daabm

Saublöde Idee, sorry.... Alles auf einmal, und wenn hinterher eine Komponente nicht mehr funktioniert, schiebt jeder Beteiligte die Schuld auf einen anderen. In dem Boot wollte ich nicht sitzen...

Wo Du Gruppen sammelst, ist völlig egal, wenn kein Exchange im Spiel ist... GPOs wirken nicht auf Gruppen, und wenn Du keine Berechtigungen delegieren mußt, dann erstelle einen Container "Sinnlose Gruppen" und steck sie da rein :D

So isses... Meine Lieblingsartikel dazu: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx Sollte jeder mal gelesen haben. Vor allem die Empfehlung von Kim: Recommendations for using loopback [...] 1. Don't use loopback :-)

Wenn er nur "mal reinschauen" soll: Entweder wie schon geschrieben "exportieren" oder für alle einen HTML-Report erstellen und den weitergeben. Geht mit Powershell recht einfach... (Müßte jetzt selber suchen, aber Du kannst G***e und B***g sicher auch bedienen :p ) Aber wenn das mit der Unterstützung wirklich funktionieren soll, reicht "Lesen" ohnehin nicht aus - entweder Ihr habt Vertrauen, oder Ihr habt keines...

Er meint "Kuchen essen und behalten"... Die Vorteile einer Domäne ohne die Kosten der DCs dazu... :cool:

""Verbindungsspezifisches DNS-Suffix: fritz.box" - da ist noch Raum für Verbesserungen... Und die Serverseite fehlt leider. Geht ein Ping auf den Server- und (!) auf den Domänennamen vom Client aus?

Naja, soviel Aufmerksamkeit setze ich voraus, dass der TO merkt, daß ich .BAT durch .CMD ersetzt habe :cool: Das Prinzip ist ja das selbe...

Mehrere DCs? KDC-Kennwörter out of sync?

Was meinst Du genau mit "werden verschoben"? Gruppenmitgliedschaften habe nix mit OU-Pfaden (aka "Distinguished Name") zu tun, und nur bei den DNs kann man "verschieben". Ein Screenshot wäre ggf. hilfreich :)

Kann es sein, daß er auf dem alten Rechner mit "uralten" cached credentials läuft und daher mehr Gruppen hat als er haben sollte?

...Nachtrag: Winfried hatte den einzig brauchbaren Hinweis - Application Whitelisting. Alles andere funktioniert nicht. Und zwar nicht nur für Exe/Com, sondern natürlich auch für CMD/VBS und alles andere, was ausführbar ist. Spart dann auch schlaflose Nächte, falls der Virenscanner mal was durchlässt... ym2c :cool:

chkntfs /? -> Option /X Das ganze als Shutdownskript...

Jepp - in den Symlinks ist das Recht "Ordner/Dateien auflisten" für "Jeder" verweigert, damit sowas eben keiner mehr macht - da geht nur "mit vollqualifiziertem Pfad aufrufen".

Kann es sein, dass "jemand" die Verknüpfung von .cmd zerstört hat? Mal HKCU\Software\MIcrosoft\Windows\CurrentVersion\Explorer\FileExts\.CMD untersuchen und mit nem funktionierenden PC vergleichen (oder den Key löschen, den gibt's per Default nämlich nicht)... Und HKCR\cmdfile\shell\open\command.

Anderer Browser (Firefox, Chrome) -> was für ein Ergebnis?

Das "läuft" nicht nur darauf hinauis, neue Profile sind ein MUSS. HKCU\Software\Wow6432Node und %ProgramFiles(x86)% machen eine Cross-Migration schlicht so aufwändig und fehleranfällig, dass sich das - egal mit welchen Mitteln - niemals lohnen kann. :p BTW: MS unterstützt ja offiziell nicht mal servergespeicherte Profile für W7-32 und W7-64 parallel - auch wenn sie uns keine Möglichkeit an die Hand gegeben haben, das komfortabel zu trennen...

Ich würde da gerne mal einen Screenshot sehen - einen Pfad "Y:\\xyz" habe ich noch nie in Windows gesehen :cool:

"reg load" und "reg unload" hilft Dir weiter. Aber das hast Du sicher selbst schon gefunden im Link von @lefg.

...sind die KDC-Kennwörter der DCs out of sync? Stoppe und deaktiviere mal auf DC2 den KDC-Dienst, boote ihn dann neu. Geht es jetzt?

Taskleiste - DU meinst das Pinnen... Dafür gibt es haufenweise Anleitungen im Netz, und den Rest kannst Du mit Gruppenrichtlinien erschlagen (Desktop ausblenden). Und wen interessieren noch die Icons auf dem Desktop (oder gar deren Anordnung), wenn ich doch einfach "Win" drücken und dann lostippen kann? SCNR...

Protokoll "System", Quelle "Eventlog"...

Passiert es im abgesicherten Modus auch? Eher nicht... Profil schon mal gelöscht und neu erstellt? Du hast Dir möglicherweise "irgendeine" Shell-Extension eingefangen, aber da bin ich dann raus...

Was GENAU hast Du in Deiner GPO eingetragen als Ausschluss? Und was GENAU sagt ein "gpresult /h report.html" zur effektiven Einstellung dieser Ausschlüsse? Terminalserver ist oft eigenartig, wenn der eine Admin Loopback aktiviert (bevorzugt noch "replace") und der andere nicht weiß, was das bedeutet...

...und manche sagen auch noch BootP-Agent :)

Danke für den Hinweis - man lernt nie aus, und 2008 (R1) haben wir nie produktiv verwendet :-)