daabm

Geb auch noch Senf dazu... Der Begriff "vererben" ist ansich schon falsch - eine ACL hängt immer direkt am Objekt, niemals wird die ACL eines übergeordneten Objekts beim Zugrif geprüft. Da gibt's lediglich ein Bitflag, ob das beim Erstellen/Durchvererben von oben kam oder ob es direkt gesetzt wurde. Streng genommen wird beim Erstellen von Objekten nicht "vererbt", sondern "geerbt". Nur beim nachträglichen Durchvererben nach unten stimmt der Begriff :) Aber das passiert ja auch nicht automatisch, sondern nur interaktiv/programmatisch.

Du suchst quasi das Gegenteil von Eyefinity? Also eine Möglichkeit, einen einzelnen Bildschirm "virtuell" in mehrere Bildschirme zu unterteilen? Oder tut's evtl auch was einfaches wie GridView oder DisplayFusion?

Nein, tut er nicht. Der DCLocator arbeitet anders, hast Du meinen Link gelesen? (Edit: Er findet natürlich den "lokal verfügbaren", wenn der in der aktuellen Site der einzige ist...) Hm - Powershell Remoting direkt auf den PDC-Emulator?

Indem man die registry.pol bearbeitet (z.B. mit http://www.torchsoft.com/en/rw_information.html ) und alle Vorkommen von \14.0\ durch \16.0\ ersetzt.

Nein, macht es nicht. Wenn kein DC angegeben wurde, verwendet ADSI (und das steckt hinter den AD-Cmdlets) immer den DCLocator... Das Cmdlet weiß nix davon, daß es auf einem DC läuft, und ADSI weiß auch nichts davon. https://social.technet.microsoft.com/wiki/contents/articles/24457.how-domain-controllers-are-located-in-windows.aspx

Erinnert mich an WMI-Filter auf "ist nicht vorhanden", geht ja auch nicht :-) Anders formuliert: Einen User, der anders heißt, gibt es immer. Deshalb landet Deine Abfrage immer im ersten Teil. Du mußt die Logk umbauen.

"URL rufen und fertig" ist zu unspezifisch, da wird Dir hier keiner helfen können. Etwas mehr Input über Dein Vorhaben musst wohl schon liefern...

...und manchmal erst dann, wenn man tatsächlich einen DC "vor Ort" hat :) Ja, da hilft nur "explizit mit dem PDC reden", dafür ist der dann immer noch gut.

Und dann wäre da noch die kaputte Sysvol-Replikation... gpupdate auf der Commandline - Output?

Du hast Deine Frage ja schon fast selbst beantwortet... Du hast ein Problem mit Kerberos. Welches? Lässt sich per Forum kaum beantworten...

Wie wärs mit ganz trivial einer Herausgeber-Rebel? Die Exe von GtM sind signiert...

Doch, Ihr habt "irgendwelche Skripte" laufen. Aktiviere das Auditing auf den entsprechenden Ordnern, dann weißt Du, wann und wer es war.

Ein "saublöder" Trick wäre, das Zielverzeichnis auch noch unter einem anderen Laufwerk bereitzustellen - dann rafft der Explorer das IMHO nicht mehr und macht Copy/Delete. Aber auch das kannst Du den Usern schwerlich erklären... :)

Jupp stimmt :-) Ich glaub das war der hier: https://support.microsoft.com/en-us/help/2530309/internet-explorer-group-policy-preferences-do-not-apply-to-internet-explorer-9-in-a-windows-server-2008-r2-domain-environment

Ach stimmt, das war ja das Elend - ich vergaß :)

Shortcuts auf UNC-Pfade funktionieren nicht als Filesystem-Objekt. Mach ne URL-Verknüpfung daraus, das geht. Oder erstelle eine LNK-Datei und kopiere die einfach.

Wenn Du "IE10" auswählst, wird maxversion automatisch auf 99 gesetzt - MSFT hat das selber auch schon gemerkt, daß das Verfahren etwas grottig ist :)

...wenn das als CSV ankommt, könnte man es auch direkt an csvde verfüttern :)

Auf deinem DC laufen die ADWS nicht... Oder die Firewall blockt den Port (9xxx war das glaub.)

Du sollst auch nicht GPO (Administrative Vorlagen) verwenden, sondern Group Policy Preferences - Pfad im Editor: Benutzerkonfig - Einstellungen - Systemsteuerung - Interneteinstellungen. Und auf den Trick mit F5/F6/F7/F8 achten :-)

Das wird nicht gehen - nur der Besitzer und Administratoren haben das Recht, Berechtigungen zu ändern. Und wenn beim Verschieben immer geerbt werden soll, müßte das auch beim "gewöhnlichen Benutzer" passieren. Du verstehst? Das ist ja auch der technisch große Unterschied zwischen Verschieben auf dem gleichen Laufwerk und auf verschiedenen Laufwerken. Beim gleichen Laufwerk ist es hinterher die gleiche Datei wie vorher, sie hängt jetzt nur wo anders rum. Bei verschiedenen Laufwerken ist es eine neue Datei.

Hast Du auch die Rechte auf System/WMIPolicy verglichen? Und ggf. sogar System selbst.

RoyalTS kann das z.B. - aber "richtig machen" ist die bessere Alternative.

...der zweite Client kann ja auch eine VM sein, die die 2. NW-Karte exklusiv nutzt :) Und warum das nicht geht - Du hast einen DNS, der muß beide Zielumgebungen auflösen können. Kann er wahrscheinlich nicht.

Tip aus der Praxis: WMI Filter sind zuverlässiger, die laufen nämlich immer und sind nicht abhängig von AD-seitigen Skripts. Außerdem muß der Rechner danach nicht neu booten, wie das beim Verschieben der Fall ist. Aber jeder ist seines Glückes Schmied :)