daabm

Wurde mit Server 2003 erstmals ausgeliefert und war IMHO in XP ab SP2 auch enthalten - seit Vista auf jeden Fall :)

"Klick" - dunkel...

Zwei GPOs, wie Norbert schrub. WMI-Filter lassen wir bleiben, besser werfen wir "Authentifizierte Benutzer" aus dem Sicherheitsfilter und tragen dort den Computeraccount (oder eine geeignete Gruppe) ein.

Nils, nur so: Kennst Du schon " | Clip " ? :)

Machst Du was mit WMI beim Start oder beim Anmelden? Ich erinnere mich, dass z.B. Win32_Environment dazu führt, dass alle Profile geladen werden, um HKCU\Environment auslesen zu können...

Sunny, ich schalt dann mal das Nachtlicht für esta ein :p Vielleicht legt sie dann noch ein Bier ins Gemüsefach :D

Ja - in Post #1: "Wir haben für unseren Terminalserverzugang ein Zertifikat welches bei unseren externen Mitarbeitern unter "Computerkonto" -> "Vertrauenswürdige Stammzertifizierungstellen" installiert werden muss." Kann sein, ich hab das mißverständlich ausgedrückt. Ich meinte nicht "Zertifikat für den Computer", sondern "Zertifikat im Store des Computers" :)

Die Versionsnummer bzw. der Name, den MS ihm gegeben hat. Sonst nix... :cool:

IrfanView kann es auf jeden Fall als Folge von JPEGs. Die müßte man dann in einen Film kriegen - hab mich aber noch nie damit beschäftigt, ob und wenn ja wie das geht....

Zertifikate für den Computer lassen sich nur als Admin installieren - ist halt so :)

Nö. ADMX hat mit GPP nix zu tun. Du mußt das XML bearbeiten. Und in der Tat - Einstellungen, die NACH der höchsten im GUI verfügbaren Version (hier IE10) kamen, kannst Du darüber nicht setzen. Wenn die Einstellungen (wie auch immer Du die jetzt genau setzt) nach dem Anmelden erst mal weg, nach gpupdate (ohne /force) aber wieder da sind, hast Du ein grundlegendes Problem.

@Sunny: Bin wieder da :) Meine Meinung dazu: Die DDP und die DDCP fasst man besser nicht an, sondern macht sich eine eigene GPO, die man dann weiter oben verlinkt. Hintergrund ist tatsächlich dcgpofix - und ich bin dann auch relativ leicht in der Lage, meine eigenen GPOs für Diagnosezwecke kurz auszuknipsen. Ob Kennwortrichtlinien nun in der DDP stehen oder in einer anderen, das ist egal - wichtig sind für Domänenuser dabei nur zwei Dinge: 1. Die GPO _muss_ mit der Domäne verknüpft sein. 2. Der PDC-Emulator muss Anwenden-Rechte darauf haben. Ob die DDP selbst überhaupt noch aktiv/verlinkt/vorhanden ist, spielt übrigens auch keine wirkliche Rolle :)

Da hast Du recht - ist halt tagesformabhängig. Ich will eigentlich vor allem in Foren niemand direkt an die Wand stellen... Manchmal passiert es dann trotzdem :( Ok, wieder Freunde :)

Und um das noch zu ergänzen: Interaktiv anmelden ist ein anderes Recht als "Anmelden als Dienst" oder "Anmelden als Stapelverarbeitungsauftrag" (geplanter Task). Das Sperren der interaktiven Anmeldung hat auf die anderen beiden keinen Einfluß.

Nachdem alle Notebooks wohl das gleiche Modell sind und es mit dreien geklappt hat, sollte es daran eigentlich nicht liegen. Haben die Notebooks alle den gleichen BIOS-Stand?

"Linux von der Stange"? Das erlebe ich vmtl. nicht mehr - zu viele Distros, zu viel Gefrickel, zu viele Diskussionen um open/closed source und zu viele Köche ;)

Mir fiele da noch "portqry.exe" ein - aber der Hinweis von Sunny auf die Firewallregeln des XP-Rechners ist vorrangig :) Nicht daß da "localsubnet" als Bereich eingetragen ist.

Lassen wir's... Manche kommen mit mir nicht zurecht, das muß ich akzeptieren. /U [Domäne\]Benutzer Bestimmt den Benutzerkontext, unter dem der Befehl ausgeführt wird. /USER [Domäne\]Benutzer Legt den Benutzername fest, für den die RSoP-Daten angezeigt werden sollen.

Google kennst Du aber, oder? Mußt Du wohl, sonst hättest Du nicht hierher gefunden :D https://www.google.de/search?q=+{+%24([string]::IsNullOrEmpty(%24(%24_.manager)))}

Stimmt. "Verzeichnis" meint hier Active Directory. Sagt ja schon der Name, daß es "irgendwie" wohl ein Verzeichnis ist :D

...wenn man dann noch weiß, ob man lokale oder servergespeicherte Profile verwendet :D

Aktualisere auf 2012R2...

Ja, ist das gleiche... Dahinter steckt die "Explorer Elevated Unelevated Factory" - läßt sich mit einem Registry-Eingriff ändern, dann startet der Explorer auch als Admin (oder sogar als anderer User). Nur kannst Du die verschiedenen Explorer nicht unterscheiden :D Oder Du startest den Taskmanager, elevatest den (in Win7 - bei W8/2012 macht er das automatisch), schießt den Explorer ab und startest ihn aus dem elevated Taskmanager neu. Dann läuft ALLES als Admin - ist also wie "UAC aus" und daher nicht zu empfehlen. Die eleganteste (und aufwändigste) Lösung ist eine "nachgebaute" eigene Administratoren-Gruppe, die überall dort Vollzugriff hat, wo administriert werden muß. Die läuft dann nicht unter dem restricted Token, sondern ist eine ganz normale Gruppe.

NoScript aktiv? Dann schmeißt der Editor hier tatsächlich die Zeilenumbrüche weg. Ok, BTT :D

"" : es gab mal einen Eintrag im Feld, aber der wurde wieder gelöscht Da würde ich eher sagen "er wurde als Leerstring gesetzt". Wenn man das richtig macht, steht wieder $Null drin (aka "<not set>").