daabm

Ich korrigiere mal ein paar Aussagen hier... (Auch wenn der Fred schon beantwortet ist)

1. Client sended "give me GPOs" an den Server

2. Server liefert eine Liste aller verknüpften GPOs im Scope of Management an den Client zurück (alle!)

3. Client versucht von jedem GPO den GPC zu lesen (also den AD-Teil)

4. Client kriegt für alle GPCs ohne LEserechte gleich eins auf die Finger

5. Client wertet "Flags" des GPC aus - User/COmputer aktiviert?

6. Client wertet gPCUserExtensionNames oder gPCMachineExtensionNames aus - sind Settings vorhanden?

Und den Computerteil zu deaktivieren, erspart einem exakt diesen Schritt. Da der GPC aber ein AD-Objekt mit Attributen ist, das "im Ganzen" gelesen wird, ist der Performance-Unterschied definitiv "Null".

7. DACL auswerten - ist "Apply" dabei?

8. WMI-Filter - wenn vorhanden - wahr?

9. Inhalte lesen - jetzt kommt der erste Sysvol-Zugriff...

Einziger Vorteil: Wenn ich den ungenutzten Teil deaktiviere, passiert nicht so viel, falls meine GPO mal wo wirkt, wo sie nicht sollte (Stichwort "Computer-GPOs mit vergessenen User-Settings, und jetzt aktiviere ich Loopback"...)

Das CSE-Processing zu optimieren bringt in der Tat sehr viel mehr - es ist kontraproduktiv, z.B. GPP Registry über 100 GPOs zu verteilen, weil dann 100 registry.xml gelesen werden müssen. Besser alles in eine einzige GPO (= 1 registry.xml) packen und den Rest über ILT erledigen.

Und die meisten Performance-Verbesserungen findet man i.d.R. ohnehin bei WMI-Filtern und synchronen Skripts.

http://evilgpo.blogspot.de/2014/11/wmi-filter-queries-and-thoughts-on.html

Noch Fragen? Dann fragen! :-)

Edit: Bei der genauen Reihenfolge von 5/6/7 bin ich mir nicht sicher - kann auch sein, daß 7 vor 5/6 kommt. Aber 5/6 stimmt auf jeden Fall.

tapinego ist jetzt kein sooo geläufiges Protokoll - wirf raus den Eintrag :)

Je nach dem, was Du da auswerten willst, wäre Powershell sicher ganz gut geeignet :)

Surface 3 - geh mal bei surfaceinside.de vorbei, Ralf könnte da nen Tip haben. Und wenn nicht, meldet er das sicher gerne der PG weiter :)

Jungs Ihr stochert grad alle im Nebel - die Problembeschreibung ist eindeutig, und möglicherweise hat MS da mal wieder was verbaselt... Ich würde als Workaround empfehlen, das Aktualisierungsintervall auf den maximalen Wert zu setzen, dann dürfte auch Ruhe sein - ganz abschalten kannst Du es aber nicht, da Sicherheitsrichtlinien zwangsweise festcodiert nach spätestens 16 Stunden erneut angewendet werden.

Aber normalerweise macht das Hintergrundupdate keine Probleme, wenn man seine Settings entsprechend setzt (siehe Laufwerkzuordnungen :) )

O365 ist ClickToRun (so ähnlich wie App-V). O2016 ist klassisches Setup.

Passt schon. Ist leider relativ schlecht dokumentiert, welche Besonderheiten GPOs haben, die an der Domäne selbst verlinkt sind :)

Bin kein Fileserver-Profi, aber FSRM kann relativ viel...

paxi, mit nem WDS und etwas Unattended (wie hieß das noch mal? MDT? :-) ) isses auch net wirklich schwer... War schon immer "generell" einfacher, ein Master-Image nur mit Fixen zu präparieren statt Sysprep. ym2c.

Kann es sein, daß Du die Large Integers erst konvertieren mußt? (Schon lang nimmer gemacht...)

Kennwort- und Kerberos-Policies, die mit der DOmäne verknüpft sind, werden nicht (und wurden noch nie) von Domain Membern verarbeitet - ausschließlich DCs machen das. Du willst ja auch nicht den Client konfigurieren, sondern die Domäne :-)

Ich werfe dann mal noch MS16-087 in den Ring, wenn die Treiber keine "Package Driver" sind :)

Die Forenregeln sind für die Katz... Das mit den Crossposts und "darauf hinweisen" liest keiner, und wer es liest, der beachtet es nicht :)

Dunkelbier bevorzugt :)

Naja, adminDescription und adminDisplayname kann man für sowas schon missbrauchen :-)

csvde und dann "Excel ist Admins Liebling"... Alles zu finden bei Nils - http://www.faq-o-matic.de

Aber grundsätzlich hat er natürlich recht - das ist überdenkenswert.

Ja, kann sie - aber keine Options, und sie kann auch nur einen verteilen, keine 2 (ist z.B. mein Privatproblem - wenn der Server nicht läuft, ist alles schwierig :) )

Ist auch nicht so - "Gefühle" sind in der EDV meist trügerisch :) :) :)

Ich kenn zwar eigentlich ALLE Fehler und Lösungen rund um GPOs, aber die Event-IDs kann ich mir nicht merken :)

Was ist 1096? Und in welchem Eventlog? Was steht im GroupPolicy-Eventlog? Ist möglicherweise die Sysvol-Replikation kaputt? (Prüfe NTFRS bzw. DFSR Eventlogs dafür)

So isses - "kann man machen, muß man aber nicht" - dachte, da sieht man die Ironie schon direkt :) :) :)

Google hilft: "Shadow groups"...

/Li "%Temp%\AgentMsi.Log"

Änder das mal auf

/L*v  "%Temp%\AgentMsi.Log"

Und dann schau noch mal rein - oder poste es hier. Es kann lang werden, der Fehler ist "ungefähr" in der Mitte zu finden.

"Es gibt für eine bestimmte Abteilung eine GPO welche eine Software installiert wenn sich ein Mitarbeiter das erste Mal an einem neuen Client anmeldet auf dem betreffende Software noch nicht installiert ist."

Im RSoP steht alles, was per GPO kommt. Entweder findest Du da die Softwareinstallation oder ein Start-/Anmelde-/Abmelde-/Shutdownskript. Oder es kommt nicht per GPO...

Secure Channel Encryption abschalten - jaja, kann man machen, muss man aber nicht. Und anonyme Zugriffe - egal auf was - geht auch nicht. Jupp...

Krankheiten in Kalender eintragen verstößt bei uns gegen den Datenschutz - geht gar nicht. Das hat die personalführende Stelle zu führen, sonst niemand.

Nicht nur bei Euch - überall...

WMI filter klappt net - der kennt keine Standorte :-) Prinzipiell macht's der TO schon richtig, der Fehler wird irgendwo im Detail stecken. RSoP nach einem gpupdate (ohne /force) könnte schon helfen. Und wenn nicht: Debug Logging der GPP Printers aktivieren...