daabm

Netmon ist ein guter Ansatz. Und zu "hängt beim ersten Start" - wie weit kommt er denn? Steht schon die Homepage in der Adressleiste oder bleibt alles weiß?

...und ich versteh die Frage nicht... Die Rechnungen sind doch schon da inkl. Betrag, was kannst Du da noch "kostenoptimieren"? SCNR :p

Unter 2012/Win 8 funktionieren die GPP "Ordneroptionen -Öffnen mit" nicht mehr, da keine Schreibrechte vorhanden sind. Gibt im englischen GPO-Technetforum auch ein paar Beiträge dazu. Hab mir das vór längerer Zeit auch mal im Detail angeschaut. Wenn Du zum folgenden Fragen hast: Einfach fragen... Manually chose to open MP4 and TXT with 7zg.exe as default. GPP to assign MP4 -> notepad.exe :-) and TXT -> notepad.exe (action "update"). First try in user context -> no change. This was expected because of the above ACL. Unchecked "run in logged in users context -> no change again - that's what we don't understand right now. It SHOULD work, but it doesn't. So I opted for action "replace". Still not working. Hands up for Mark Russinovich - "if you don't know what to do, use process monitor". Date & Time: 2/19/2014 10:42:34 AM Event Class: Registry Operation: RegSetValue Result: SUCCESS Path: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MP4\UserChoice\Progid TID: 2952 Duration: 0.0000155 Type: REG_SZ Length: 50 Data: Applications\notepad.exe So the value indeed IS written correctly. But what I see in regedit is still 7zg.exe? Yes - GPP writes to HKU\.DEFAULT... Ok, I'm running as SYSTEM right now, and SYSTEM is S-1-5-18 which .DEFAULT links to. Back to "run in logged on users context". Now we see the following event: Date & Time: 2/19/2014 10:49:07 AM Event Class: Registry Operation: RegOpenKey Result: ACCESS DENIED Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4\UserChoice TID: 2952 Duration: 0.0001901 Desired Access: All Access As expected - we have a deny ACL in place...

Was Du willst, geht AFAIK mit Bordmitteln nicht.

Du kannst das so nicht machen. 1. Laufwerke werden verbunden, bevor Ordner erstellt werden. Beim ersten Mal geht das also sicher schief. Wenn Du die Idee haben solltest, den Ordner per "Group Policy Preferences" zu erstellen. 2. Die Rechte auf diesem Ordner stimmen dann i.d.R: nicht. 3. Es ist kein echter Basisordner. Insbesondere die %homexxxx%-Variablen fehlen Dir dann. 4. Du kannst keinen Ordner "erstellen", indem Du einfach einen Net Use darauf machst. Der Ordner muß schon existieren. Trag's im AD-Profil ein und erstelle die Ordner per Skript. Beispiele gibt es zuhauf.

Noch ne Anmerkung meinerseits: Du möchtest langfristig auf servergespeicherte Profile verzichten und lieber alle relevanten Daten per Ordnerumleitung (nach %homeshare%%homepath%Documents etc...) im Basisordner speichern. Wenn Du jetzt fragst "warum"? Weil RUP (Roaming User Profiles) ein Alptraum sind, wenn Du mit Win7, Win 8, WIn 8.1 und das auch noch gemsicht 32 Bit/64 Bit hantierst. Spätestens bei 32/64 Bit wird das völliger Schrott Frag mich mal, woher ich das weiß... :confused: Zum Nachlesen: http://support.microsoft.com/kb/2384951 Interessant dabei: Sie supporten das Mischen nicht. Aber sie sagen uns nicht, wie wir's lösen können ohne auf RUP zu verzichten :cool:

...und immer dran denken: Bei "Loopback Merge" braucht ab Vista/2008 der Computeraccount Leserechte auf die User-GPOs, damit sie angewendet werden.

Bei WIn7: NICHT gpedit.msc aufrufen, sondern MMC. Dann Snapin hinzufügen, und hier hast Du dann die Möglchkeit, Benutzer oder Admins auszuwählen.

acctmgmt.dll aus dem 2003 Resource Kit suchst Du... Aber siehe oben: Erweiterte Features einschalten und "Attribut-Editor" verwenden ist die zeitgemäße Lösung.

Ist Weibsvolk anwesend? :rolleyes: Aber jetzt wirds Zeit für BTT...

