daabm

Die Aussage ist Quatsch - sorry :) War schon immer besser, eine eigene Domain Policy zu machen und die über die DDP zu schieben. Schon alleine, weil Änderungen im Domain NC in die DDP zurückfließen...

Keine wirkliche Ahnung, aber vielleicht eine Spur für Dich: # for hex 0x6ba / decimal 1722 : RPC_S_SERVER_UNAVAILABLE winerror.h # The RPC server is unavailable.

Um die ursprüngliche Frage aufzugreifen - kann jemand erklären, was es mit diesen Fehlercodes auf sich hat? Ja: # for hex 0x8e / decimal 142 : KERNEL_MODE_EXCEPTION_NOT_HANDLED bugcodes.h # for hex 0xc0000005 / decimal -1073741819 : STATUS_ACCESS_VIOLATION ntstatus.h # The instruction at "0x%08lx" referenced memory at # "0x%08lx". The memory could not be "%s". Hilft wohl nicht weiter, aber so isses :) Klingt für mich schwer nach grundlegendem Treiber-/Hardwareproblem.

Wäre glaub zielführend, wenn Du beschreibst, was Du genau erreichen willst :-) Und warum baust Du in einem Batch ein VBS zusammen, statt das ganze gleich als VBS (oder PS1?) zu machen?

WIe Norbert schrub - Dateien mit Folder Redirection. Anwendungen nicht - die mußt Du einfach überall installieren :)

DFS - ok, schon mal ungünstig. Offline-Dateien auch aktiviert? Was passiert bei "etwas warten"? Und evtl. mit http://gpsearch.azurewebsites.net/#2093 etwas spielen...

Nee "abraten" trifft es net ganz... Wir haben ca. 700 Forests, und auf den WAN-Verbindungen sitzen Steelheads. Einer zentral für alle, 700 dezentral. Der zentrale hat das Problem, dass Kerberos net funktioniert, da der 700 Delegation User bräuchte - das braucht wohl dann zu viel Memory. Und wenn Kerberos net funktioniert, ist nach dem Sysvol-Hardening kein Sysvol-Zugriff mehr möglich. Inzwischen hat Riverbed ein neues rios rausgebracht, das so ne Art "RODC" simuliert, damit geht's dann. (Soweit ich das erklären kann - bin nicht der Netzwerk-Spezi, sondern nur AD :) ) Ist also eher ein "persönliches Problem" :)

Wenn man da nur eine einzige Anwendung starten können soll -> SRP oder AppLocker. Du willst nicht "Internet schließen", Du willst "Browser starten" verhindern. Und auch Chrome oder Firefox Portable sind Browser...

Get-DfsnFolder -Path \\DFS\Pfad\$($_.Name)

blub, bei W10 1511 klappt das derzeit net - und Sysvol so abzusichern kann ein Schuß ins Knie werden :)

Ich versateh jetzt grad das Problem hier nicht mehr - oder gibt es evtl. gar keines?

Jan, 2012R2 :) Da gibt's ja kein Startmenü in dem Sinne mehr. Stephan: Du suchst vmtl. so was wie http://gpsearch.azurewebsites.net/#10695 - aber das gibt es erst mit Win10/Srv2016... Für 2012R2 ist mir spontan kein praktikabler Weg bekannt, das benutzerspezifisch zu steuern.

Ist es nur dieser User, oder ist es dieser User nur auf einem Rechner? (User schon mal an einem anderen Rechner angemeldet und ausprobiert?) Wenn "nur dieser Rechner": Offline-Cache zurücksetzen - Stichwort "FormatDatabase" :)

Hm - könnte auch mit einer Firewall-Regel outbound gehen. Alle Programme, Dienst wuauserv, und dann bei Schnittstellentypen alles markieren außer LAN und Drahtlos. Weiß aber net, wie Windows hier ein Mobilfunkmodem anzeigt :)

Nö - GPOs haben "eigentlich" Einstellungen im Fokus, die irgendwie relevant für Sicherheit sind (dazu zählt auch Betriebsssicherheit und Support :) Und so ne Seitenleiste - naja...

Adobe Reader? Der hatte schon immer Probleme mit der Ordnerumleitung - %AppData% umleiten, dann startet er erst gar nicht mehr :)

[Parameter(Mandatory=$true,Position=5)] [bool]$split=$False #oder was Du gerne als Standard hättest. $linecount = 0 #immer auf Null setzen - wir wollen ja in der oberen Schleife weiter schreiben... if($reader.EndOfStream -ne $true -and $Split ) { #Also nur wenn $Split=$True das aktuelle File schließen und ein neues aufmachen "Closing file" $writer.Dispose(); "Creating file number $filecount" $writer= [system.io.directory]::CreateDirectory("$path\$DateNow") $writer = [io.file]::CreateText("{0}{1}_{2}" -f ($rootName,$filecount.ToString("0000"),$DateNow,$ext)) $filecount++ }

ACK - filtern immer so weit am Beginn der Pipeline (also links) wie möglich

Ja da wird er wohl verschoben haben - und wenn es sich aus Sicht von Windows dann um das gleiche Laufwerk handelt, dann werden die Berechtigungen beibehalten

Aus Sicherheitsgründen - nein, das ist keine Sicherheit. Den Builtin Admin findet man leicht über seine SID, die auf -500 endet. Besser: Builtin Admin deaktivieren (der wird nämlich nicht gesperrt bei Kennwortfalscheingabe und ist damit ein ideales Ziel für Brute Force Attacken...), neuen Account anlegen und zum lokalen Admin machen. Zufälliges Kennwort über LAPS verwalten - https://technet.microsoft.com/library/3062591

Bist Du sicher, daß da kopiert wird und nicht verschoben? Beim Kopieren behalten Dateien niemals ihre ACLs, sie erhalten immer diejenigen ACLs, die eine neu erstellte Datei am Ziel bekommen würde. Und der Vollständigkeit halber: Kannst Du "icacls" von den zwei Ordnern zeigen?

Ich würd ja mal den Spooler wiederbeleben :) https://support.microsoft.com/en-us/mats/printing_problems

"Im Browser mit Adobe Reader" - meinst Du jetzt tatsächlich das Browser-Plugin oder meinst Du ein PDF, das Du anklickst und dann startet der Reader? Die Meldung im Wortlaut wäre ggf. hilfreich - und Deine SRP-Regeln im Detail ebenfalls.

https://mauriceausum.com/tag/remove-email-bar-on-right-side-of-outlook-2013/ (oder ein anderer Suchtreffer aus den 2,7 Mio Ergebnissen :) :) :) )

Doch - kenn hier ne ITIM-Instanz, die das so haben wollte... Warum auch immer :)