daabm

certutil -addstore root <Dateiname> Dir fehlen ja vermutlich nur die Root-CA und ggf. die Sub-CAs in Deinem lokalen Store, dann klappt das auch so.

Das nennt sich "Connect before Logon"... Und in meiner Erfahrung werden User-GPOs inkl. Skripts dann ganz normal ausgeführt.

Und um mal PowerShell komplett auszublenden: Schau Dir dringend mal den USBDLM von Uwe Siebert an. Der macht vieles schon automatisch, was Du gerade mühsam nachprogrammierst. Oft hilft es, nicht erst mit dem eigenen Lösungsansatz in ein Forum zu gehen, sondern direkt mit dem zu lösenden Ursprungsproblem Ich zitiere nur mal einen Absatz aus der Hilfe: [OnArrival] open="%windir%\explorer.exe" %root% So wird z.B. beim Anschließen eines USB-Laufwerks der Windows-Explorer gestartet, %root% ersetzt USBDLM dabei durch das Stammverzeichnis des angeschlossenen Laufwerks, z.B. U:\. Das macht imho genau das, was Du suchst. Und statt explorer.exe kann da natürlich auch powershell.exe -file xyz.ps1 -newdrive %root% stehen - Du verstehst meinen Gedanken? Du kannst aber gerne nativ in PowerShell weitermachen - ich würde da aber nur ungern unterstützen, weil das quasi "von 0 auf 100 in 1 Sekunde" ist. Eigentlich bräuchtest Du einen PnP-Eventhandler...

Hm - wenn ich das richtig verstehe, soll aus einem Raid-5 mit 6 Platten ein neues Raid-5 mit nur noch 5 Platten werden? Das wird nicht klappen... Die Parity-Daten sind ja gleichmäßig über alle Platten verteilt. Ich würde in dem Fall eh sagen: 2 6 TB Platten kaufen, eine aus dem Raid ziehen, neue Platte rein, Daten umkopieren, altes Raid stilllegen und neues Raid-1 erstellen. Dann hab ich noch - immer wieder gerne - ne ganz verrückte Idee: Besorg Dir 3 USB-Platten (groß genug müssen sie sein, aber bei nem 1,2 TB Volumen... ok, das geht), richte die als SW Raid-5 ein (oder Storage Spaces), kopiere alle Daten rüber, schwenke die Laufwerksbuchstaben, bau das Raid neu auf und dann wieder rückwärts. Kein Witz, das funktioniert tatsächlich - hab ich mit nem Rudel von 7 USB-Platten schon mal durchgezogen. Oder noch besser: Neuen Server daneben stellen - wenn die Platten 300 GB haben, dann hat der Rest ja auch schon einige Jahre auf dem Buckel. "Inplace" bin ich bei @Nobbyaushb, das wäre mir zu heiß. Ich hätte da gerne mehr Redundanz.

@Sunny61 Deshalb ja auch die Frage nach "reiner Fileserver". Ich hab den ganzen privaten Zoo inplace auf 2019 gehoben - HyperV, WSUS/WDS, File, CA. Keine Probleme erkennbar. Was vorher gut lief, wird auch hinterher gut laufen. Und was vorher schlecht lief - da hast Du natürlich recht - wird hinterher nicht besser laufen Und jedes W10-Update (naja, fast jedes) ist auch ein Inplace Update - mit dem ganzen Anwendungs- und Game-Rudel, das auf W10 privat so unterwegs ist. Größere Probleme scheint es da schon länger auch nicht mehr zu geben. Die OS-Basis ist die gleiche. Deshalb bin ich da inzwischen sehr entspannt.

Ahem - wenn das wirklich nur Fileserver sind: Inplace Upate - völlig problemlos.

Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern. Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird).

Mir sind das hier definitiv zu viele Vollzitate und zu wenige zielgerichtete Einzelprobleme.

"Geht nicht" ist wie immer eine sehr umfangreiche Fehlerbeschreibung...

Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. Ist zwar auch Technik aus dem letzten Jahrhundert, aber nicht ganz so anfällig

Alles vermutlich wie immer eine Geldfrage - aber das Whitelisting "überhaupt" mal an den Start zu kriegen, ist schon ein riesen Schritt. Und die Bypasses sind - auf den ersten Blick - ja auch nur löchrige Default Rules. Für die Verified ones gibt es keinen Grund, das für Nicht-Administratoren nicht einfach zu sperren.

Warum redest Du immer von 2 XML? Da gibt es nur eines... Und in Deinem Disk Setup fehlt mir WillWipeDisk. Ansonsten hab ich ja oben schon mal geschrieben, daß ich die Partitionierung nicht dem Unattend überlassen würde. Und von @MurdocX hast das vollständige Disk Setup bekommen, in dem übrigens WillWipeDisk enthalten ist. Es sind vermutlich immer diese Kleinigkeiten - "vollständige" Lösungen nicht vollständig umzusetzen.

Ja aber das dauert auch nicht nur 5 Minuten, das so zu bauen, daß es je nach Zielgruppe in einem AD mit über 100k Computeraccounts gut funktioniert... Und auch bei uns sind die PS-Profis gegenüber den PP-Profis leider in der Unterzahl... Power haben ja beide, aber die Shell nur die ersteren, die zweiteren müssen sich mit dem Punkt zufrieden geben

Ich kenn da jetzt keinen Importer, und bisher hat mir leider die Zeit gefehlt, mich mal in das PS-Interface reinzufuchsen - das ist leider recht aufwändig gestaltet, weil sie darin halt alles abdecken wollten... Und dafür brauch ich es dann wieder zu selten, weil sich "meine" Server nicht so oft ändern. Wäre natürlich ein Traum, da ein Import-Framework zu haben

Zum Glück muß ich das nicht verstehen... Aber ok.

Ich würde ja sagen "Windows 7 Umgebung abschalten". Support ist beendet...

Oha - kann mich mal jemand aufschlauen? Ich kannte das so, daß ein Hostkey für das zu aktivierende OS aktiviert werden muß auf dem KMS...

....und ist der Key SICHER ein KMS-Key?

Du könntest Dich auch mal näher mit der desktop.ini beschäftigen - https://docs.microsoft.com/en-us/windows/win32/shell/how-to-customize-folders-with-desktop-ini

Der Explorer zeigt an, was in der desktop.ini steht - die realen Pfade siehst Du nur in der Adressleiste oder auf der Befehlszeile.

Du kannst statt der vielen Screenshots auch einfach den PE-Abschnitt aus deinem Unattend.xml posten - das erhöht für uns die Lesbarkeit ungemein. Mit den Screenshots komme ich eher durcheinander Und ich würde die Partitionierung NIE durch das unattend machen lassen. Entweder durch ein eingebundenes Skript im WPEInit oder von Hand, aber nicht durch unattend. Das haben sie nämlich IMHO besch**** implementiert. Bei uns lief's am Ende darauf raus, daß unser Deployment Agent in das PE-Image intergiert ist und dort dann direkt als erste Sequenz die Partitionierung per Skript bekommt.

Die 30 Sekunden wären ein typischer Timeout - von was auch immer. Netzwerktrace am Client schon gemacht?

Nachdem noch keiner sonst geantwortet hatte: Mir wäre nicht bekannt, daß man die Brennfunktion redirecten könnte - "Brennen" ist in dem Sinne keine Laufwerksfunktion, die von der Redirection unterstützt wird. Bestimmt gibt es netzwerkfähige Lösungen dafür, aber die Ursprungsfrage für mich wäre: WARUM muss der User brennen? Was ist das Ziel dieser produzierten Scheibe? Und wie könnte man das anders lösen?

Bitmasken sind heutzutage nicht mehr sooo bekannt - man hat ja Speicher ohne Ende, da kann man doch alles auch individuell speichern

Wenn Du in verschiedenen Netzen steckst, dann hast Du auch verschiedene IPs (lokal und remote). Über die kannst Du die FW-Regeln wunderbar filtern (Registerkarte "Bereich"), funktioniert deutlich zuverlässiger als diese albernen Profile.