Oli Niehaus hat da - wie ich inzwischen auch - eine andere Meinung. Stichwort "Security Zone". Ein Domänenadmin meldet sich nur auf DCs an usw.... Aber die Verwaltungstools hätte ich trotzdem gerne überall, und wenn es nur wäre, um "mal schnell" was nachzuschauen :cool:

Wäre schön, wenn Du dann Bescheid gibst :cool:

Ahem - sitzt der User neben dem Rechner? DIe meisten haben da so ein Ding, das nennt sich "Ein--/Ausschalter" und ist noch in Hardware ausgeführt... :jau:

...ich werfe mal "klist /purge" in den Ring. Oder "Screen Saver Unlock" :cool:

BMR? Weil das ggf. einfacher ist als ein Tombstone Recovery einer gelöschten Root-OIU, in der alle meine Accounts waren und ich noch ohne Papierkorb fahre... :cool: Zum Thema GPO-Backup: http://evilgpo.blogspot.de/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html

Wie Nils schon sagt... Und allgemein: Alle Verwaltungsfeatures immer und überall installieren, dann fehlen sie im Bedarfsfall auch nicht...

Ich hab das mit dism noch nie probiert, mit ImageX (aus dem AIK von Windows 7) hat es problemlos funktioniert (und tut es bei uns noch heute, um x86 und amd64 in das gleiche wim zu packen). Kann es sein, daß dism das Mergen nicht richtig beherrscht?

LmCompatibilitylevel (LM/NTLM/NTLMv2) und SMB-Signing überprüfen...

AD und GPO gibt's nur auf Domain Controllern, und davon hast Du mehrere. Daher mußst Du Dir um Ausfälle keine großen Sorgen machen...

Da muß ich mal etwas Eigenwerbung machen, auch wenn ich dafür möglicherweise vom MOD auf die Finger bekomme... http://www.amazon.de/Windows-Server-2012-R2-Gruppenrichtlinien-Netzwerkverwaltung-ebook/dp/B00HETF014/ref=sr_1_1?ie=UTF8&qid=1406389105 lesen, denn Kapitel 10 beantwortet Deine Fragen. Und wegen "Achso, bei mir gibt es den Internet Explorer. mehr nicht ! FF Portable? was soll das?" - wie stellst Du das sicher? AppLocker/SRP aktiv, oder verläßt Du Dich auf das Unwissen der Anwender? Internetzugang per GPO steuern GEHT NICHT. Punkt. Und man könnte es soo einfach widerlegen...: C:\Users\martin>dsquery * -filter "(name=domain controllers)" -attr objectclass objectclass top;organizationalUnit; Warum das im Englischen wohl "organizational" heißt und nicht "organization"... Besch****te deutsche Übersetzung halt, die seit 15 Jahren für falsch aufgebaute AD-Strukturen sorgt :cool:

