daabm

Wenn der TO doch unbedingt nen Client als Server betreiben will.... laßt ihn doch. Ich würde ja auch nen Essentials nehmen in dem Fall. Oder wie immer 2 DCs und dann App-Server dazu. Bei 25 Clients finde ich 2 VM-Hosts ok, die je 1 DC hosten und 1 File/Application-Server.

Du brauchst auch keine Gruppe "Du darfst nicht". "Du darfst" reicht völlig.
"Lokal anmelden zulassen" für "Administratoren, Domain\mathe", dann darf sich keiner mehr anmelden, der nicht Admin oder in Mathe ist... Ich versteh irgendwie Deine Schwierigkeiten nicht

Durchnumerieren wäre besser als eine Bullet List, dann klappt es mit der Antwort besser
1. Nein
2. Ja
3. Ja (bzw. wieso auf dem DC? Der wird in der Domäne erstellt, von wo Du das machst ist schnuppe...)
4. IMHO Nein - Ja
5. Unverständlich
 

Nimm mal im Sicherheitsfilter "Authentifizierte Benutzer" auf und wieder raus. Da verhakt sich gerne ein ACL-Eintrag im Sysvol, den die GPMC nicht mag ("Synchronize"-Recht für AuthUsers).

Und Dr. Google liefert Dir das nicht als ersten Treffer? Das kann ein xyz-Account sein, der braucht gar nichts.

Da müsste man jetzt wissen, was MS unter einem "Benutzeralias" versteht: "Der Basisverzeichnispfad jedes Benutzers setzt sich aus dem angegebenen Stammpfad des Basisverzeichnisses und dem Benutzeralias zusammen."
Warum machst Du das nicht einfach konventionell über das Homeset des AD-Accounts? Alternativ kannst Du in der Ordnerumleitung den statischen Pfad \\server\share\%username%.%userdnsdomain% verwenden. Oder %homeshare%%homepath% (ich weiß aber nicht, ob das mit der RDP-Basispfad-Policy korrekt gefüllt wird...)

Läßt sich ganz kurz beantworten: Kunde weiß nicht, von was er spricht....
Vorher hat er in Explorer vielleicht lange Namen gesehen, aber niemals in seiner Anwendung :)

Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal.
Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

Das ist Jacke wie Hose, wenn es in abc.net nicht noch Subdomains gibt, die auch ausgeschlossen werden müssen. shExpMatch ist etwas "teurer" in der Auswertung, aber das dürfte kaum spürbar sein :)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
Löschen...

Wie wärs mit ganz trivial einer Herausgeber-Rebel? Die Exe von GtM sind signiert...

Auf deinem DC laufen die ADWS nicht... Oder die Firewall blockt den Port (9xxx war das glaub.)

Du sollst auch nicht GPO (Administrative Vorlagen) verwenden, sondern Group Policy Preferences - Pfad im Editor: Benutzerkonfig - Einstellungen - Systemsteuerung - Interneteinstellungen. Und auf den Trick mit F5/F6/F7/F8 achten :-)

Stimmt, wenn der User kein Admin ist und die UAC nicht angepasst wurde, kommt ein Anmeldedialog.
Gibt man jetzt einen Admin-User an, startet der Task Manager als Admin.
Gibt man seinen eigenen Nicht-Admin-User ein, startet er als User.
Konfigurere das Verhalten des UAC Prompt für Standardbenutzer passend, dann kommt kein Anmeldedialog mehr.
 
Wenn Du wissen willst, woran das liegt: Such mal nach "asInvoker highestAvailable requireAdministrator" :)

Probier mal lokal auf dem PC ne Firewall-Regel "Outbound block 445, remote-IP Fileserver". Das müßte Windows recht schnell schnallen, daß es da nicht hinkommt...
 
Alternativ werden die SMB-Pakete vermutlich an einer HW-Firewall gedroppt. Ich bin da kein Spezialist, aber wenn diese FW nicht droppen würde, sondern Destination Unreachable oder so was zurückschickt, dann geht's auch schneller.

MS16-072?
 
Ein GPO-Ergebnissatz könnte hilfreich sein. xd

https://mauriceausum.com/tag/remove-email-bar-on-right-side-of-outlook-2013/
(oder ein anderer Suchtreffer aus den 2,7 Mio Ergebnissen :) :) :) )

Du hast die reg-Datei wo genau hinterlegt? Und was passiert auf Euren Clients beim Doppelklick auf eine reg-Datei?
 
Ansonsten sind die Vorredner auf dem richtigen Weg - das macht man nicht per reg-Datei, sondern per GPP Registrierung. Oder - soweit es die vertrauenswürdigen Speicherorte betrifft - richtigerweise mit den ADMX-Vorlagen für Office und da direkt per "Administrative Vorlagen".

Ich werfe mal http://gpsearch.azurewebsites.net/#149 in den Raum...

Wenn der Benutzer ein servergespeichertes Profil hat, ist die Antwort "Nein".

Wenn der erste Beitrag richtig ist, dann sind es zwei Forests mit je einer Domain. Und Cross-Forest GPO-Verarbeitung mußt Du explizit aktivieren: http://gpsearch.azurewebsites.net/#320

Nimm icacls oder setacl - wenn Du das mit Powershell "nativ" lösen willst, wird der Aufwand unendlich :)

Replikation und Ordnerziele sind voneinander unabhängig. Du kannst also erst eine RG einrichten, und an einem Wochenende Deiner Wahl (wenn alles repliziert ist) das Ordnerziel ändern.
 
Ob DFS mit dem Storage Server geht? Keine Ahnung - wenn der Domain Member werden kann, sollte es funktionieren.

Off-Topic:
Zeilenumbrüche und Groß-/Kleinschreibung erhöhen die Lesbarkeit ungemei  
Richtig:
 
net use blah /user pw
if errorlevel 1 net use blah