daabm

Siehe Hinweis von @Sunny61, das würde ich als erstes umsetzen. Und "Lokale Anmeldung" an Clients läßt sich in den Eventlogs von Domain Controllern NICHT überwachen, das muß clientseitig passieren. Einfachstes Beispiel für "warum geht das nicht": Cached Credentials.

Ja, geht. Deaktiviere die Scripts-CSE und schmeiß die zugehörigen Reg-Keys weg, dann wird da nichts mehr ausgeführt. Oder aktiviere Loopback Replace, aber dann mußt mit allen User-GPOs ziemlich aufpassen. Oder verweigere dem entsprechenden Terminal Server das Lesen dieser einen GPO, dann wird sie für Benutzer nicht mehr angewendet (MS16-072...) BTW: Ich würde nie auf die Idee kommen, ein funktionierendes Mapping-Skript für Laufwerke und Drucker durch diese grützige GPO-Methode über Preferences zu ersetzen. Nur per Skript hast Du Möglichkeiten, auch auf Fehlersituationen zu reagieren. Aber auf Servernamen prüfen? Ich würde ja auf den Sitenamen gehen, scheint mir irgenwie logischer

Wäre noch interessant, was "Drucker per GPO" genau bedeutet. Wenn GPP, dann XML bearbeiten und einfach den Servernamen ersetzen. Wenn mit dieser albernen Druckerbereitstellung, dann hab ich keine Ahnung - das hab ich nie benutzt, und am besten wäre es auch nie auf den Markt gekommen

Dann würde ich mich mal mit den Domain Admins über eine konsistente UAC-Konfiguration per GPO unterhalten - dann weiß man, was man hat.

Auf was ich rauswollte: Im Insider-Programm habe ich ja permanent eine Eval-Version. Die ist 90 Tage gültig, normalerweise kommt alle 7 Tage eine neue. Bin ich jetzt korrekt lizensiert, wenn ich da gar keine Lizenz habe? Weil mein Privat-PC ist ja sowieso ein permanentes Experiment und nicht für produktive Tätigkeiten gedacht...

Dann prüfe doch mal, welche Unterschiede bezüglich UAC da bestehen (secpol.msc reicht) - und wenn es welche gibt, wo sie herkommen.

Ich bleibe bei "oft". Manchmal hilft der große Hammer besser Der ist zwar unstrukturiert, hat aber eine klar definierte Richtung. Nur interessiert es den Hammer nicht, was sich in dieser Richtung befindet, das muß man dann halt rechtzeitig da reinschieben

Und? Immer der gleiche Panik-Punkt: "Oh Gott, man kann es nicht rückgängig machen, mein AD geht daran kaputt"... So alt wie falsch.

Genau das meint er. Die Aufpreise bzw. Grundpreise, die diverse Anbieter für "Enterprise EPS Lösungen" verlangen, sind IMHO rausgeworfenes Geld, weil sie vor nahezu nichts effektiver schützen als es der Defender OOBE schon macht. Application Whitelisting und Makro Security ist deutlich wichtiger. Und das Geld für die EPS Suite würde ich eher in eine gute Mail GW/Scanner Lösung investieren. Und soweit ich weiß, wurde MS dazu verdonnert, die Scanner-API so zu gestalten, daß Drittprodukte den Defender quasi rauswerfen können. Ist ja iwie auch sinnvoll - ein Produkt reicht. Nur muß es nicht das teure sein...

Die Frage zu 7 hätte ich auch - wie ist das mit dem Insider-Programm? Da habe ich ja quasi permanent eine Eval auf dem Rechner... Ist schon Grütze, wie intransparent MS das gestaltet.

Boah war das wirr SCNR - aber oft hilft strukturiertes Vorgehen. Und auch wenn das hier jetzt schon durch ist, da hätte ich viel dazu sagen können. Btw könnte es noch, wenn noch Fragen offen sind.

UAC und so ist Dir bekannt? Und so Schmankerl wie UnfilterAdministratorToken?

Defender + Applocker = Clientseitig alles erledigt. "Enterprise Endpoint Protection" ist IMHO Schlangenöl.

Zeig mir mal den User, der auf seinem privaten PC dieses Suchfeld nicht hat... "So nah wie möglich am gewohnten" hat sich schon oft bewährt, und was zuhause läuft, ist immer ein OOBE-Windows.

Weil ich es nicht verstehe - was ist dabei der Nutzen? Also arbeiten die Leute jetzt schneller, kommen sie mit dem Startmenü besser zurecht oder was verbessert sich dadurch? (Ich weiß, daß das nichts zum Thema beiträgt, aber mich interessiert immer die Motivation anderern, Dinge zu tun die ich selbst nicht nachvollziehen kann )

Try/Catch sollte helfen: https://stackoverflow.com/questions/2978291/on-error-resume-next-in-javascript

@Gu4rdi4n damit wir vom gleichen reden - meinen wir dieses Feld? Dann ist das doch exakt das, was bei "Win" (bzw. Strg-Esc) sowieso den Fokus hat - wozu ausblenden? Oder ich liege wieder mal komplett daneben und Ihr meint was komplett anderes

[OT] Bei den RDS-Usern hat das mit der lokalen Gruppe NICHT funktioniert, das muß tatsächlich die lokale RDS-Usergruppe sein. Warum auch immer, man kann keine zweite/andere computerlokale Gruppe für RDS berechtigen... Bei allen anderen Benutzerrechten funktioniert's.[/OT]

Ne - da bin ich seit C64 raus - wobei peek/poke schon nice war. Ich mag Interpretersprachen, die man einfach so lesen und runterschreiben kann

Klar funktioniert das, warum sollte es nicht? Einfach ( ) drum rum...

Warum um alles in der Welt will man das??? Sorry, da fehlt mir komplett das Verständnis für die Anforderung...

Dann kann ich dir per Forum nicht mehr helfen. "Eigentlich" ist es ganz einfach - irgendwelche Informationen fehlen hier.

Klingt mehr nach DNS-/Firewallproblem... Kann der Domainname aufgelöst werden? Geht Ping? Geht Portqry/Test-Netconnection auf die AD-relevanten Ports? (88,389,445 als absolute Basis) Fragen über Fragen

Okee - ich steck zu tief drin, ich nehm ja auch nie -Filter, sondern immer -LDAPFilter

Änder sie zweimal - einmal zu "neu falsch", dann zurück zu "alt richtig". Könnte klappen. Ich weiß nicht genau, wie sich FR merkt, welche Settings/Updates es verarbeiten muß, das Zeug ist sowas von Legacy.... Und wie gesagt, wir haben immer nach %homeshare%%homepath%xyz umgeleitet, da hast Du solche Probleme nicht. Ah - vielleicht hilft es, das hier zu aktivieren: (Mist - GPSearch.azurewebsites.net ist grad mal wieder kaputt - es gibt für jeden GPO-Bereich ne Einstellung "ohne Änderungen verarbeiten", das kannst für FR mal aktivieren.)