Wenn Du ein IE10-Element erstellst, enthält es per Default "Startoptionen" und "Browserverlauf". Und wenn Du die einzelnen Registerkarten aufgerufen hast, aktiviern die auch (ohne weiteres Zutun) diverse Standardelemente... b***d, ist aber so. Klickst Du z.B. einmal auf "Erweitert" und machst da sonst nichts, fängst Du Dir automatisch folgende Settings ein: Grafikkarte mit BeschleunigungSoftwarerendering anstelle von GPU-Rendering verwenden Aktiviert BarrierefreiheitImmer ALT-Text für Bilder anzeigen Deaktiviert Caretzeichenbrowser für neue Fenster und Registerkarten aktivieren Deaktiviert Systemzeiger mit Fokus-/Markierungsänderungen verschieben Deaktiviert Systemsounds wiedergeben Deaktiviert Textgröße auf "mittel" für neue Fenster und Registerkarten zurücksetzen Deaktiviert Zoomfaktor für neue Fenster und Registerkarten zurücksetzen Deaktiviert BrowsenAutomatisches Beheben von Seitenlayoutfehlern mithilfe der Kompatibilitätsansicht Aktiviert Nicht verwendete Ordner im Verlauf und in Favoriten schließen (Neustart erforderlich) Deaktiviert Skriptdebugging deaktivieren (Internet Explorer) Aktiviert Skriptdebugging deaktivieren (Andere) Aktiviert Skriptfehler anzeigen Deaktiviert Schaltfläche "Schnellinfo" bei Auswahl anzeigen Deaktiviert Automatische Wiederherstellung nach Systemabsturz aktivieren Aktiviert Vorblättern aktivieren Deaktiviert FTP-Ordneransicht aktivieren (außerhalb von Internet Explorer) Aktiviert "Vorgeschlagene Sites" aktivieren Deaktiviert Browsererweiterungen von Drittanbietern aktivieren (Neustart erforderlich) Deaktiviert Visuelle Stile auf Schaltflächen und Steuerelementen in Webseiten aktivieren Aktiviert Verwendung des Suchfensters für Websites aktivieren Deaktiviert Durch Eingabe eines einzelnen Worts in die Adressleiste zu einer Intranetsite wechseln Deaktiviert Benachrichtigen, wenn Download beendet ist Aktiviert Verknüpfungen im gleichen Fenster öffnen Aktiviert Kurze HTTP-Fehlermeldungen anzeigen Aktiviert Meldung anzeigen, wenn Internet Explorer nicht der Standardbrowser ist Aktiviert Links unterstreichen Immer Verwenden von AutoVervollständigen Aktiviert AutoVervollständigen im Explorer und im Dialogfeld "Ausführen" verwenden Deaktiviert Aktuelle Reihenfolge beim Umschalten zwischen Registerkarten mit Strg+Tab verwenden Deaktiviert Passives FTP verwenden (für Firewall- und DSL-Modemkompatibilität) Aktiviert Optimierten Bildlauf verwenden Aktiviert Einstellungen für HTTP 1.1HTTP 1.1 verwenden Aktiviert HTTP 1.1 über Proxyverbindungen verwenden Aktiviert InternationalCodierte Adressen immer anzeigen Deaktiviert IDN-Servernamen senden Aktiviert IDN-Servernamen für Intranetadressen senden Deaktiviert UTF-8-URLs senden Aktiviert Informationsleiste für codierte Adressen anzeigen Aktiviert MultimediaAlternative Codecs in HTML5-Medienelementen aktivieren Aktiviert Automatisches Anpassen der Bildgröße aktivieren Aktiviert Animationen in Webseiten wiedergeben Deaktiviert Sound in Webseiten wiedergeben Deaktiviert Platzhalter für den Bilderdownload anzeigen Deaktiviert Bilder anzeigen Aktiviert SicherheitAusführung aktiver Inhalte von CDs auf dem lokalen Computer zulassen Deaktiviert Ausführung aktiver Inhalte in Dateien auf dem lokalen Computer zulassen Deaktiviert Header " Do Not Track" (nicht nachverfolgen) immer senden Deaktiviert Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist Deaktiviert Ungeschützte Bilder mit anderem gemischten Inhalt blockieren Deaktiviert Auf zurückgezogene Zertifikate von Herausgebern überprüfen Aktiviert Auf gesperrte Serverzertifikate überprüfen (Neustart erforderlich) Aktiviert Signaturen von übertragenen Programmen überprüfen Aktiviert Verschlüsselte Seiten nicht auf dem Datenträger speichern Aktiviert Leeren des Ordners für temporäre Internetdateien beim Schließen des Browsers Aktiviert Speicherschutz aktivieren, um das Risiko von Onlineangriffen zu verringern Deaktiviert DOM-Storage aktivieren Aktiviert Erweiterten geschützten Modus aktivieren Aktiviert Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich) Aktiviert Original-XMLHTTP-Unterstützung aktivieren Aktiviert SmartScreen-Filter aktivieren Deaktiviert SSL 2.0 verwenden Deaktiviert SSL 3.0 verwenden Aktiviert TLS 1.0 verwenden Aktiviert TLS 1.1 verwenden Deaktiviert TLS 1.2 verwenden Deaktiviert Warnung anzeigen, wenn die Zertifikatadresse nicht übereinstimmt Aktiviert Beim Wechsel zwischen sicherem und nicht sicherem Modus warnen Aktiviert Warnung anzeigen, wenn die Eingabe in eine Zone umgeleitet wird, in der keine Eingaben zugelassen sind Aktiviert Da hiflt nur F8, um alles erst mal wieder abzuschalten, und dann F6, um genau das gezielt einzuschalten, was Du benötigst.

Mehr ist da nicht drin???

"dieselbe Fehlermeldung" wäre da im Detail möglicherweise hilfreich...

Die sind nicht wirklich versteckt - das ist nur eine Konvention, dass die nicht angezeigt werden... Um es anders zu sagen: Nicht der Server teilt seine Freigabe nicht mit, sondern der Client (der sie schon kennt!) zeigt sie Dir nicht an...

Maximal 1000 GPOs gehen... Steht irgendwo in den Tiefen von Technet. Weiß aber grad nimmer, ob das die Anzahl GPLinks pro OU war oder die Gesamtanzahl im SOM Search Request. Die Verarbeitungszeit steigt halt proportional. Ich stimme Norbert da zu - eine "große" Baseline-GPO und dann die Ausnahmen einzeln. Möglicherweise haben wir da mehr Erfahrung als Deine AD-Abteilung :cool: 50 GPOs find ich zu viel...