Sunny61

Ohne jetzt den kompletten Thread gelesen zu haben, SYSPREP wurde ausgeführt?

Nimm den W11 Pro, installier dort die GPMC und pack den Rechner in eine eigene OU. Jetzt dort mit den ADMX Templates von W11 das GPO neu bauen für die OU in der nur W11 liegt.

Bei uns läuft auch Applocker, der funktioniert allderdings nur unter Enterprise und/oder Education.

Oha, da hat sich mal anderes festgesetzt, bis ich das jetzt wieder raus krieg. :) Danke.

In Computers greift normalerweise kein GPO. Teste doch einfach die Installation manuell, ohne Tool.

Es ist schon lange her, dass ich mit SRP gearbeitet habe, schau mal ob dir dieser Screenshot hilft:

Ist das ein vorbereitetes Image oder eine nackte ISO von MSFT? Ist das Sysstem up2date? Nicht dass es einen Fehleer gab, und mit einem CU schon korrigiert wurde, du das CU aber vielleicht noch nicht installiert hast. Besteht das Problem auch wenn das Computerobjekt in Computers liegen bleibt?

Hast Du auch Erzwingen und Designierte Dateitypen und Vertrauenswürdige Herausgeber konfiguriert? Schau dir diesen Artikel an: https://safepass.me/2020/12/21/implementing-software-restriction-policy/ Du hast das GPO auch auf Computerobjekte verlinkt? Keine Gruppen?

Und/oder mit der LAPS-GPO das Konto umbenennen. ;)

Das ist aber vollkommen in Ordnung. Ich glaube, Du solltest dir eine ausführliche Schulung gönnen. Mark bietet auch Workshops an und kommt zu euch ins Unternehmen.

Nur Leserechte oder auch Übernehmen? Wenn nur Lesen, dann wird auch nichts übernommen, das ist dir schon klar, oder?

Wenn Du den 'Bereich' leerst, kann das GPO nicht greifen, oder meinst Du die Sicherheitsfilterung?

Ich stelle nur in der Delegation alles ein.

Wenn ein GPO von einem Computer- oder Userobjekt verarbeitet werden soll, muss es gelesen und übernommen werden dürfen. Wer oder was ist bei dir SYSTEM? Wenn das GPO für User- und Computerobjekte ist, dann reichen die Authentifizierten Benutzer mit Lesen und Übernehmen aus. Darin sind die Computer und Benutzerobjekte enthalten. Schau dir diesen Artikel mal an: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016

Welche exakte Windows 10 Version hast du im Einsatz? Bei uns ist diese Einstellung schon seit Jahren im Einsatz: Windows-Komponenten/Remotedesktopdienste/RemoteApp- und DesktopverbindungenAusblenden Standardverbindungs-URL angeben Aktiviert Standardverbindungs-URL: https://rdsfarm.domain.tld/RDWeb/feed/webfeed.aspx Die Remoteapps gibst Du frei, das was Du machen machst, ist die Connection aktualisieren. Dazu gibt es AFAIR in der Aufgabenplanung schon etwas vorgefertigtes. Ist hier zu finden: \Microsoft\Windows\RemoteApp and Desktop Connections Update Achtung! Der Standard ist die Aktualisierung um Mitternacht, sollte man also anpassen. ;) Und AFAIR muss man sich immer zweimal anmelden, erst bei der zweiten Anmeldung erscheinen auch die RemoteApps.

Jepp, mit viel Glück kommte heute Nacht das korrigierte Update. ;)

Nein, er kann doch keinen USB-Stick anstecken, Du hast doch keinen USB-Stecker eingebaut. :)

Bei mir funktioniert das: $GetDate = (Get-Date).AddYears(-1) Write-Host $GetDate 05.10.2021 19:15:01 Du hast das Leerzeichen nach dem . im Original ganz sicher NICHT drin?

Ist es eine VM oder eine HW? Falls VM, gibt es noch einen zweiten TS mit gleicher Konfig? Hast du es denn schon mal mit einem suaberen Neustart versucht? Start > Ausführen > msconfig > ENTER > Reiter Dienste [X] Alle MS-Dienste ausblenden, die restlichen deaktivieren, Neustart. Jetzt nochmal eine Installation probieren.

Steht auch sehr gerne in den Beschreibungen zu den Sicherheitsupdates, dass man die Updates NICHT über WU installieren soll. Immer Rechtsklick > Ausführen als Administrator oder eine cmd mit Adminrechten öffnen und darüber das Update installieren.

Der DomAdmin sollte dafür natürlich NICHT verwendet werden. LAPS könnte man z.B. dafür einsetzen.

DOTX ist aktuell für eine Vorlage OHNE Makros, mit Makros ist es ein DOTM. So ein DOTx wird beim Start von Word mit aufgerufen, und erst im Bedarfsfall die DOTM, so kenn ich das. Aber nicht von diesem Hersteller. ;) @Emmermacher Wie wär es mit dem Signieren von DOTM-Dateien? Ein Zertifikat aus der, falls vorhanden, eigenen CA für CodeSignierung würde schon reichen, dann kannst Du auch Office Dateien mit Makros im Netz haben. Per GPO gibst Du vor dass nur Dateien mit Makros ausgeführt werden dürfen, die signiert sind.

Es kann gleich sein, muss aber nicht. Evtl. greift MSFT über den SCCM in den WSUS ein, die normalen WSUS-Installationen bleiben davon unberührt. Am besten mal ein Ticket bei MSFT eröffnen, dann solltest Du Antwort bekommen.

Es gab in den September Updates doch einen Fehler in Bezug auf GPOs, evtl. wurden die Updates deshalb zurück gezogen und abgelehnt.

Was spricht gegen eine geplante Aufgabe? Bei Anmeldung Benutzer A Script ausführen.