daabm

Nö :D

Ich zitier mich mal selber...

Geplante Tasks hast Du geprüft?

Admin-Commandline: Was sagt "gpresult /h report.html & report.html" zur RDP-Anmeldung?

Sunny, bitte korrigier mich, aber soweit ich das überblicke: Es gibt ein Loginskript per GPO, das zweimal läuft. Wird die GPO deaktiviert, läuft es nur noch einmal. Ergo ist entweder Loopback aktiv oder das Skript startet sich selbst noch mal oder in der GPO sind noch mehr Schmankerl enthalten, die der TO nicht verraten hat.

Was jetzt das SMB-Signing mit der Verzögerung beim Öffnen einer Anwendung zu tun haben könnte, erschließt sich mir nicht wirklich :) Ich würde Process Monitor und Network Monitor empfehlen...

Hmm... SCNR :D

...hier fehlen Infos. Irgendwer sagt nicht alles... Ich bin raus :mad:

Mighty Joe - das waren Zeiten :) Solar Fire grüßt -- oder auch Father of day, father of nigth... Hier raucht nur noch die Glut, Rest Slivovitz wäre noch da - gute Nacht allerseits!

Jungs und Mädels, "Licht aus" - wer will, kann sich noch ein kühles Blondes nehmen, den kalten Kaffee von Edgar hab ich entsorgt :)

Gegen die Pfadlänge kannst Du nix machen... Siehe "Win32 API Unicode \\?\"

Da hast Du "Glück" gehabt... Oder einen gut geerdeten antistatischen Bodenbelag.

Kennst Du schon Sysinternals' Autoruns? Hätte ich schon längst mal benutzt...

Wir sind hier nicht bei "Wünsch Dir was", sondern bei "so isses" :D Und ein nicht indiziertes Laufwerk kannst Du prima in die Bibliotheken aufnehmen, nur die Suche wird dann auch nicht besser - bis Du es offline verfügbar machst.

Nachdem grad alles ruhig ist: "Licht aus" :)

Dunkelmann hat nach "gpresult /h report.html" gefragt. Da siehst Du nicht nur, welche GPOs angewendet werden, sondern auch welche Settings (und Skripts!) aus welcher GPO aktiv sind... Mit Vererbung zweimal, ohne Vererbung einmal... Heißt für mich: Entweder hast Du es in einer GPO stehen und Loopback Merge aktiv. Oder Du hast es in einer GPO und noch an einem anderen Ort stehen (Run, Autostart, was weiß ich).

Elevated Commandline - geht das? Und was sagt darin dann ein "whoami /groups"?

...was ja auch die richtige Grundeinstellung ist :) Für das konkrete Problem hilft das natürlich nicht, und ich gebe zu: Mir fällt nicht wirklich was Praktikables ein. irgendwo hat der User immer Schreibrechte und kann sich da einen Shortcut erstellen, der "irgendwohin" zeigt. BTW: Die ExecutionPolicy halte ich auch für Schlangenöl, weil die nur auf die IE-Zonen zurückgreift. Das hätten sie sich sparen können... Kopiere das File lokal, mach den ADS "Zone.Identifier" weg und die ExecutionPolicy ist sinnlos.

Irrtum - in diese Ecke hast Du Dich mit Deinen Beiträgen selbst gestellt. Wir haben uns zu dem hier bekannt: Microsoft Most Valuable Professionals, or MVPs are exceptional community leaders who actively share their high-quality, real-world deep technical expertise with the community and with Microsoft. They are committed to helping others get the most out of their experience with Microsoft products and technologies. Wenn Du das anders wahrnimmst, dann solltest Du mal die Brille wechseln...

Warum machst Du das überhaupt per w32tm statt per GPO? Mark hat irgendwo eine prima Anleitung dazu versteckt: www.gruppenrichtlinien.de Mit der hab sogar ich das hinbekommen :jau:

Den "komischen Fisch" willst Du gar nicht probieren - den darf man mittlerweile nicht mal mehr im Flieger mitnehmen, weil die Dose platzen könnte... Das ist nix für Mitteleuropäer :D Ansonsten geht mir MS15-011 immer noch gehörig auf den S****..... (Esta, verzeih mir) Und jetzt gibt's hartgekochte Eier mit Sardellen - haut rein :)

Zum Thema "DisableCMD" - das ist Schlangenöl :) Nimm TotalCommander, File Comander, command.com, 4dos/4os2/4winnt, irgendwas anderes, was sich darum nicht schert. Nils hat Recht... Und der betreffende Auditor keine Ahnung. Auch wenn Du ihm das wohl so nicht sagen solltest :D

Es "müßte" auch bei mstsc auf einen Member ziehen. Aber unterschreiben will ich das grad nicht - hab das nie verwendet :)

...dann war der /config-Befehl wohl falsch...

Das mit dem WMI-Filter geht, der Vorschlag von Sunny auch. Es gibt noch eine dritte Möglichkeit, über die leider viel zu selten nachgedacht wird: Group Policy Preferences... http://evilgpo.blogspot.de/2014/10/implementieren-von-ordner-nur-auf.html (10 Posts insgesamt...) Sind ein paar Seiten zum Lesen und geht weit über das einfache Umleiten von "Downloads" hinaus, aber es beschreibt die wesentlichen Techniken, wie Du Ordnerumleitungen absolut flexibel umsetzen kannst :D