daabm

Hm - /force ist i.d.R. überflüssig. War das wirklich die Lösung?

Irgendwas verschweigst Du - oder weißt es selbst nicht... Ich mache schon seit vielen Jahren mit AppLocker "rum", aber das kenne ich nicht. Hast Du irgendeine übersehene Deny-Regel? Hast Du die AppLocker-RuleCollections genauer geprüft?

Hast Du Geld übrig? Dann schau mal bei Quest vorbei

Du könntest mal prüfen, was auf den Clients so an Applocker-Regeln tatsächlich ankommt. Dazu erst mal gpresult /h report.html - steht hier alles korrekt drin? Wenn ja, Powershell: ( Get-ApplockerPolicy -effective ).RuleCollections liefert Dir eine Kollektion aller Regeln.

Ich würde "Eventlogs anschauen" empfehlen

Hier kräht kein Hahn - das ist in der Großstadt selten geworden, auch wenn unser Garten nachweislich mal ein Hühnergarten war (Reste vom Schlafschuppen und der 2 m hohen Umzäunung waren beim Einzug vor 20 Jahren noch vorhanden)... Und wenn da heute einer krähen würde, dann wäre er morgen Frikassee :-D PS: Wetter ist immer noch bescheiden, aber wenn man den Agrarökonomen zuhört, dann muß das bis Mitte Juli so bleiben, damit der Boden wieder einigermaßen durchfeuchtet ist :-(

Doch, war an - hat nur keiner gemerkt, war ein Nachtlicht. Das lass ich jetzt auch an Schöne Tage wünsch ich Dir, Norbert!

@MurdocX Jan, dann klopf Dir gern auf die Schulter, und ich verurteile auch niemanden, der das ohne Probleme nutzt. Aber "mit Problemen" bist da sofort am Ende jeder Möglichkeiten Und MS hat das nicht weiterentwickelt, seit sie DesktopStandard vor gut 15 Jahren übernommen haben, das ist schon auch ein Signal,

i5 mit Teams ist grenzwertig, das braucht schlicht zu viel Ressourcen... So meine Erfahrung. Im Einzelfall mußt Du die konkrete CPU vergleichen, "i5" ist natürlich etwas weit gefasst

Keiner hier weiß genau, was Du tust. Size Limit exceeded heißt nur, daß Deine Anwendung zu b***d für paged queries ist - und daß zu viele Suchtreffer für eine einzelne Antwort reinlaufen. Ich glaub ich bin in 10 Sekunden raus

Edit sagt: ^ist KEIN Platzhalter bei LDAP Queries. Das ist nur *.

Sag ich doch, es gibt halt keinen User, der "^" heißt. Und wieder hast Du einen Infoschnipsel geliefert, mit dem Dir niemand weiterhelfen kann... BTW: objectClass=user und objectClass=organizationalPerson sind auch zweierlei...

@cj_berlin Ewig grüßt das Murmeltier Ich glaub die Diskussion um "wie kann ich einen Admin einschränken" werden wir nie los.

Wird wohl keinen User geben, der "^" heißt... Ergebnis korrekt. Ernsthaft: Mit den Bruchstücken, die Du hier lieferst, kann Dir niemand helfen. Das LDAP Query Schema ist ausreichend dokumentiert, aber bei Dir klappt anscheinend schon das korrekte Zählen der öffnenden und schließenden Klammern nicht... BTW: Einen LDAP Query String kann man prima testen mit dsquery * -filter "meinLDAPFilter"

Bin bei Jan. Wenn man skripten kann, sind Skripts nach wie vor die einzige tragbare Lösung für das Zuordnen/Trennen von Laufwerken und Druckern. Wenn Du das per GPP lösen willst: Immer 2 Preferences erstellen, eine die den Drucker verbindet, eine die ihn löscht. ILT dazu "ist nicht". Und da das das Problem vermutlich noch nicht lösen wird- GPP Debug Logging aktivieren und schauen - https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555 Du hast aber die Windows-Verwaltung des Standarddruckers deaktiviert?

Ich würde dringend empfehlen, das wegzuwerfen und asap auf AppLocker umzustellen. Für diese Einstellung interessiert sich nur der Explorer... Und ja, ich weiß daß das die Frage nicht beantwortet. Aber die Ursache der Frage ist schon die falsche

Unkraut vergeht nicht? Spaß beiseite, Edgar: Wenn Du darüber reden kannst, gibt es einige hier, die sich Sorgen gemacht haben (oder noch machen). Magst Du was zu Deiner Auszeit sagen? Wenn nein, ist das für mich komplett in Ordnung... Und jetzt Licht aus, ab in die Federn! Gute Nacht, Board.

Manuell macht man da gar nichts... GPP Registry, Zielgruppenadressierung auf die Computerrolle, und der "aktuelle" PDCe bekommt die externe Zeitquelle. Oder wenn man's mit mehreren GPOs machen möchte, WMI-Filter, Win32_Computersystem.DomainRole (4=DC, 5=PDC). Damit sind dann auch FSMO-Transfers kein Thema mehr.

"Connect before logon" kennst Du? Im übrigen stimme ich den Vorrednern zu.

....und scheitern in einer gut verwalteten Umgebung dann daran, daß lokale Ausnahmen (genau wegen sowas) abgeklemmt sind

Nein, das geht nicht. Du kannst mit dem reinen Exe-Namen arbeiten, aber in Verbindung mit einem Pfad bist Du auf Umgebungsvariablen als einzigen variablen Bestandteil festgelegt. Du kannst das aber mit einem etwas "quirky" Trick dynamisch lösen Group Policy Preferences Registry und Zielgruppenadressierung. Mit der Zielgruppenadressierung kannst Du den Installationspfad in eine Variable schreiben, die Du in einem Reg-Wert verwenden kannst.

Ah, da bleibt das Licht vermutlich öfter mal aus 😘

Ich glaub ich kann das Licht ausmachen Feierabendbier ist auch schon alle, gute Nacht Board!

Das lief über's Wochenende - ich hab also leider keine Ahung Hab jetzt mal nen Perfmon drauf angesetzt (nach Dienstneustart), hätte ich auch gleich machen können... Wirklich schnell ist es immer noch nicht, aber das mag an der Anwendung liegen, die das nutzt - die ist etwas "verschachtelt" aufgebaut mit ACLs und Delegationen und etlichen Objekt-Querbeziehungen.

So, kurzes Feedback - nach einer hinreichend langen Wartezeit: Jetzt sind wir also "irgendwie" da gelandet, daß dsamain so viel Speicher braucht wie seine adamntds.dit. Eine Erklärung, warum das so lange gebraucht hat, habe ich nicht.