daabm

Kann es sein, daß da offene Handles sind? Process Monitor kann Dir das sagen, der erklärt Dir genau, welchen Zugriff Robocopy haben wollte. Und Process Explorer liefert Dir ggf. offene Handles.

Warum nimmst Du nicht die ganz normale Ordnerumleitung per GPO? Das direkte Setzen hab ich noch nie probiert, also leider k.A. was da nicht funktioniert...

seBackup ist was anderes als seAudit... Wozu brauchst Du /copyall ? Das versucht auf der Zielseite alle (!) ACL-Einträge der Quelle zu setzen inkl. Owner, und dazu braucht man Vollzugriff.

Hast Du Laufwerksmappings auf DFS-Shares?

https://blogs.technet.microsoft.com/askds/2016/01/11/does-your-logon-hang-after-a-password-change-on-win-8-1-2012-r2win10/

Herunterfahren ist ein Benutzerrecht, und Administrative Tools zu verbieten ist eigentlich nur Kosmetik - wenn die Benutzerrechte richtig konfiguriert sind, kann der User da eh nix machen

Deaktiviere mal BiDi in den Druckereinstellungen...

Da würde ich doch glatt die Cam-Daten in ein CSV schreiben und das dann im Skript importieren

Warum setzt Du den Haken nicht einfach per Regkey statt per IE-Einstellungen?

Ok, da hätte das AppMgmt Debug Logging geholfen Aber MSI per GPO kommt so selten vor, daß ich nicht mehr daran gedacht habe - und seit Win8 ist es eh kaputt...

Guck mal bei Ralf vorbei - www.surfaceinside.de vielleicht findest da was

Der Antwort von Ralli ist nichts hinzuzufügen - USBDLM ist das beste Tool für dieses ganze Wechseldatenträger-Dilemma, das ich kenne

Runas geht mit dem Explorer nicht ohne Registry-Eingriffe: Suchbegriff "Elevated Unelevated factory". Aber Achtung: Du hast dann einen Explorer im Kontext eines anderen Benutzers - und das zu erkennen, ist sehr schwer.

"Net use" mit anderen Credentials geht einfacher - aber nur, wenn Du keine andere Verbindung zum Zielcomputer hast. Naja, aber wenn das ausscheidet...

Hilft net, wenn UAC aktiviert ist. Aber warum erstellst Du eine Freigabe per Programm? Geht doch komfortabel über Group Policy Preferences... Oder halt per Computerstartskript.

...Eventlog "Application" und %windir%\temp\msi*.log sollten weiterhelfen. Ggf. das Installer-Logging hochdrehen ("voicewarmup" - http://gpsearch.azurewebsites.net/#1985)

Ich denke, dass wird jeder Fragende vorher gemacht haben

Leider nein... Viele fragen, ohne vorher zu lesen. Manche sogar, ohne vorher zu denken Nimms Norbert nicht übel, er kann ganz nett sein

Hi,

was sind den für dich "kleine Umgebungen"?

"Groß" sind 170k Benutzer in über 8.000 Lokationen

"Kleinere Umgebungen" ist für mich alles unter 4-stellig.

GPOs kannst Du ab Office 2013 nur noch für die ProPlus-Version verwenden. Siehe auch unter https://www.microsoft.com/en-us/download/details.aspx?id=49030 den Abschnitt "System Requirements".

Wie blub schon schrub - das hat MS bei der Cmdlet-Definition wohl vergessen:

Definition : Test-ADDSForestInstallation -DomainName <string> [-SafeModeAdministratorPassword <securestring>]

[-CreateDnsDelegation] [-DatabasePath <string>] [-DnsDelegationCredential <pscredential>] [-NoDnsOnNetwork]

[-DomainMode <DomainMode>] [-DomainNetbiosName <string>] [-ForestMode <ForestMode>] [-InstallDns] [-LogPath

<string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDns] [-SysvolPath <string>] [-Force] [<CommonParameters>]

Kannst -string "Hurra" auch weglassen, dann kommt ein Prompt - aber nur einer, ohne Bestätigung

Diese Update Einstellung greift auch

Wie stellst Du das fest?

Hilft auch nicht wirklich... Warum muß diese "industrielle Anwendung" (professionell eher nicht ) auf c$ und d$ zugreifen? Und in welchem Kontext läuft die - bei angemeldetem User auf dem Desktop ja hoffentlich nicht, also als Dienst? (Letzte Frage von Nils, da fehlt die Antwort.)

Da die Server beide in einer Domäne sind: Wenn die SW als Dienst unter SYSTEM läuft, kannst das mit einer eigenen Freigabe leicht erledigen, auf der die Computerkonten der Server berechtigt werden.

...dann duck ich mich jetzt weg und gestehe völlige Rat- und Ahnungslosigkeit...

Check mal http://gpsearch.azurewebsites.net/#2167 - einfach schauen, ob der Reg-Wert bei Dir evtl. gesetzt ist...

Tipp am Rande - steht oben schon: DFS-Namespace mit ABE. Dann mußt Du nie wieder was an den Zuordnungen ändern, und wenn sich Gruppenverzeichnisse aufgrund Abteilungswechsel ändern, sieht jeder automatisch immer das, was für ihn bestimmt ist. Und Du hast nur ein einziges Laufwerk, das für alle gleich ist.

Ansonsten meine 2 cent: GPP ist ok in kleinen Umgebungen - in größeren kann das ganz schnell ganz unübersichtlich werden. Und dann noch der Mist mit der Hintergrundaktualisierung ab W8.1...

Was soll eigentlich das seltsame skip=2?

Guggsu "for /?"

Ach ja - das ist etwas unglücklich, weil diese Option in den ADMX-Vorlagen leider als REG_SZ und nicht als REG_EXPAND_SZ definiert ist - Du kannst hier keine Umgebungsvariablen verwenden. Mit einem Trick geht es aber doch:

Lege mit Group Policy Preferences "Registrierung" unter HKLM (Computerkonfig) oder HKCU (Benutzerkonfig) unter Software\Microsoft\Windows\CurrentVersion\Explorer\Run einen neuen Wert an. Wertname beliebig (nimm den Namen Deiner Exe am besten), Typ REG_EXPAND_SZ, und Wertinhalt ist der vollqualifizierte Pfad zum Programm. Und wenn Du da jetzt %LocalAppData% verwenden willst, dann schreibst Du %<LocalAppData>% in den Pfad, das verhindert die Auflösung der Variablen.