daabm

Warum fragt er nicht selbst? Dieses Forum zu bedienen ist ja keine Raketenwissenschaft, und - meistens - sind hier auch alle recht freundlich

In der Tat - soll es für den Rechner gelten oder für den User?

Ich kapier das mit "SID maskieren" schon nicht... Service-SIDs sind ja nix besonderes, sondern nur die Übersetzung des Service-Namens. Da gibt's nichts zu maskieren. Aber vermutlich versteh ich's komplett falsch, da eh nicht...

Vielleicht hilft da https://michlstechblog.info/blog/windows-10-windows-update-search-returns-error-0x8024500c/ um einen Lösungsansatz zu entwickeln.

Der Frage schließe ich mich direkt an - und zitiere dann mal @NilsK - Was ist denn die "ursprüngliche" Anforderung? Grundsätzlich kann man Freigaben per GPO einrichten - aber man kann sie nicht konfigurieren. Keine Share-Berechtigungen, keine NTFS-Berechtigungen, einfach nix. Das läuft also unter #grütze.

Fehlerquelle #1 bei AD: DNS Fehlerquelle #2: Fehlende TCP-Erreichbarkeit (Firewalls) Dann kommt ganz lange nichts mehr Wenn Du später Eventlog-Einträge erklärt haben möchtest, poste bitte nicht nur die Event-ID - die sagt den wenigsten was. Nimm einfach das ganze Event, ggf. um sensitive Infos bereinigt.

Was hast für Ansprüche an "Kompatibiliät"? Laufen wird 2019 auf jeden Fall, wenn irgendwas ab 2008 läuft. Und die Kernel-Basis von 2019 (inkl Treiberarchitektur und vielem innerem Gerümpel) ist identisch mit Win10 1809 (oder war das noch ne 17xx? Egal, W10 jedenfalls). Hier hat's mit 2019 überall geklappt, auch auf HW, die ursprünglich mit 2012R2 neu angeschafft wurde. Ist glaub sogar der gleiche Xeon drin Nur mehr RAM.

Siehe Hinweis von @Sunny61, das würde ich als erstes umsetzen. Und "Lokale Anmeldung" an Clients läßt sich in den Eventlogs von Domain Controllern NICHT überwachen, das muß clientseitig passieren. Einfachstes Beispiel für "warum geht das nicht": Cached Credentials.

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt. Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen. Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...) BTW: Ich würde nie auf die Idee kommen, ein funktionierendes Mapping-Skript für Laufwerke und Drucker durch diese grützige GPO-Methode über Preferences zu ersetzen. Nur per Skript hast Du Möglichkeiten, auch auf Fehlersituationen zu reagieren. Aber auf Servernamen prüfen? Ich würde ja auf den Sitenamen gehen, scheint mir irgenwie logischer

Wäre noch interessant, was "Drucker per GPO" genau bedeutet. Wenn GPP, dann XML bearbeiten und einfach den Servernamen ersetzen. Wenn mit dieser albernen Druckerbereitstellung, dann hab ich keine Ahnung - das hab ich nie benutzt, und am besten wäre es auch nie auf den Markt gekommen

Dann würde ich mich mal mit den Domain Admins über eine konsistente UAC-Konfiguration per GPO unterhalten - dann weiß man, was man hat.

Auf was ich rauswollte: Im Insider-Programm habe ich ja permanent eine Eval-Version. Die ist 90 Tage gültig, normalerweise kommt alle 7 Tage eine neue. Bin ich jetzt korrekt lizensiert, wenn ich da gar keine Lizenz habe? Weil mein Privat-PC ist ja sowieso ein permanentes Experiment und nicht für produktive Tätigkeiten gedacht...

Dann prüfe doch mal, welche Unterschiede bezüglich UAC da bestehen (secpol.msc reicht) - und wenn es welche gibt, wo sie herkommen.

Ich bleibe bei "oft". Manchmal hilft der große Hammer besser Der ist zwar unstrukturiert, hat aber eine klar definierte Richtung. Nur interessiert es den Hammer nicht, was sich in dieser Richtung befindet, das muß man dann halt rechtzeitig da reinschieben

Und? Immer der gleiche Panik-Punkt: "Oh Gott, man kann es nicht rückgängig machen, mein AD geht daran kaputt"... So alt wie falsch.

Genau das meint er. Die Aufpreise bzw. Grundpreise, die diverse Anbieter für "Enterprise EPS Lösungen" verlangen, sind IMHO rausgeworfenes Geld, weil sie vor nahezu nichts effektiver schützen als es der Defender OOBE schon macht. Application Whitelisting und Makro Security ist deutlich wichtiger. Und das Geld für die EPS Suite würde ich eher in eine gute Mail GW/Scanner Lösung investieren. Und soweit ich weiß, wurde MS dazu verdonnert, die Scanner-API so zu gestalten, daß Drittprodukte den Defender quasi rauswerfen können. Ist ja iwie auch sinnvoll - ein Produkt reicht. Nur muß es nicht das teure sein...

Die Frage zu 7 hätte ich auch - wie ist das mit dem Insider-Programm? Da habe ich ja quasi permanent eine Eval auf dem Rechner... Ist schon Grütze, wie intransparent MS das gestaltet.

Boah war das wirr SCNR - aber oft hilft strukturiertes Vorgehen. Und auch wenn das hier jetzt schon durch ist, da hätte ich viel dazu sagen können. Btw könnte es noch, wenn noch Fragen offen sind.

UAC und so ist Dir bekannt? Und so Schmankerl wie UnfilterAdministratorToken?

Defender + Applocker = Clientseitig alles erledigt. "Enterprise Endpoint Protection" ist IMHO Schlangenöl.

Zeig mir mal den User, der auf seinem privaten PC dieses Suchfeld nicht hat... "So nah wie möglich am gewohnten" hat sich schon oft bewährt, und was zuhause läuft, ist immer ein OOBE-Windows.

Weil ich es nicht verstehe - was ist dabei der Nutzen? Also arbeiten die Leute jetzt schneller, kommen sie mit dem Startmenü besser zurecht oder was verbessert sich dadurch? (Ich weiß, daß das nichts zum Thema beiträgt, aber mich interessiert immer die Motivation anderern, Dinge zu tun die ich selbst nicht nachvollziehen kann )

Try/Catch sollte helfen: https://stackoverflow.com/questions/2978291/on-error-resume-next-in-javascript

@Gu4rdi4n damit wir vom gleichen reden - meinen wir dieses Feld? Dann ist das doch exakt das, was bei "Win" (bzw. Strg-Esc) sowieso den Fokus hat - wozu ausblenden? Oder ich liege wieder mal komplett daneben und Ihr meint was komplett anderes

[OT] Bei den RDS-Usern hat das mit der lokalen Gruppe NICHT funktioniert, das muß tatsächlich die lokale RDS-Usergruppe sein. Warum auch immer, man kann keine zweite/andere computerlokale Gruppe für RDS berechtigen... Bei allen anderen Benutzerrechten funktioniert's.[/OT]