daabm

Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D

http://msdn.microsoft.com/library/ms680938.aspx Viel Spaß dabei - auch wenn ich den Sinn der Frage nicht verstehe :cool:

Nicht nachvollziehbar... Hab mir grad mal ne Konsole in 8.1 erstellt und gespeichert, die kann ich auf nem 2008R2 problemlos öffnen. Die MMC-Version ist bei beiden OS-Versionen "3.0". Kann es sein, daß die msc-Datei einfach kaputt ist?

Administratoren haben per se Vollzugriff, wenn Du sie nicht explizit rausnimmst. Und mit Administratoren arbeitet man nicht, mit denen administriert man nur. Vollzugriff brauchst Du also nicht. Und für jede lokale Gruppe auch noch eine globale, das ist schon mal falsch. Die globalen Gruppen sind rollenorientiert, die lokalen sind rechteorientiert. Beispiel: Globale Gruppe "Buchhaltung" braucht Lesezugriff auf xyz, kommt also in lokale Gruppe xyz-r.

Chrome installiert sich bei Bedarf einfach ins Benutzerprofil, das geht immer, auch ohne Adminrechte...

Entweder den Security Descriptor aller Objekte ändern und AuthUsers entfernen oder List Object Mode aktivieren (entspricht dem "Traversal Checking" in Verbindung mit ABE in NTFS).

Wozu brauchst Du dann noch RODCs?

Ok, da hammer aneinander vorbei geredet. Mit der UAC-Inkompatibilität des Explorer hast Du leider recht. Wenn man sich nicht mit "elevatet unelevated factory" rumschlagen will, dann ist der Explorer bei aktivierter UAC - und wenn man die "Administratoren" verwendet und nicht anderweitig delegiert hat - als Dateimanager unbrauchbar.

Naja, Auditing fällt einem da spontan ein... http://technet.microsoft.com/en-us/library/dn319115.aspx

"Firewall blockt NIX" (wie oft hab ich das schon gehört) - "Single Label" - "Domain wird umbenannt" - "Es ist ein Junge" :jau: Manchmal fällt "keine Ironie, bitte" echt schwer...

Hm nun - wenn man sich mit dem restricted Token mal genau auseinandersetzt, dann ist das Verhalten weder unsinnig noch unerwartet. "Administrators - deny only" sei das Stichwort... Falsche ACLs im Stammordner führen zu dem hier beschriebenen Verhalten, und wenn man das nicht möchte, sollte man sich halt mal mit der Vererbung (besser dem "Erben" von Rechten) genauer auseinandersetzen. Anders formuliert: Verwende niemals "Administrators", um Zugriff auf etwas zuzulassen, wenn UAC aktiviert ist. Verwende welche Gruppe auch immer Du in Deinem AD dafür ohnehin schon hast.

Man glaubt es kaum, aber es ist tatsächlich so: Windows mappt Drucker mal groß, mal klein - mir ist da kein Schema bekannt. Noch besser: Mappe ich Drucker bei servergespeicherten Profilen manuell mit großgeschriebenem Server, dann habe ich beim nächsten Logon manchmal - nicht immer! - kleingeschriebene Servernamen... Und zwar in einer Umgebung mit 700 Domänen, die alle vollautomatisiert bereigestellt werden, und mit Druckerzuordungen, die ebenfalls immer gleich und mit den gleichen Werkzeugen vorgenommen werden. Manuelle Abweichungen ausgeschlossen. Du wirst damit leben müssen...

Ja - und zwar wegen dem hier: <FilterFile lte="0" max="99.0.0.0" min="10.0.0.0" gte="1" type="VERSION" path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" bool="AND" not="0" hidden="1"/> Seit Windows 8 steht da immer max="99.0.0.0" drin - warum sie das im UI nicht angepasst haben, wissen sie nur selber...

