daabm

Soweit ich mich erinnere war das im Zuge der NSA-Diskussionen... Aber müßig darüber zu disktuieren, eine AD-Integration ist der einzige zielführende Weg :)

Weingeist: Genau das meinte ich.... Eventlog halt :) Meine Antwort war wohl etwas zu schnell dahingetippt...

Eventlog Microsoft-Windows-Windows Firewall With Advanced Security/Firewall - da sollte das auftauchen.

Leite um nach %homeshare%%homepath%Documents (ja, ohne \...)

Dein "würde das so funktionieren": Sezte ein "md \\....\...." davor, dann auf jeden Fall. Weiß net, ob wbadmin das Zielverzeichnis automatisch anlegt - wenn ja, gehts auch so. Wegen der IP: Quick and dirty - "ipconfig | find "192.168" && Goto :EOF" - alternativ "ipconfig | find "10.100" || Goto :EOF" && heißt "bei Erfolg", || heißt "bei Fehler"

Alternativ SARDU. Aber selber machen ist die bessere Lösung, da hat Esta recht

Nils hats schon gesagt - wenn eine Einstellung mal "konfiguriert" ist, kriegt man sie weiter unten nicht mehr "nicht konfiguriert", bestenfalls noch "anders". Es sei denn, man löscht den zugehörigen Reg-Wert über GPP Registry

Die Anzeige im Explorer macht nicht shell32.dll, sondern die desktop.ini darin. Das klappt aber nur, wenn der Ordner selbst das Attribut "Readonly" hat - geht nicht per Explorer, sondern nur per GPP oder attrib.exe. Und die bewährteste Form der Umleitung: %homeshare%%homepath%Documents

Auditing aktivieren - dann landet das im Security Eventlog der DCs. Und das kannst Du dann einsammeln Die Last ist vernachlässigbar, das Security Log solltest auf 100 MB oder so vergrößern. Einsammeln mußt aber trotzdem, das läuft recht schnell über.

Hm - wenn ich mir die Grafik im ersten Post anschaue: Willst Du ein Multi-Mandanten-AD bauen? Dafür würden Dir noch sehr viele Grundlagen fehlen. Zum Thema "Erzwingen": http://evilgpo.blogspot.de/2012/02/loopback-demystified.html - erklärt ein wenig dazu.

Was steht denn da noch hinter dem LDAP://CN=... so an Namen? Verwaister DC?

Jepp - ist das ein USB3-Stick? Dann nimm nen USB2-Stick. Steckt er in einem USB3-Port? Dann steck ihn in einen USB2-Port.

Hm - hab ich so noch nie gesehen/gehört... Kann am SBS liegen, aber mit diesen Wollmilchsau-Servern kenn ich mich gar nicht aus.

"Ich passe das Problem der Lösung an?" :) :)

Du hast die reg-Datei wo genau hinterlegt? Und was passiert auf Euren Clients beim Doppelklick auf eine reg-Datei? Ansonsten sind die Vorredner auf dem richtigen Weg - das macht man nicht per reg-Datei, sondern per GPP Registrierung. Oder - soweit es die vertrauenswürdigen Speicherorte betrifft - richtigerweise mit den ADMX-Vorlagen für Office und da direkt per "Administrative Vorlagen".

Naja, "nur sichere" heißt "nur authentifizierte Clients" :)

Eventlogs prüfen - File Replication Service und DFSR. Deine Tests oben gehen fast alle nur gegen die AD-Replikation... Du hast ziemlich sicher nen Journal Wrap Error auf dem PDC-Emulator :)

Das funktioniert noch genauso... AD-Gruppe "Service-Accounts", die kriegt "Anmelden als Dienst" und "lokal anmelden verweigern". Oder noch besser: Per GPP eine lokale Gruppe "seDenyInteractiveLogonRight" und eine Gruppe "seServiceLogonRight" erstellen. Die beiden Gruppen per GPO in die Benutzerrechte eintragen. Und dann den Account in diese lokalen Gruppen schieben. Klingt kompliziert? Ist es aber nicht: http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html :)

magheinz, der Sunny gehört nicht mehr zu den Jüngsten, da muß man manchmal "gaaaanz einfach erklären" und auch langsam schreiben :) :) :)

Noooorbeeert.... :)

Sunny.... "mv" = "move" - wir würden "ren" dazu sagen :D

Profile sind unwichtig - wichtig sind "Eigene Dokumente" und Videos/Musik :) Also immer schön die Ordnerumleitung konfigurieren, dann hat der User nach dem Löschen des Profils alles das wieder im Zugriff, das ihm wirklich am Herzen liegt :)

Doktor Melzer sagt immer, Hinweise auf Google seien unfein... :) "Desktop Experience" dürfte wohl das Stichwort sein.

Win7 war super :) :) :) Win10 wird noch... :)

Das mit dem Kopieren ist so ne Sache - wenn Standalone-Rechner, steht in der ntuser.dat hinterher die falsche SID drin. Kriegt man zwar hin, ist aber unschön :)