daabm

Genau, von MS Press gibt es keine Bücher mehr. Genau genommen gibt es MS Press Deutschland nicht mehr: http://www.heise.de/developer/meldung/Microsoft-Press-Deutschland-wird-geschlossen-2053725.html

...dann könntest Du noch das Debug Logging für GPP Files aktivieren: http://gpsearch.azurewebsites.net/#4912 Level auf "Info, Warnung, Fehler". Und das mit "Laß GPP Files bleiben" ist ernst gemeint. Die können nahezu nix, sind aber gefährlich - was machst Du, wenn da aus Versehen mal ein Kopiervorgang länger braucht? Richtig - warten. Startskripts kannst Du asynchron starten, genauso einen geplanten Task, da ist die Zeit dann unkritisch. Und GPP Files weiß auch nix davon, dass Dateien ggf. erneut kopiert werden sollen, weil sich die Quelldatei geändert hat. MEIN Ansatz ist ein anderer: Sollte es wirklich nicht anders gehen, dann verwende ich GPP Folders/Files. Sonst auf JEDEN Fall Skripts :D

FirstAttribute. Die machen kein "IDM" in dem Sinne, sondern sie abstrahieren die Administration von AD über Agenten und Rollen. Dazu hübsche Oberflächen mit spezifischen Aufgaben. Und insbesondere "Berechtigungen auf Shares" kann IMHO keine der großen Lösungen :cool:

Man müßte jetzt alle Deine Regeln sehen, um zu beurteilen, welche Regel die ausschlaggebende ist. • Gibt es eine passende Verweigern-Regel, kann die Datei nicht ausgeführt werden, auch wenn eine Zulassen-Regel existiert • Gibt es keine Regel, kann die Datei nicht ausgeführt werden • Gibt es eine passende Zulassen-Regel, kann die Datei ausgeführt werden PS: Der Dienst "Anwendungsidentität" steht auf automatisch? Sonst wird das nix :cool:

...und eine fehlerfreie Firmware hat - da hapert es mitunter :D

In Procmon einen Filter setzen auf "Path" - "ends with" - AppData\Local\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\de-DE\Classic_{33843DB0-24E7-4682-A019-5393D7F2BFFA}.settingcontent-ms Damit hast Du Quell- und Zieldatei erfasst. Und dann die Einträge analsysieren, welche Prozesse sind beteiligt?

Der "Warpsprung der Technik" war von XP nach Vista :cool: Und wenn Du mal ein touchfähiges Device mit 8.1 einige Zeit benutzt hast (egal ob Kacheloberfläche oder Desktop), dann wirst Du Dich auf anderen Geräten dabei ertappen, daß Du auf den Bildschirm tappst :D Aber jetzt wird's OT...

Macht nix - "geht nicht" ist eine Fehlerbescheibung, die niemand weiterhilft bei der Diagnose :cool:

Nee, ich meinte nicht das Eventlog, ich meinte tatsächlich ganz trivial das Ergebnis auf der Commandline... @spalato: Wollen wir wetten, daß Du eine Firewall im Übertragungsweg hast? Oder eine andere Art von Blackbox? (WAN Beschleuniger fällt mir spontan ein....)

Naja. Admin ist Admin und sollte Admin-Berechtigungen haben... Die Frage ist natürlich trotzdem gerechtfertigt - eigentlich sollte das auch ohne Rechte funktionieren. Aber wahrscheinlich gehen die Delegationsexperten bei MSFT nicht bis in diese Tiefe :-)

Wer sich heute noch "2, 3 Jahre mit Win7" rumärgert, hat aber echt schon bald eine Generation verpennt - wir bewegen uns grad auf Win10 zu :D :D :D

"Erstes Leerzeichen" parsen... Und auf die Anführungszeichen achten :D

Hast Du meine Antworten gelesen? Ab Win8 klappt das Zuordnen per GPP nicht mehr, wenn für diese Endung bereits standardmäßig eine Anwendung zugeordnet ist, weil SYSTEM keine Schreibrechte auf FileExts mehr hat...

Welche Dateieigenschaft "Ziel"??? Wend Du Shortcuts meinst: https://www.google.de/search?q=script+to+read+the+target+of+a+shortcut

Klingt für mich nach einem Amok laufenden Virenscanner - was ist da installiert? Und hast Du es schon mal "ohne" versucht? Alternativ: Process Monitor Boot Log erstellen, dann anmelden, dann diese Events erneut checken (welche Dateien sind es konkret?) und diese Dateien im Procmon-Log suchen. Welcher Prozess hat die im Zugriff?

Jaja, weiß ich doch :)

http://gpsearch.azurewebsites.net/#1839 ist aktiviert? Application Eventlog und GroupPolicy Eventlog hast Du geprüft? Und dann noch ein praktischer Tipp: Laß das Kopieren von Dateien über GPP einfach bleiben - das taugt nix. Nimm Start- oder Anmeldeskripts dafür (robocopy ist Dein Freund :cool: )

...und zu guter Letzt geht es auch - ganz trivial - mit icacls /save - da stehen dann zwar nur SIDs in SDDL drin, aber um Ressourcen zu finden, für die eine Gruppe berechtigt ist, reicht das allemal.

...und eine Fehlermeldung wäre auch ganz nett... "Geht nicht" ist nicht besonders aussagekräftig.

Domänenaccounts werden nicht "beim Anmelden erstellt", nur das Profil :-) Und ich tippe auch auf ein verbogenes Default-Profil. Oder auf verbogene Berechtigungen in C:\Users... (Oder wo auch immer Ihr die Profile hingebogen habt). BTW: Bei Formulierungen wie "Dadurch das wir in einer Domäne sind, ist es möglich sich mit einem Domäne Account anzumelden, ohne dass dieser davor auf dem Rechner existiert hat!" biegt es mir leicht die Fußnägel hoch :cool:

Jetzt sind es aber genug Hinweise :D

Hast Du die Meldung mal selber gesehen? Stimmt die im Wortlaut? Und ist es WIRKLICH eine Windows-Meldung? ;)

dcdiag wäre mal ein Ansatz. Und auf beiden DCs das Eventlog der Directory Services. Du hast ein grundlegendes Problem...

Stimmt, da war auch noch was - Adobe Reader mag es nicht, wenn man AppData umleitet... :cool:

Norbert, Deine Antworten sind herzerfrischend :jau: @fusi: http://support2.microsoft.com/kb/279301 sollte reichen. Den Rest findest Du selbst...