daabm

Nachdem das der einzige DC ist - kopier Sysvol per Robocopy /xj auf ne USB-Platte (reicht völlig, ist aber eigentlich unnötig) und mach, was in Step 2 steht. Was nutzt es Dir, den "neuen" DC zu bearbeiten, wenn der alte nicht replizieren will?

Um das mal anders zu formulieren: Der Trigger ist zwar "Bei Anmeldung eines Benutzers", aber der ausführende User ist SYSTEM. Hat der Computer Zugriff auf den Share? Logging ist wie immer alles... Und Deine Screenshots sind inkonsistent. Im ersten steht als Aktion "Aktualisieren", im letzten "Ersetzen". Beides führt übrigens zu größerem Chaos, wenn im Task ein Ausführungs-Delay konfiguriert ist (was Du leider nicht gezeigt hast). Und die Historie des Tasks könntest Du auch mal prüfen

Wenn der kein DC ist, dann lösch ihn da einfach raus. Niemand weiß genau, wie Du Metadata Cleanup gemacht hast, aber das Bereinigen von Sites und Services gehört da mit dazu

Ich bin kein Exchange- oder Outlook-Profi. Aber das ganze klingt sehr nach "das haben wir immer schon so gemacht, das wollen wir weiter so machen". In den Antworten des TO finde ich keinerle Bereitschaft, über Alternativen welcher Art auch immer nachzudenken. Ich glaube nicht, daß dieser Thread ein befriedigendes Ende findet.

Die fertige Implementierung gibt's hier: http://evilgpo.blogspot.com/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html

Ich hatte auch mal so ne selbst entwickelte Idee, die nannte sich Durable Eccliptic Programming Principle - kurz DEPP

Ich werfe noch DFSN in den Ring - ich würde heute in einem Netz niemals mehr eine Freigabe serverbasiert machen... Mit DFSN kannst Du den (oder die) Server darunter später beliebig umbenennen, für die User ändert sich dann aber gar nichts. Nur so als Gedanke...

Oops- AMSI? Das Anti Malware Scan Interface meinst Du vermutlich nicht, und Amsi Kern auch nicht. Was dann? (Ich gebe zu - kalt erwischt... Oder vertippt )

Wegen der Vererbungsmeldung: Looback aktiviert? Dann kommen User-GPOs plötzlich aus der Computer-OU

Ja, mein Post hilft Dir da weiter. Die Report-Engine von GPMC unterstützt IEAK weiterhin, aber in GPEdit ist die seit dem Verschwinden von IE10 nicht mehr vorhanden. Genau genommen ist das ein MMC-Snapin, das halt nicht mehr vorhanden ist. Daher siehst Du es noch, kannst es aber nicht mehr bearbeiten. PS: So Zeug hat in der Default Domain Policy nix verloren, aber das wäre ein Thema für einen neuen Thread

Iwo, Batch kann doch jeder Nimm nen Menge Lochkarten und leg sie links auf den Schreibtisch. Dann ziehst Du die unterste raus und legst sie nach rechts. Das machst Du, bis links keine mehr sind - schon hast Du den Stapel verarbeitet... ?

,,,und hängt auch extrem von den Randbedingungen ab. PoSh-Einzeiler können vieles besser erledigen als obskure Batch-Konstrukte. Und ja, ich kann Batch ?

2008R2 als Member Server ist technisch identisch mit Windows 7. Nur war da RSAT immer integraler Bestandteil und nicht wie bei Win7 ein separater Download...

Ein DC soll überhaupt nicht ins Internet, weder direkt noch über einen Proxy. Die MS Baselines blockieren explizit alle bekannten Browser, und Updates kommen per WSUS/SCCM. In einer reinen Bastelumgebung kann man sich darüber natürlich hinwegsetzen, in einer produktiven Umgebung nicht. Dein simuliertes Labor stufe ich wie eine produktive Umgebung ein (soll ja wohl produktionsnah sein), das darf also nicht ins Netz.

Weil sie mit dem Leiterwagen seit Jahrhunderten gut zurechtkommen - "das haben wir immer schon so gemacht, das machen wir weiterhin so"... SCNR

Geht auch anders, wenn man die IEM-CSE aus den gPCUserExtensions rauswirft und den Sysvol-Folder dazu dann einfach löscht. Hab ich im Technet mal was dazu geschrieben... https://social.technet.microsoft.com/Forums/ie/en-US/3f815c16-95ef-4412-81a3-4bf48fee556a/group-policy-results-event-7016-error?forum=winserverGP https://social.technet.microsoft.com/Forums/ie/en-US/c45396fc-5e41-4bd9-a90a-bf8cc12e4287/what-is-gpcuserextensionname?forum=winserverGP

Wie Zahni schrieb... Und dann noch dran denken, daß jedes OS teilweise eigene ADMX mitbringt - Server hat andere als Client - die mußt dann auch noch reinkopieren. Ist nicht so ganz trivial, wie das am Anfang scheint...

c) mag ich am liebsten. In die Kategorie gehören gerne auch ältere Personen in der Bekanntschaft. Ich bin froh, daß meine Mutter verstanden hat, was für ein Risiko "klick mich" bedeutet, die fragt inzwischen tatsächlich vorher aktiv nach ? Das würde ich mir bei vielen Bürokollegen auch wünschen...

Dann achte bitte darauf, daß Du in deinem PolicyDefinitions immer die aktuellsten Templates hast. Und daß Du auch von einem Server die reinkopierst - falls Du mal GPOs für Server machen willst. Die haben teilweise andere als Clients.

Sind das Shortcuts (lnk-Dateien) oder echte Symlinks? Bei Shortcuts ist der Explorer schuld...

Für einen File System Watcher braucht's noch nicht mal Powershell, das geht schon seit Windows 2000 über WMI Event Consumer

Das wird schwierig, da mußt Du die Dateinamen mit %~n0 extrahieren, mit "for" splitten und dann mit "set" trimmen und wieder zusammenbauen... Das sieht bestimmt lustig aus

Was da hilft, ist Looopback "Merge". Oder gekonntes Einsetzen der Group Policy Preferences... http://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html Der Hinweis von @testperson gilt natürlich trotzdem. Mit GPOs kann man Funktionen im Windows-UI sperren. Viele davon aber halt nur im UI, nicht in den zugehörigen APIs. "Shutdown" immerhin ist ein Privilege, das man wegnehmen kann https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/shut-down-the-system

Frag doch mal was, dann antworte ich Dir und Du kannst selbst forschen

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?