daabm

Procmon kann Dir sagen, was der Prozess da so treibt (oder eben nicht)...

Procmon sagt Dir, welcher Zugriff genau scheitert... Und welcher Pfad dabei tatsächlich verwendet wird. Oder hast Du den echten Favoritenpfad schon in User Shell Folders überprüft?

Genau - das ist keine Sicherheitsrichtlinie (secpol.msc bzw. secedit /configure), sondern ganz einfache Gruppenrichtlinie - entweder aus der Domäne oder lokal (lokal geht am einfachsten mit dem Security Compliance Manager, der hat dafür ein Skript zum Importieren...)

Stimmt alles, bis auf 3, 4, 6 und 7 :cool:

3. Der DC prüft das Kennwort sowie zugelassene Arbeitsstationen und Anmeldezeite und stellt dann ggf. ein TGT aus.

4. Die lokale LSA prüft anhand des TGT, ob Anmelderechte vorhanden sind (seLogonInteractive etc.). Dann wird ein TGS für den lokalen Rechner angefordert und der Benutzer tatsächlich "angemeldet".

6. Die Benutzersession wird initialisiert (Laden der Registrierung, Festlegen der sessionspezifischen Umgebungsvariablen wie %userprofile% oder %sessionname%)

7. GPOs werden jetzt erst ermittelt (und zwar nicht vom DC, sondern lokal - der DC sendet nur stupide eine Liste von allen, die es gibt) und dann angewendet (komplett vor dem Aufbau des Desktops)

8. Anmeldeskripts werden ausgeführt (je nah "Synchron" entweder vor dem Desktop oder nach dem Desktop - ich empfehle ersteres.)

9. Der Desktop wird geladen

10. Registry Run/RunOnce/RunOnceEx sowie Autostart--Ordner werden ausgeführt

:thumb1:

Ergänze doch bitte zunächst Du Deine Ausführungen- fang z.B. damit an, dass Du Klartext-Events postest. Wir wissen nicht auswendig (ich zumindest nicht), was

<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">1632</Data>

bedeutet... Und den Gruppenrichtlinien-Bericht könntest Du auch als HTML oder als Textversion erstellen - XML ist schön zu lesen für Computer, nicht aber für Menschen...

Kleine Randbemerkung an Daniel: Schon mal versucht, Win 8 auf einem Desktop-PC ohne Touch und mit einer Tastatur ohne Windows-Taste zu bedienen? Ich weiß, das gibt's nur noch selten - aber Du wirst wahnsinnig dabei... :mad: "Win" geht nicht, "Win-S" geht nicht, "Win-X" und "Win-R" natürlich auch nicht, genauso wenig wie "Win-E"...

Leutz, die Diskussion ist müßig... Der TO weiß von DFSN und ABE zu wenig, um das umzusetzen :cool:  Und "zusammenführen" müsste auch erst mal klar definiert werden.

PS: Dass man etwas machen kann, heißt noch lange nicht, daß man es auch machen sollte...

Bei den Bierkosten fällt mir nur die Vollbit-Verschlüsselung ein - 256 Bit :jau:

"Gehen" würde es schon - wenn Du zwei Ordner mit jeweils einem Verweisziel anlegst und die Laufwerkszuordnung dann nicht auf die Ordner, sondern auf den Namspace machst. Dann solltest Du aber ABE aktiviert haben... Und ansonsten gilt, was Sunny61 schon geschrieben hat.

Auditing: "Account Lockout" aktivieren, dann wird das auf den DCs im Security Eventlog wunderbar protokolliert. Und vom Neustart des Netlogon auf einem DC wird kein User etwas mitbekommen. Einfach machen :cool:

Aaaargh!!!

http://blogs.technet.com/b/askds/archive/2010/09/01/microsoft-s-support-statement-around-replicated-user-profile-data.aspx

Jan, nein. Das bezieht sich nicht auf PE - in PE gibt es KEINE Benutzerverwaltung, der User ist immer SYSTEM.

Der ist normal, ja. Manche Fehler und Warnungen hätte MS sich echt sparen können :p

Aber Du solltest die anderen Hinweise beherzigen. Wenn Du - wie Du schreibst - kein 2003 mehr hast, dann stelle ASAP auf DFSR um.

Daniel, nicht immer alles vorkauen :cool:

For /R wäre hier der richtige Einstieg - mit (*.cab).

Sunny!!! NEIN!

Computer wenden Computer-GPOs an, wenn sie im Sicherheitsfilter stehen.

User wenden User-GPOs an, wenn sie im Sicherheitsfilter stehen.

NIEMALS wird ein User User-GPOs anwenden, weil der Computer im Sicherheitsfilter steht - es sei denn, Du aktivierst Loopback "Zusammenführen"...

Die Antwort auf die ursprüngliche Frage ist: Nein, sie wird nicht ausgeführt. Der Computer darf zwar anwenden, findet aber keine Settings (RSoP: "leer"). Der User hätte zwar Settings, darf aber nicht anwenden (RSoP: "Zugriff verweigert").

...und mir auch nicht. Du schlägst Dich mit Randbedingungen herum, die nicht wirklich nachvollziehbar sind...

...oder ist Deine Sysvol-Replikation fehlerhaft? Das ist eine der häufigsten Ursachen für fehlerhafte GPO-Verarbeitung...

PS: Das Eventlog "Group Policy/Operational" verrät Dir bestimmt mehr darüber :)

Jan, Du erinnerst Dich richtig. In http://technet.microsoft.com/library/cc179176.aspx steht relativ klein und recht weit unten folgender Absatz:

Mit "Gruppenrichtlinie" können Sie die folgenden Office 2013-Versionen verwalten:

    Office-Suites über Volumenlizenzierung. Beispiel: Office Standard 2013.

    Einzelne Office-Programme, die im Einzelhandel oder über die Volumenlizenzierung verkauft werden.

Wenn Sie Office als Teil von Office 365 erwerben, hängt es von Ihrer Lizenz ab, ob Sie mit "Gruppenrichtlinie" die Office-Programme verwalten können oder nicht. Die Dienstbeschreibung zu Office-Anwendungen listet auf, welche Office 365-Pläne die "Gruppenrichtlinie" unterstützen.

%windir%\System32\Printing_Admin_Scripts\de-DE\*.vbs mag als Anregung dienen, wie man das - relativ einfach übrigens - skripten könnte.

PE hat keine Benutzerverwaltung - was Du möchtest, geht nicht.

"for /?" wäre mal ein Anfang... Wenn's nicht gleich Powershell sein soll :suspect:

Was machen? An der Kerberosrichtline schrauben oder auch die NW-Infrastruktur prüfen? Zweiteres wäre langfristig zielführender...

Vergiß das mit den lokalen Usern per GPO: https://technet.microsoft.com/en-us/library/security/MS14-025

Blöde Frage: Warum definierst Du - wenn Du schon so viele Reservierungen brauchst - nicht einfach die "reservierten" statisch im DNS (per A-Record) und schränkst den Bereich ein auf 99.1 bis 99.254? Und warum arbeitest Du - anscheinend - mit einem /16 Netz? Das wäre eine mächtig große Broadcast-Domain...

Und um Deine eingentliche Frage zu beantworten: Nein, keine Idee, nein, nicht dasselbe Problem - noch nie gesehen, daß das hinten losgeht.

Hm... Für manche Lösungen muß man wohl erst das Problem erfinden. Alle Drucker übernehmen - und die nicht benötigten löschen dauert höchstens 2 Minuten...