilfreich...

Schritt 2 braucht man in diesem Szenario nicht Der ist nur erforderlich, wenn der fehlerhafte DC sein Computerkennwort in der Zwischenzeit geändert hätte.

...oder lokal umbenennen und auch ProfileList in der Registrierung korrigieren. Das lokale Profil wird anhand der SID des Users (die ändert sich nicht) als "bereits vorhanden" erkannt und weiterverwendet.

...zum Thema Softwareverteilung steht's oben schon: WSUS Package Publisher, wenns kostenlos sein soll. NICHT per GPO (MSI)! ...zum Thema Bandbreite: Schon mal über Terminal Server nachgedacht? Klingt nach einem idealen Szenario dafür, und die Bandbreite ist nur ein Bruchteil.

Niemand braucht Zertifikate, wenn er nicht weiß, wofür

...dann bin ich "per Forum" am Ende - ich würde jetzt die "suspekte" GPO genauer inspizieren, vor allem deren Sysvol-Inhalt (fdeploy.ini bzw. fdeploy2.ini).

DocData: "Weil ich es kann"... SCNR Leider kann man oft Dinge "rein technisch" tun, die logisch eher sinnfrei sind.

Hm - wenn Ihr keine Zertifikate verwendet, warum habt Ihr dann eine CA? Eine CA auf dem PDC/DC? Ja, geht - ist aber Mist. Was Du oben schreibst - "früher Haupt-CA, jetzt Unter-CA" - ist technisch nicht möglich. Und auf Crosspostings im Technet darfst Du gerne hinweisen - sind die gleichen Leute hier, so viele gibt es nicht

Fällt mir spontan ein: "Auch auf 2003 anwenden" ist hoffentlich nicht aktiviert? Und den spaßigen Mechanismus mit der Desktop.ini und der daraus resultierenden Anzeige im Explorer kennst Du? (Die Wahrheit siehst Du nur auf der Kommandozeile )

Das geht mit Bordmitteln nicht - DFS kennt kein Locking. Oben stand es schon - alles in eine Domäne und Terminal Server. Alles andere ist mehr oder weniger Murks - und Dateien in der Architektur sind auch nicht gerade klein, da kommst mit dem DSL-Anschluß net weit, auch wenn Du für DFS-Locking Zusatzsoftware kaufen würdest (die es tatsächlich gibt).