daabm

Der Thread ist über 2 Jahre alt - besser, Du machst Deinen eigenen auf :cool:

"Warten" heißt, daß Du vor Anmeldung bzw. Desktop WARTEST, bis GPP Files fertig ist. Egal wie lange es dauert... Kann sehr unerfreulich für die Mitarbeiter sein... Und das mit "Aktualisieren" bezieht sich NUR auf die drei Haken, die Du darunter setzen kannst. Es hat NICHTS mit Änderungen an den Quelldateien zu tun. Nochmal und zum letzten Mal: Laß es bleiben, nimm ne Batchdatei mit Robocopy. Oder mach es, wie es Dir lieber ist. Sag dann aber nicht, Dich hätte niemand gewarnt :D

Doch. ntuser.dat aller Profile mounten und die ACLs der Keys ändern... Schrott, stimmt :D

Nein, die hängen sich nicht "fest"... hast Du ein Sysvol-Replikationsproblem? Was sagt "gpupdate /force"?

Zeit out of sync ist tödlich. Wenn das mehr als 5 Minuten sind, verweigert der DC die Ausstellung des TGT... Und dann ist der PC zwar "eigentlich" noch in der Domäne, aber da weder der PC noch der User ein TGT bekommen, können sie auch nirgends zugreifen. Konfiguriere Deine Zeitdienste richtig, und Du bist dieses Problem los...

Hm - Du könntest es im Hintergrundbild verankern :D Aber wissende Anwender sind sicher einfacher und eleganter....

MTU, stimmt - und Kerberos (UDP) über VPN -> MaxPacketSize anpassen, damit TCP verwendet wird. Gibt da über VPN das Problem, wenn die Kerberos-Pakete nicht mehr in ein UDP-Paket passen, aber noch kleiner als 2k sind (dann würde automatisch TCP) verwendet werden - dann kommen die 2 Pakete gerne out of order am Server an und das geht schief. Ansonsten sollte die Firewall dns, kerberos, kpasswd, ldap/ldaps, gc, NBT und SMB durchlassen. Eigentlich sollte sie alles durchlassen :D

Genau, von MS Press gibt es keine Bücher mehr. Genau genommen gibt es MS Press Deutschland nicht mehr: http://www.heise.de/developer/meldung/Microsoft-Press-Deutschland-wird-geschlossen-2053725.html

...dann könntest Du noch das Debug Logging für GPP Files aktivieren: http://gpsearch.azurewebsites.net/#4912 Level auf "Info, Warnung, Fehler". Und das mit "Laß GPP Files bleiben" ist ernst gemeint. Die können nahezu nix, sind aber gefährlich - was machst Du, wenn da aus Versehen mal ein Kopiervorgang länger braucht? Richtig - warten. Startskripts kannst Du asynchron starten, genauso einen geplanten Task, da ist die Zeit dann unkritisch. Und GPP Files weiß auch nix davon, dass Dateien ggf. erneut kopiert werden sollen, weil sich die Quelldatei geändert hat. MEIN Ansatz ist ein anderer: Sollte es wirklich nicht anders gehen, dann verwende ich GPP Folders/Files. Sonst auf JEDEN Fall Skripts :D

FirstAttribute. Die machen kein "IDM" in dem Sinne, sondern sie abstrahieren die Administration von AD über Agenten und Rollen. Dazu hübsche Oberflächen mit spezifischen Aufgaben. Und insbesondere "Berechtigungen auf Shares" kann IMHO keine der großen Lösungen :cool:

Man müßte jetzt alle Deine Regeln sehen, um zu beurteilen, welche Regel die ausschlaggebende ist. • Gibt es eine passende Verweigern-Regel, kann die Datei nicht ausgeführt werden, auch wenn eine Zulassen-Regel existiert • Gibt es keine Regel, kann die Datei nicht ausgeführt werden • Gibt es eine passende Zulassen-Regel, kann die Datei ausgeführt werden PS: Der Dienst "Anwendungsidentität" steht auf automatisch? Sonst wird das nix :cool:

...und eine fehlerfreie Firmware hat - da hapert es mitunter :D

In Procmon einen Filter setzen auf "Path" - "ends with" - AppData\Local\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\de-DE\Classic_{33843DB0-24E7-4682-A019-5393D7F2BFFA}.settingcontent-ms Damit hast Du Quell- und Zieldatei erfasst. Und dann die Einträge analsysieren, welche Prozesse sind beteiligt?

Der "Warpsprung der Technik" war von XP nach Vista :cool: Und wenn Du mal ein touchfähiges Device mit 8.1 einige Zeit benutzt hast (egal ob Kacheloberfläche oder Desktop), dann wirst Du Dich auf anderen Geräten dabei ertappen, daß Du auf den Bildschirm tappst :D Aber jetzt wird's OT...

Macht nix - "geht nicht" ist eine Fehlerbescheibung, die niemand weiterhilft bei der Diagnose :cool:

Nee, ich meinte nicht das Eventlog, ich meinte tatsächlich ganz trivial das Ergebnis auf der Commandline... @spalato: Wollen wir wetten, daß Du eine Firewall im Übertragungsweg hast? Oder eine andere Art von Blackbox? (WAN Beschleuniger fällt mir spontan ein....)

Naja. Admin ist Admin und sollte Admin-Berechtigungen haben... Die Frage ist natürlich trotzdem gerechtfertigt - eigentlich sollte das auch ohne Rechte funktionieren. Aber wahrscheinlich gehen die Delegationsexperten bei MSFT nicht bis in diese Tiefe :-)

Wer sich heute noch "2, 3 Jahre mit Win7" rumärgert, hat aber echt schon bald eine Generation verpennt - wir bewegen uns grad auf Win10 zu :D :D :D

"Erstes Leerzeichen" parsen... Und auf die Anführungszeichen achten :D

Hast Du meine Antworten gelesen? Ab Win8 klappt das Zuordnen per GPP nicht mehr, wenn für diese Endung bereits standardmäßig eine Anwendung zugeordnet ist, weil SYSTEM keine Schreibrechte auf FileExts mehr hat...

Welche Dateieigenschaft "Ziel"??? Wend Du Shortcuts meinst: https://www.google.de/search?q=script+to+read+the+target+of+a+shortcut

Klingt für mich nach einem Amok laufenden Virenscanner - was ist da installiert? Und hast Du es schon mal "ohne" versucht? Alternativ: Process Monitor Boot Log erstellen, dann anmelden, dann diese Events erneut checken (welche Dateien sind es konkret?) und diese Dateien im Procmon-Log suchen. Welcher Prozess hat die im Zugriff?

Jaja, weiß ich doch :)

http://gpsearch.azurewebsites.net/#1839 ist aktiviert? Application Eventlog und GroupPolicy Eventlog hast Du geprüft? Und dann noch ein praktischer Tipp: Laß das Kopieren von Dateien über GPP einfach bleiben - das taugt nix. Nimm Start- oder Anmeldeskripts dafür (robocopy ist Dein Freund :cool: )

...und zu guter Letzt geht es auch - ganz trivial - mit icacls /save - da stehen dann zwar nur SIDs in SDDL drin, aber um Ressourcen zu finden, für die eine Gruppe berechtigt ist, reicht das allemal.