daabm

WDS mit ADK/MDT ist an einem Tag funktionsfähig eingerichtet. Der Feinschliff kann dann noch mal ein paar Tage dauern - oder auch Monate Dann noch WSUS mit dem WPP, und Du bist schon beinahe im Enterprise-Komfort angekommen.

Irgendwas war halt immer wichtiger... Ist bei uns genauso, noch einige k Server auf 2008R2... Irgendwann geht dann die Update-Prio nach oben, weil die Supportkosten präsenter werden

BGInfo geht, aber ich bin nicht sicher, ob das den %clientname% mitbekommt. Und beim Reconnect wird es ohnehin schwierig - oder Du machst nen geplanten Task darauf mit 30 Sekunden Verzögerung, das sollte klappen und wäre auch für mich dann die bessere Lösung.

https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/ Wenn Du dazu Fragen hast - einfach fragen ?

Das orientiert sich ganz stumpf an der GUID der CSEs - alphabetisch. Einzige Ausnahme: Registry... Und wunderbar, irgendwer hat immer schon einen Blogpost dazu geschrieben http://evilgpo.blogspot.com/2012/11/guids-guids-guids.html PS: Ob Computer oder User gewinnt, entscheidet der Implementierer. Bei mir kommt es drauf an - meistens ist es in der Tat der Computer, aber z.B. in unserer Druckerlösung gewinnt der User.

RDP bedingt interaktiv, und "nur eine Anwendung" ist halt auch eine Anmeldesitzung. Also "nein".

Ich oute mich als ahnungslos - was bitte ist ABC-Update?

Yupp, %clientname%. Und DNS sollte dann den Rest liefern können... Edit: %clientname% kannst in RDS-Sessions weder bei Logonskripts noch in geplanten Tasks beim Reconnect verwenden - die wird zu spät in die aktuelle Session gebracht. Da mußt direkt in der Registry suchen unter Volatile Environment\<Session-Nummer> Vielleicht erklärst mal, was Du vorhast?

Bin schon von Batch über VBS nach PS gewandert - InTune möchte ich mir nicht antun Aber wir sind schon wieder OT...

Welche Rechte? Lokaler Admin...

Wo ist das Problem? Die gibt's immer noch... Rechtsklick in den freien Bereich der Baumanzeige links, "Alle Ordner anzeigen". Das gibts übrigens auch schon länger

Das sieht MS leider anders - im MVP-Programm wurde die komplette GPO-Expertise letzes Jahr gekickt... "OnPremise - braucht doch keiner mehr..." BTT: Wenn die Kennwortrichtlinien nirgends außer in der DDP gesetzt sind, könnte man alternativ auch direkt per ADSIEdit die Domain Attribute bearbeiten, die wandern dann - it's magic! - in die DDP zurück.

'Meiner ist länger wie Deiner'? Und so ganz allgemein: Wenn Ihr Skripts entwerft - vermeidet Pipes (besser ForEach-Schleifen) und PS-Arrays und += (besser .NET ArrayList oder so was). Der Performancezuwachs dürfte hinlänglich bekannt sein.

Änderungen im UI macht MS bei Fixen extrem ungern, weil das alles in allen Sprachen getestet werden muß. Deaktivieren ist tatsächlich einfacher als ausbauen. Und die Kennwörter in Preferences liest Dir PowerSploit im Handumdrehen aus, das mußte also tatsächlich unterbunden werden. Edit: Funktionieren tun die Kennwörter in den Preferences übrigens nach wie vor, die Client-Seite wurde diesbezüglich nicht beschnitten. Man bräuchte also nur einen Rechner ohne MS15-025 - oder man trägt das Zeug manuell in das XML ein. Ist ausreichend dokumentiert, wie das gehen würde. Oder man schaut sich PowerSploit mal genauer an und macht da dann das gleiche, nur andersrum

MaxPWLen per DDP ist durch das dämliche UI von secedit limitiert... Das ist ne Implementierung aus W2K Zeiten, die nie aktualisiert wurde. Schon alleine der Kram mit sceregvl.inf und den zugehörigen Registry-Werten kann einem schlaflose Nächte bescheren. Wie kamen die damals auf dieses hirnrissige Konstrukt?

Für so Zeug ist nahezu immer Drittanbietersoftware verantwortlich.

Der Hersteller soll den Quatsch bleiben lassen. MSI-Pakete lassen sich mit der jeweils neuesten (OS-integrierten) Installer-Version problemlos installieren, nahezu egal wie alt sie sind.

Dürfte ein Bluescreen sein. Schalte mal den automatischen Neustart aus, konfigurere auf Full oder Kernel Dump und dann ab nach windbg Eventlogs hast Du sicher schon geprüft - oder nicht?

Ja, das ist so ungefähr wie "wenn ich von P auf D schalte, fährt das Auto. Egal ob ich einen Führerschein habe oder nicht" SCNR...

...und außerdem ist das keine INI-Datei im MS-Format, sondern "irgendwas" (Nur damit ich auch was dazu gesagt habe...) Wie @BOfH_666 schon schrub: Es gibt genügend "gute" Formate für so was, warum muß es ein derart krudes Konstrukt sein? Zudem Ihr das wohl selbst programmiert.

Das kommt erst in der nächsten Evolutionsstufe (aka "Klasse") dran Tier-Trennung ist für die meisten Admins noch relativ neu.

Abgesehen von dem, was hier schon viel diskutiert wurde (und wovon ich zugegeben wenig Ahnung habe): Ich halte ein Umfeld von 40 Rechnern/Usern ohne User-/Rechteverwaltung für grob fahrlässig, da gehört dringend ein Verzeichnisdienst dahinter. Ob der dann AD heißt oder Azure AD oder wie auch immer, egal - wie Nils schon sagte. Ich würde auch erst mal nicht konkrete Tools betrachten, sondern die organisatorische Gesamtlage...

"Das haben wir immer schon so gemacht"??? #grützebleibtgrütze Und NEIN, es geht nicht mit GPP. MS15-025 ist in Server 2016 fest eingebaut.

Wie @speer schreibt - da werden bei "Aktualisieren" nur die Dateiattribute geändert. Der INHALT ist den GPP völlig egal, und das ist auch das K.O.-Kriterium dafür - um geänderte Dateien zu kopieren, mußt Du "Ersetzen" auswählen, und dann wird halt IMMER ALLES kopiert. Völliger Unfug

Hm - IMHO ist das kein "schwarzer Bereich", sondern einfach eine dreizeilige Taskleiste. Und sich nach über 5 Wochen mal wieder zu melden - so dringend kann es dann ja nicht sein