Sunny61

Und damit diese neue Gruppenmitgliedschaft greift, ist ein Neustart des Computers fällig. Bei den Benutzern ist ein Ab- und Anmelden erforderlich. Weshalb steht dein Benutzerkonto drin? Und weshalb führst Du einen Installer aus? Dieses Konstrukt ist mehr als undurchsichtig, deshalb bin ich raus.

Beschreib doch anhand einer Anwendung genau was Du wann machst, einstellst und verweigerst. Evtl. kann ich das nachstellen.

Welche Art von Gruppen verwendest Du dafür? Lokale Gruppen Domänenlokale Gruppen Oder evtl. verschachtelt?

Such doch mal nach dem Usernamen an einem der Rechner, an dem das Problem aufgetreten ist, könnte ja sein, dass der irgendwo in der Registry steht.

Ich kenne das nur wenn die fertige Clientinstallation geklont worden ist und kein SYSPREP zum Einsatz kam, dann wurde der User immer als der User angezeigt, der die Datei in Benutzung hatte.

Das Office auf den Rechnern wurde installiert/aktiviert, ist das Konto dort evtl. im Spiel?

Schon klar, das gibt es überall. ;) Wenn es Programme gibt, wie FiBu oder Personalprogramme, dann sollten die auch nur dort installiert werden, wo sie auch genützt werden dürfen und nicht out of the Box überall. Oder man stellt die Programme den Anwendern über einen RemoteApp Server zur Verfügung, dabei kann man sehr gut über Benutzergruppen filtern.

Alles was in %windir%, %programfiles% und %ProgramFiles(x86)% enthalten ist, ist automatisch erlaubt. Denn nur dorthin kann ein Admin etwas installieren. So sind automatisch alle Anwendungen oder ausführbaren Dateien außerhalb nicht erlaubt. Damit kann man schon sehr viel erschlagen. D.h. ihr habt in der Softwareverteilung nur 1 Image vorgesehen mit allen Programmen? Falls ja, dann sollte man an dieser Stelle den Prozess überdenken. Oder über NTFS-Berechtigungen nachdenken die dann auf die entsprechenden Programme wirken. Wenn das Gruppenberechtigungskonzept sehr durchdacht ist, muss der User nur in wenige Gruppen eingefügt werden, um die entsprechenden Berechtigungen zu bekommen. https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Und daraus das Bild ganz am Ende des Artikels beachten. ;)

Das kann man, wie von zahni angesprochen, aus Word oder jeder Anwendung heraus machen. Aus Word lässt sich das auch mit einem VBA-Script abfackeln.

Applocker ist eine Computereinstellung, oder willst Du Applocker dazu verwenden, für bestimmte User bestimmte Programme nicht zuzulassen?

Dann mal testweise ein neues GPO mit einem Loginscript erstellen. Darin mit net use die LW mappen und mit ein paar ausgewählten Usern, die jetzt das Problem haben, testen. Dazu natürlich das andere GPO für diese User deaktivieren.

Steht das GPP auf Aktualisieren? Und wenn es nach dem gpupdate kommt, ist der Rechner zu schnell. Warte doch vor der Anmeldung 30 Sekunden, ist das LW jetzt da?

Weshalb sollte sich eine SP verändern? Den Code kanst Du von jeder anderen SUSDB entnehmen und bei dir einfügen.

Fehlt nur diese eine SP oder fehlen alle? Melde dich mit einem SQL Server Management Studio direkt auf dem WSUS an der WID an, dann siehst Du es gleich. Man kann die SPs natürlich auch aus einer Datenbank Sicherung holen.

Geht auch als Verknüpfung, hier ein Beispiel: C:\Windows\System32\runas.exe /user:Domain\Username "Pfad zur EXE.exe"

Meinst Du einen WSUS in die DMZ stellen und via 8531 von außen erreichbar machen?

Wenn es VPN gibt, kannst Du mit einem WSUS das etwas einfangen.

Die Education/Enterprise bekommen im Mai noch Updates: https://docs.microsoft.com/de-de/lifecycle/announcements/windows-10-1803-1809-end-of-servicing Nach dem 11.05.2021 passiert nichts, die Clients bekommen einfach keine Updates mehr. Sonst passiert vermutlich gar nichts. Wenn Du einen WSUS im Einsatz hast, kannst Du die Funktionsupdates mit einem Stichtag versehen, dann wird zu diesem Tag installiert und neu gestartet, egal ob der User das abnickt oder verneint, keine Auswahl.

Dieser Artikel könnte helfen: https://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtlinien-auf-eine-gruppe-von-computern-filtern

Zeig doch mal ein aktuelles ipconfig /all, aber bitte in einem Codeblock hier einfügen. ipconfig /all | clip und schon ist es in der Zwischenablage, jetzt hier in einen Code Block einfügen, Danke. Welcher DNS Server ist denn als Weiterleitung in den Eigenschaften des DNS-Servers eingetragen?

Happy Birthday Tom! :)

Schau mal in diesem Howto: https://www.windowspro.de/wolfgang-sommergut/remoteapp-veroeffentlichen-unter-windows-server-2012-r2

Gleich nach dem Renteneintritt, alternativ nächstes Jahr. Mitte/Ende Juni ist die beste Reisezeit. Im Juli wird es sttressiger, da haben die Skandinavier auch schon wieder Ferien. ;)

Schon klar, aber Du kannst innerhalb der Sammlung einzelne Anwendungen erneut berechtigen.

Bei uns tritt seit dem Update ein Fehler in PRTG auf: https://kb.paessler.com/en/topic/54353-i-have-problems-with-the-powershell-exchange-sensors-what-can-i-do Sensor Exchange Mail Queue The sensor was able to connect to the device using Remote PowerShell but could not retrieve access to Remote Exchange Management Shell. Ensure that remote management is enabled on the Exchange Server and the user has sufficient rights. See https://kb.paessler.com/en/topic/54353 for details. Die Syntax wird von diesem Runspace nicht unterstützt. Dies kann der Fall sein, wenn der Runspace nicht im Sprachmodus vorliegt. In dem gen. KB-Artikel haben sich schon weitere 'Opfer' für den aktuellen Fall gemeldet. Ab hier ist es neu: https://kb.paessler.com/en/topic/54353-i-have-problems-with-the-powershell-exchange-sensors-what-can-i-do#reply-311151