daabm

,,,und hängt auch extrem von den Randbedingungen ab. PoSh-Einzeiler können vieles besser erledigen als obskure Batch-Konstrukte. Und ja, ich kann Batch ?

2008R2 als Member Server ist technisch identisch mit Windows 7. Nur war da RSAT immer integraler Bestandteil und nicht wie bei Win7 ein separater Download...

Ein DC soll überhaupt nicht ins Internet, weder direkt noch über einen Proxy. Die MS Baselines blockieren explizit alle bekannten Browser, und Updates kommen per WSUS/SCCM. In einer reinen Bastelumgebung kann man sich darüber natürlich hinwegsetzen, in einer produktiven Umgebung nicht. Dein simuliertes Labor stufe ich wie eine produktive Umgebung ein (soll ja wohl produktionsnah sein), das darf also nicht ins Netz.

Weil sie mit dem Leiterwagen seit Jahrhunderten gut zurechtkommen - "das haben wir immer schon so gemacht, das machen wir weiterhin so"... SCNR

Geht auch anders, wenn man die IEM-CSE aus den gPCUserExtensions rauswirft und den Sysvol-Folder dazu dann einfach löscht. Hab ich im Technet mal was dazu geschrieben... https://social.technet.microsoft.com/Forums/ie/en-US/3f815c16-95ef-4412-81a3-4bf48fee556a/group-policy-results-event-7016-error?forum=winserverGP https://social.technet.microsoft.com/Forums/ie/en-US/c45396fc-5e41-4bd9-a90a-bf8cc12e4287/what-is-gpcuserextensionname?forum=winserverGP

Wie Zahni schrieb... Und dann noch dran denken, daß jedes OS teilweise eigene ADMX mitbringt - Server hat andere als Client - die mußt dann auch noch reinkopieren. Ist nicht so ganz trivial, wie das am Anfang scheint...

c) mag ich am liebsten. In die Kategorie gehören gerne auch ältere Personen in der Bekanntschaft. Ich bin froh, daß meine Mutter verstanden hat, was für ein Risiko "klick mich" bedeutet, die fragt inzwischen tatsächlich vorher aktiv nach ? Das würde ich mir bei vielen Bürokollegen auch wünschen...

Dann achte bitte darauf, daß Du in deinem PolicyDefinitions immer die aktuellsten Templates hast. Und daß Du auch von einem Server die reinkopierst - falls Du mal GPOs für Server machen willst. Die haben teilweise andere als Clients.

Sind das Shortcuts (lnk-Dateien) oder echte Symlinks? Bei Shortcuts ist der Explorer schuld...

Für einen File System Watcher braucht's noch nicht mal Powershell, das geht schon seit Windows 2000 über WMI Event Consumer

Das wird schwierig, da mußt Du die Dateinamen mit %~n0 extrahieren, mit "for" splitten und dann mit "set" trimmen und wieder zusammenbauen... Das sieht bestimmt lustig aus

Was da hilft, ist Looopback "Merge". Oder gekonntes Einsetzen der Group Policy Preferences... http://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html Der Hinweis von @testperson gilt natürlich trotzdem. Mit GPOs kann man Funktionen im Windows-UI sperren. Viele davon aber halt nur im UI, nicht in den zugehörigen APIs. "Shutdown" immerhin ist ein Privilege, das man wegnehmen kann https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/shut-down-the-system

Frag doch mal was, dann antworte ich Dir und Du kannst selbst forschen

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?

Ich kenn das mit dem blinkenden Cursor irgendwie, krieg's aber nicht mehr aus der Tiefe der Erinnerung hochgeholt... So aus dem Bauch würde ich sagen "Grafiktreiber abgestürzt". RDP geht ja nicht über den HW-Treiber...

Gar nicht. Finanzbranche - DSGVO - Cloud-Daten in USA - NoGo...

Nein. IE-Zonen gehen auf Hostnamen:Port und Protokolle, nicht auf Unterpfade... http://evilgpo.blogspot.com/2016/03/internet-explorer-site-to-zone.html

Laufen lassen, jupp. Oder einfach per Zeitschaltuhr hart aus- und wieder einschalten. Dürfte auch einen SLA von 99,99% erreichen... So selten, wie sich Windows bei Resets inzwischen noch verschluckt

Onedrive ist doch auch nur ne Art "Homelaufwerk" - und zeig mir mal den, der da wirklich 1 TB liegen hat... Das kannst gut 10x überprovisionieren. Und da das alles ja auch noch "in der Cloud" liegt, reicht dem Sparfuchs als Storage ein JBOD Andere Frage: Datenschutz - wie sieht's aus, wenn Unternehmensdaten in USA liegen? Und der Datenabfluß so einfach gemacht wird wie es nur geht?

Der Hinweis auf die IE-Zonenzuordnung ist korrekt. So dämlich das auch ist, aber der Explorer greift auf die auch zurück. Alles, was nicht mindestens in der Intranet-Zone liegt, hat schlechte Karten...

@Weingeist Diskpart hatten wir auch schon - das sieht das Laufwerk nicht mal... Genauso wenig wie Powershell.

Ein KMU hat oft keine "IT-Sicherheit" auf dem Budget - es "läuft ja"... Und ja, ich finde den Thread interessant Wegen "RDP nicht offen" - das läßt sich doch von außen leicht durch nen Portscan auf den Router rausfinden, was da so antwortet. Und in erster Linie geht es hier auch nicht um Spott und Häme (klar wurden gravierende Fehler gemacht), sondern darum, dem (zahlenden) Kunden zu helfen.

# for hex 0x34 / decimal 52 : ERROR_DUP_NAME winerror.h Was dafür die Ursache ist, wird Dir per Forum nur schwer jemand beantworten können. Gerät mal im Gerätemanager löschen und mit F5 eine Neuerkennung starten wäre der erste Ansatz.

Trägt zwar nichts mehr zur Lösung bei, aber: Daß die Ramdisk von IMDisk sich komisch verhält, hattest Du ja weiter oben schon herausgefunden. Das ist "irgendwie" keine normale Disk, wie sie Windows erwartet.

Ganz unten, Wiederverwendung - Regelmäßiges Zeitintervall und Bestimmte Zeiten. Mistige Übersetzung von "Recycling"