Batch? Ja, geht - aber mühsam, wie Du selbst schon festgestellt hast... BTW: "for /r" -> rekursiv. Und nach dem "move" bräuchtest Du noch einen "rename". Und dafür wiederum einen Zähler für das Jahr. Hmpf :rolleyes:

Das ist richtig - Du hast auf jedem OS als höchste Version diejenige drinstehen, mit der dieses OS ursprünglich ausgeliefert wurde. Da hilft immer noch nur "XML bearbeiten". Und als kleines Schmankerl hat MS noch allen Versionen die gleiche GUID verpasst - wenn Du auf einem Computer dann ein IE8-Element (gepatcht auf versionMax="99.0.0.0") und ein IE7-Element (auch gepatcht auf versionMax="99.0.0.0") anwendest, dann kannst Du keinen Gruppenrichtlinien-Ergebnissatz mehr erstellen - Fehler: "Schlüssel im Wörterbuch bereits vorhanden"... So isses halt :cool:

Einer meiner Lieblingsartikel! :thumb1:

Ist leider so, wie Du sagst... Keine "gescheite" Lösung vorhanden.

Da bist Du schon durch? https://www.google.de/search?q=windows+save+and+restore+desktop+icon+positions

https://www.google.de/search?q=file+bulk+rename+windows Da dürfte was Geeignetes dabei sein...

Am einfachsten: Central store verwenden und dann alle ADMX/ADML vom Server und vom Client reinkopieren. Beide haben jeweils ein paar dabei, die dem anderen fehlen. Dämlich, aber wahr...

Ja, paßt schon. Feel free and go ahead... Das mehrfachverwenden ist absolut gängig :cool: Da Du bei TS i.d.R. nicht ganz so einfach um Loopback rumkommst (ja, es geht auch auf TS ohne, ist aber etwas mehr Arbeit...), lies Dir die zwei drei Artikel bitte durch (wenn Du es nicht eh schon weißt, natürlich): http://evilgpo.blogspot.com/2012/02/loopback-demystified.html (oder auf deutsch: http://evilgpo.blogspot.de/2014/01/loopback-was-ist-das-und-warum-ist-es.html) http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx PS: Die Abarbeitung erfolgt von oben nach unten in der OU-Struktur, aber von unten nach oben innerhalb einer OU. Und bei "erzwungen" geht's in der OU-Struktur wieder nach oben. Schön als Tabelle aufbereitet im ersten Blogartikel.

Das heißt, daß bei Euch jemand in den DS-ACLs "aktiv" war... Domain Controller dürfen die DNS-Daten in AD nicht mehr replizieren. Schalte den alten DC einfach ab und entferne ihn per dsa.msc, dssite.msc, dnsmgmt.msc sowie ntdsutil manuell aus der Domäne. Und dann kümmere Dich um die korrekten DS-ACLs. Und zur "ursprünglichen" Frage nach dem 13516: Das ist kein Fehler, sondern ein Erfolgsevent :cool:

Ursache unbekannt... Ich kenne das gleiche Problem von Outlook (damals noch 2003, passiert aber auch in neueren Versionen) oder Adobe Reader. Dauerhafte Lösung ohne lästige Diagnose ist immer "Benutzerprofil löschen".

Dann hast Du möglicherweise zu hohe Erwartungen - die meisten Foren, die ich kenne, liefern KEINE fertigen Lösungen, sondern nur Hinweise... Aber wenn es Dich auf die richtige Idee gebracht hat, ist ja alles gut :cool: (Nein, ich hatte das nicht getestet - war nur so "aus dem Gedächtnis"...)

Hallo Hitsch. Lassen wir den WPP mal außen vor und gehen zurück zur ursprünglichen Frage - "Installation per GPO geht nicht". Meinen Hinweis auf AppMgmt Debug Logging (und ggf. Installer Logging) hast Du bisher nicht beantwortet - warum nicht? Die Kombination dieser beiden Logs liefert bis einschließlich Windows 7 auf jeden Fall Hinweise, was genau schief geht... Installer Logging: http://gpsearch.azurewebsites.net/#1985 - Parameter "voicewarmup", Logs in %windir%\temp AppMgmtDebugLogging: http://technet.microsoft.com/library/cc775423.aspx - AppMgmtDebugLevel=0x9b, Logs in %windir%\debug\usermode (wie schon gesagt - geht nur bis Windows 7, in Windows 8 und neuer haben sie's kaputtrepariert...)