daabm

Deny Write auf die Datei für SYSTEM und Trusted Installer sollte das beheben. Dann dürfte aber Windows-Update einen Koller kriegen

Nein. Mußt Du skripten und mit geplanten Tasks arbeiten.

War das ein MSer aus Deutschland? Die wissen nix... Isso

Er meint vmtl. das ILT auf die einzelnen Mappings, damit jeder User die richtigen Laufwerke kriegt. Das, was man heute gerne mit DFS-N und ABE im DFSRoot löst

Zu USN Rollback findest ganz viele Fallbeschreibungen im Internet. Sogar hier im Forum - der erste Satz sagt schon alles:

Steht zuhause nur ein Client, der in die Firma muß? Dann würde doch ein ganz normaler VPN-Tunnel reichen, unabhängig vom ganzen Rest... Oder überseh ich grad was?

Skripte, die lesend gegen AD gehen: $Domain = ( Get-ADDomain -Current LocalComputer ).DNSRoot Skripte, die schreiben (und ggf. auch lesen): $PDC = ( Get-ADDomain -Current LocalComputer ).PDCEmulator Mit VBS oder Batch geht das analog, bei VBS über ADSystemInfo oder RootDSE, bei Batch über dsquery (ist dann etwas aufwändiger, weil Textmassage...)

Ein 2., DC ist völlig belanglos. Den kannst im Notfall einfach ausschalten und per Metadata Cleanup aus der Domäne entfernen. Aber diesen Snapshot-Aufwand - Du könntest jetzt auch einfach weitermachen. Für die Wiederherstellung einer Domäne reicht ein einziger (!) gesicherter Domain Controller, völlig egal welcher das war. "Einfach zurück" kannst übrigens nicht - Du wirst immer Probleme mit zwischenzeitlich geänderten Computerkennwörtern haben. Und 2003 weiß noch nix von Snapshots - wenn Du also mehr als einen zurückholst, ist ein USN Rollback recht gut möglich. Und Snapshots von DNS-Servern? Da exportiert man bestenfalls die statischen Host- und CName-Einträge, der Rest ist doch auch stateless. ym2c

"Geheim" nicht, aber kennst Du schon "Attack Surface reduction" und "needs to know principle"? Warum soll ich jedem User erlauben, die Security Konfigurationen aller Server zu lesen? Damit er sein Angriffsziel leichter finden kann?

Stimmt... https://stackoverflow.com/questions/20449316/how-add-context-menu-item-to-windows-explorer-for-folders Vermutlich fehlen Dir Anführungszeichen um %1 - dann sind Leerzeichen Trennzeichen.

Man könnte auch den Offline-Join nehmen... https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/ff793312(v%3Dws.11) Dann brauchts auf dem Client gar nix mehr außer nem File, um in die Domäne zu kommen. Und das sollte ja zu schaffen sein

Ich würde vielleicht mal dieses Dropdown "Index" bemühen...

Guck mal sicherheitshalber per "vssadmin list shadows" und "vssadmin list shadowstorage".

Was ist an Powershell jetzt "extern"? Und da Du bei (fast) jedem Powershell-Cmdlet den Code dahinter rauskriegst, kannst Du da ja mal anfangen zu suchen Und wenn ich mir den Return so anschaue: Microsoft.Management.Infrastructure.CimInstance#RemoteAccessConnection[] - das ist dann auch nur WMI. https://docs.microsoft.com/en-us/previous-versions/windows/desktop/ramgmtpsprov/remoteaccessconnection

%*

Fällt mir grad so ein: Wenn das ein Windows-Fileserver ist - FSRM sollte dazu vielleicht auch was ausspucken. Bin jetzt aber kein Fileservice-Mensch... Olaf hat es aber mal wieder auf den Punkt gebracht: Organisatorische Probleme kann man mit Technik nur schwer beseitigen

ym2c: Alles, was mit Dateisystemen zu tun hat und mehr als x Ordner/Dateien betrifft, macht man nie mit PS. Ersetze x durch eine Zahl Deiner Wahl, 1.000 wäre mein Vorschlag. Das geht nativ um mehrere Zehnerpotenzen schneller. Und das eine oder andere Tool hat auch ein Commandline-Interface.

Alles, was da bisher steht, geht am "Problem" vorbei Der FQDN und Shortname des Servers, auf den Du umleitest, muß im IE in die Intranet-Zone.

GUI automatisieren mit Powershell ist schwierig. Du könntest einen Watcher bauen, der nach einer definierten Zeit den pdfinfo-Prozess abschießt, falls er zu lange aktiv ist.

Powershell Gallery: Logging Modul. Und dann einfach Write-Output/Write-Warning etc.

Was heißt "mittels TCP"? Gehst Du dann über den Hostname oder über die IP?

Wozu braucht man Standort-OUs? Dafür sind eigentlich Sites gedacht. Aber egal: Das Umbenennen ist normalerweise problemlos. Was hindert Dich daran, das einfach mal mit einem Test-User/-Computer auszuprobieren, die Du ja sicher hast?

Was ist jetzt genau die Frage?

Ja. Netzwerktrace (netsh oder Wireshark), schauen ob da SMB-Zugriffe auftauchen.

Habs mit Interesse verfolgt - ich wäre auf "PDF file is damaged" gegangen