daabm

Naja, man könnte Forenregeln lesen und auf Crossposts hinweisen In Powershell 4 (mit der 2012R2 ab Werk kam) kennt Get-Item noch kein .Target... Das kam erst mit Version 5. Deshalb geht's auch mit Win10...

Was hindert Dich daran, das ganz nativ mit Group Policy Preferences "Registry" zu machen? Item Level Targeting auf den Wert, wo der neue Name drinsteht, und dann halt schreiben... Geht da nämlich auch in HKLM.

Hast Du in der Quelle Symlinks "/xj"...

Basisverzeichnis ist das Homelaufwerk, das kann ja für jeden User "irgendwo" liegen. Der Stammpfad ist für alle User gleich, und er kann sich natürlich vom Homelaufwerk unterscheiden. Es macht also NICHT das gleiche.
Und beides taugt nix Wenn Du schon umleitest, leite um nach %homeshare%%homepath%Documents (ja, ohne "\").

Nein, Du willst meinem "Vorschlag" nicht nachgehen. LOM ist nichts für KMU-Umgebungen, sorry. Und LOM ist eine globale Einstellung, da geht nix "selektiv".
 
Da wäre es einfacher, die Gruppenstruktur so umzubauen, daß die delegierten Gruppen eben KEINE Auswirkungen weiter oben haben. Für Gruppen gilt prinzipiell das gleiche wie für GPOs: Was sich in unteren OUs befindet, darf weiter oben nicht verwendet werden. Sonst kann man nicht sinnvoll delegieren.

Ich gebe zu, daß ich das Problem "so" noch nie hatte... Vielleicht hilft das explizite NTLM-Auditing? 
https://blogs.technet.microsoft.com/askds/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7/

Wenn der TO doch unbedingt nen Client als Server betreiben will.... laßt ihn doch. Ich würde ja auch nen Essentials nehmen in dem Fall. Oder wie immer 2 DCs und dann App-Server dazu. Bei 25 Clients finde ich 2 VM-Hosts ok, die je 1 DC hosten und 1 File/Application-Server.

Du brauchst auch keine Gruppe "Du darfst nicht". "Du darfst" reicht völlig.
"Lokal anmelden zulassen" für "Administratoren, Domain\mathe", dann darf sich keiner mehr anmelden, der nicht Admin oder in Mathe ist... Ich versteh irgendwie Deine Schwierigkeiten nicht

Durchnumerieren wäre besser als eine Bullet List, dann klappt es mit der Antwort besser
1. Nein
2. Ja
3. Ja (bzw. wieso auf dem DC? Der wird in der Domäne erstellt, von wo Du das machst ist schnuppe...)
4. IMHO Nein - Ja
5. Unverständlich
 

Nimm mal im Sicherheitsfilter "Authentifizierte Benutzer" auf und wieder raus. Da verhakt sich gerne ein ACL-Eintrag im Sysvol, den die GPMC nicht mag ("Synchronize"-Recht für AuthUsers).

Und Dr. Google liefert Dir das nicht als ersten Treffer? Das kann ein xyz-Account sein, der braucht gar nichts.

Da müsste man jetzt wissen, was MS unter einem "Benutzeralias" versteht: "Der Basisverzeichnispfad jedes Benutzers setzt sich aus dem angegebenen Stammpfad des Basisverzeichnisses und dem Benutzeralias zusammen."
Warum machst Du das nicht einfach konventionell über das Homeset des AD-Accounts? Alternativ kannst Du in der Ordnerumleitung den statischen Pfad \\server\share\%username%.%userdnsdomain% verwenden. Oder %homeshare%%homepath% (ich weiß aber nicht, ob das mit der RDP-Basispfad-Policy korrekt gefüllt wird...)

Läßt sich ganz kurz beantworten: Kunde weiß nicht, von was er spricht....
Vorher hat er in Explorer vielleicht lange Namen gesehen, aber niemals in seiner Anwendung :)

Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal.
Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

Das ist Jacke wie Hose, wenn es in abc.net nicht noch Subdomains gibt, die auch ausgeschlossen werden müssen. shExpMatch ist etwas "teurer" in der Auswertung, aber das dürfte kaum spürbar sein :)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
Löschen...

Wie wärs mit ganz trivial einer Herausgeber-Rebel? Die Exe von GtM sind signiert...

Auf deinem DC laufen die ADWS nicht... Oder die Firewall blockt den Port (9xxx war das glaub.)

Du sollst auch nicht GPO (Administrative Vorlagen) verwenden, sondern Group Policy Preferences - Pfad im Editor: Benutzerkonfig - Einstellungen - Systemsteuerung - Interneteinstellungen. Und auf den Trick mit F5/F6/F7/F8 achten :-)

Stimmt, wenn der User kein Admin ist und die UAC nicht angepasst wurde, kommt ein Anmeldedialog.
Gibt man jetzt einen Admin-User an, startet der Task Manager als Admin.
Gibt man seinen eigenen Nicht-Admin-User ein, startet er als User.
Konfigurere das Verhalten des UAC Prompt für Standardbenutzer passend, dann kommt kein Anmeldedialog mehr.
 
Wenn Du wissen willst, woran das liegt: Such mal nach "asInvoker highestAvailable requireAdministrator" :)

Probier mal lokal auf dem PC ne Firewall-Regel "Outbound block 445, remote-IP Fileserver". Das müßte Windows recht schnell schnallen, daß es da nicht hinkommt...
 
Alternativ werden die SMB-Pakete vermutlich an einer HW-Firewall gedroppt. Ich bin da kein Spezialist, aber wenn diese FW nicht droppen würde, sondern Destination Unreachable oder so was zurückschickt, dann geht's auch schneller.

MS16-072?
 
Ein GPO-Ergebnissatz könnte hilfreich sein. xd

https://mauriceausum.com/tag/remove-email-bar-on-right-side-of-outlook-2013/
(oder ein anderer Suchtreffer aus den 2,7 Mio Ergebnissen :) :) :) )

Du hast die reg-Datei wo genau hinterlegt? Und was passiert auf Euren Clients beim Doppelklick auf eine reg-Datei?
 
Ansonsten sind die Vorredner auf dem richtigen Weg - das macht man nicht per reg-Datei, sondern per GPP Registrierung. Oder - soweit es die vertrauenswürdigen Speicherorte betrifft - richtigerweise mit den ADMX-Vorlagen für Office und da direkt per "Administrative Vorlagen".