Sunny61

Export-CSV solltest Du dir anschauen: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/export-csv?view=powershell-6

Remote Apps sind die idealen Begleiter in diesem deinen Fall. Igel kann das fast besser als ein Windows Client. Wenn Du einen Connection Broker installierst, kannst Du dem User eine Website zur Verfügung stellen, dort meldet er sich an und sieht nur die EXE. Ausführen, fertig. Er sieht keinen Desktop, er bekommt nur das Programm durchgereicht. In diesem Artikel wird beschrieben, wie man das über einen Browser macht: https://www.computerweekly.com/de/tipp/Mit-Windows-10-auf-RemoteApp-Anwendungen-auf-Windows-Server-2016-zugreifen Bei uns werden ca. 20 Anwendungen über Igel zur Verfügung gestellt, funktioniert problemlos.

Was sehen wir genau auf der rechten Seite? Die externe Zone? Falls ja, was macht der DC da drin? Wie ist DNS in dem Screenshot konfiguriert? Weiterleitung oder Stamm? Funktioniert denn der Aufruf ohne die externe Zone?

Pragmatische Lösung. :)

Bei einem Kunden hatte ich das auch mal so angelegt, trotz 100 Rückfragen wollte man das so haben. Hat von Beginn an funktioniert. Irgendwas läuft bei dir flasch. :) Aber gut wenn Du es jetzt änderst.

Websites verbietet man mit Hilfe eines Proxy. Oder: Du kopierst dir die HOSTS von einem sauberen System in einen Ordner in eine Freigabe. Eine zweite HOSTS passend anpassen und testen, ebenfalls in eine Freigabe kopieren. Jetzt die passende HOSTS per Script pro User der sich anmeldet ins System kopieren.

Was passiert wenn du www.deinedom.tld aufrufst? Ein Redirect auf etwas anderes? Welche exakte Adresse steht dann im Browser wenn die Seite geladen ist? Aus welchen Gründen hast Du des denn gemacht? Nur damit intern und extern gleichlautend sind? Dann sind es IMO die falschen Gründe. Man hätte ja auch ein contoso.intra erstellen können. Hier werden ein paar Pro und Contras aufgeführt. https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

Welche Zonen hast Du denn genau? ad.contoso.com oder auch contoso.com?

...Quatsch

Ressourcen Manager für Dateiserver meint john23 vermutlich: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/fsrm-overview Daraus dann die Dateiprüfungsverwaltung: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/file-screening-management

Zeig doch mal ein ipconfig /all vom Client und vom DC. Wenn Du ein | clip hintendran hängst, kriegst Du die Angaben gleich in die Zwischenablage geschoben. Hier dann in einen Code Block einfügen.

Was genau steht in dem A Eintrag drin? Wenn das AD genau wie die Website heißt, sollte ein www als Hostnamen und als IP die externe IP Adresse der Website ausreichen.

Wo soll denn die Größe/der Speicherplatz angezeigt werden? Im Explorer? So eine Art Füllstandsanzeige?

Remote Apps und/oder Terminal Server und auf ThinClients setzen.

Ist denn das Netzteil auch ausreichend dimensioniert?

Ein weitere Baustein im Gesamtsystem kann SRP (Software Restriction Policy) und/oder Applocker sein. Das will allerdings sehr ausführlich getestet werden.

Mit einem WSUS kann man fast alles davon abfackeln. Dem WSUS ist es auch egal, ob der Client in einer Domäne ist oder nicht. Mit Hilfe des WPP (WSUS Package Publisher) in Kombination zum WSUS geht das recht gut. Bei W10 kannst Du natürlich auch per DISM schon die letzten Updates immer integrieren.

So einen Abmeldevorgang kann man sicher mit Hilfe der Powershell durchführen. Falls ja, dann könnte ein Würgaround helfen: Ein User erstellt eine TXT mit dem Anmeldenamen des Users, der abgemeldet werden soll, legt die TXT in eine vordefinierte Freigabe. Dein Powershellscript prüft alle x Minuten nach ob es eine neue TXT in der Freigabe gibt. Wenn ja, TXT einlesen und löschen und den User abmelden.

Trennen oder eher abmelden?

Gibt es: https://outlook.uservoice.com/ Allerdings glaube ich nicht, dass in Redmond darauf Rücksicht genommen wird. ;)

Ist die Firewall auf dem Exchange denn auch passend konfiguriert?

Gut, alles andere sollte funktionieren. Und das /force ist flüssiger als Wasser. ;)

Per User oder Computer ist doch nicht so schwer, oder doch? User: Nur der User bekommt den Drucker, egal an welchem Client er sich anmeldet. Computer: Jeder User der sich auf diesem Computer anmeldet, bekommt diesen Drucker installiert. Wenn ein Druckertreiber zu einem Drucker nicht installiert ist, kannst Du auch nicht drucken. Also muss der Treiber (Drucker) installiert werden, damit du drucken kannst. Schau doch mal in der Systemsteuerung > Geräte und Drucker. Ist dort der Drucker zu sehen?

Ja, mit Hilfe von DISM kannst Du aktuelle Updates, das letzte CU sollte fürs erste ausreichen, integrieren. Es gibt auch eine GUI dafür. DISMGUI.EXE https://github.com/mikecel79/DISMGUI/releases Und hier ein kleines HowTo: https://ingoboettcher.wordpress.com/2012/10/29/ich-bau-mir-ein-windows-8-wie-es-mir-gefllt/ Funktioniert natürlich genauso noch mit W10. Den zweiten Satz versteh ich nicht. Was möchtet ihr integrieren? Habt ihr keinen WSUS im Einsatz? Ja, WSUS nutzen und passend konfigurieren. Schon sollte das möglich sein. Vermutlich nutzen eure Clients beim Download des Upgrades die komplette Bandbreite. Ja, das geht und nein, ich keine keine Anleitung dafür. In den GPO-Einstellungen für Windows Update gibt es die Möglichkeit dafür. Du wirst wohl etwas suchen müssen.

Deshalb auch von mir der Hinweis auf die TestOU mit dem Testuser. Nur so kommt man dem ganzen auf die Spur.