daabm

Die Frage wirst hier vmtl. nicht beantwortet bekommen - MS-Lizenzierung ist ein komplexes Thema. So komplex, dass es sogar mehrtägige Schulungen dazu gibt... Mein Tip: Wende Dich an Euren MS-Partner. Und lass Dir alles schriftlich (wenn möglich rechtssicher) bestätigen, was der sagt.

Kennst Du UAC und das "restricted Token"? :-)

"Unterdrücken" geht nicht wirklich, wenn das aus der Anwendung heraus mit "Fenster im Fokus" gestartet wird... Man "könnte" nen Schmutztrick machen - für Kodi gibt's ein Tool, das den Fokus permanent auf Kodi setzt, könnte man missbrauchen :)

ym2c: 1. Wir haben für unsere Kunden auch sowas gebaut - startet elevated mit anderen Credentials und (!) ist signiert. Und ja, es ist nützlich :) 2. UAC ist kein Sicherheitsfeature - es ist ein Convenience-Feature. Wird oft verwechselt...

Man versuche sich "mats printing" als Suchbegriff zu merken - oder setze ein Lesezeichen auf https://support.microsoft.com/en-us/mats/printing_problems :)

Der TO sollte sich mal http://gpsearch.azurewebsites.net/#2093 genauer anschauen - damit kriegt man das "eigenartige Verhalten" bei langsamen Leitungen mit hoher Latenz in den Griff... :D

...nennt sich Redirect :-) (Moved permanently könnte auch gehen...)

Und wenn man keine WIMs bauen will, würde sich WDS/AIK anbieten - ist schnell aufgesetzt :)

Wie Norbert schrub - wenn nix repliziert wird, sind Snapshots eine prima Sache :-)

War net bös gemeint - Norbert und ich sind MVP für Gruppenrichtlinien und beackern "nebenher" auch die entsprechenden Technet-Foren. Seit der MS16-072 raus kam, kommen fast keine anderen Fragen mehr, da neigt man irgendwann schon zu solchen Antworten :)

...und dabei existiert das Problem schon seit über 15 Jahren... Und hat sich durch zunehmenden Einsatz von SSDs noch verschärft (Clients/User wenden keine GPOs an, weil die Spanning Tree Detection noch nicht fertig ist - der Link aber schon up...)

Steht doch eigentlich alles in der Online-Hilfe... Zu 1: /E heißt, daß die bestehende ACL beibehalten wird - ohne wird sie ersetzt durch die von Dir neu angegebenen Berechtigungen. Kein /E bei cacls entspricht /grant:r bei icacls. Zu 2: Mach vorher einfach ein /remove:d... Oder deaktivier die Vererbung mit /inheritance:r

Google kennst Du? Der entsprechende Thread im Technet-Forum hat über 70.000 Views :-) (Pssst: MS16-072...)

Es hat sich durchaus bewährt, als Username (=samAccountName) eindeutige Merkmale wie z.B. Personalnummern zu verwenden :)

Nein. Wenn Du von einem Nicht-Domänencomputer zugreifst wird automatisch NTLM verwendet. Und wenn das Kennwort identisch ist, ist auch der NTLM-Hash identisch und der Zugriff funktionert. Wenn nicht, dann nicht :)

Kopier die lokal zugreifbaren Dateien woanders hin und setze den Offline-Cache zurück - "FormatDatabase". Ausgegraut heißt "offline, aber nicht offline verfügbar".

Hm - warum markierst Du jetzt Deinen eigenen Beitrag als Antwort, wenn doch die eigentliche Antwort zwei Beiträge weiter oben steht? Nicht dass das was ändern würde :) :)

Clown gefrühstückt, Norbert? SCNR :) :) :)

Dann registriere für den CName einen SPN beim Computeraccount des echten Servers... Dann geht das :) Doch geht - SAN sei Dein Stichwort. Oder WIldcard-Zertifikat. Und bei Kerberos eben SPNs :)

Lass einfach mal Process Monitor mitlaufen mit nem Filter auf den Pfad einer Datei Deiner Wahl - und wundere Dich dann, was da alles an Operationen passiert, bis die Datei in Notepad offen ist :)

Lisa und Lena find ich gut :) Ansonsten gibt es zum Thema AD User abfragen oder auch Stringmanipulationen Tausende von Samples - da bin ich bei Nils: Hier bekommst Du Hilfe zur Selbsthilfe, keine fertigen Rezepte.

Genau so ist es - nicht "übernehmen", sonst übernimmt ja plötzlich alles und jeder alle möglichen GPOs

3,5" - eigene Stromversorgung hoffentlich?

Du solltest mal in den weißen Bereich klicken :)

Na dann - dreh die Welt zurück Für die Heizer in den Dampflokomotiven war der Tender auch äußerst notwendig