daabm

...eine Diff-Sicherung setzt das Archiv-Attribut NICHT zurück - und Robocopy auch nicht. Du bräuchtest quasi was, das erst alles mit gesetztem Archivbit kopiert und danach das Archivbit zurücksetzt. Geht auch - irgendwie

Was spricht gegen einen Win10-Client und ADAC?

Weil man's kann

Und wo ist da das Problem? Saubere ACLs, dann geht das völlig in Ordnung...

Schau mal hier vorbei: https://technet.microsoft.com/library/cc786941.aspx Da gibt's ne Übersicht, wie SRP die Regeln "auswertet". Ansonsten hat Zahni recht - entweder Whitelisting oder Blacklisting, aber nicht kombinieren...

Nee das wird beim Promoten jedes einzelnen DC festgelegt - im abgesicherten Modus verwendet er nicht mehr AD als User-Datenbank, sondern die (vorher vorhandene) lokale SAM, in der dieser User drinsteht. Zumindest meine ich das so verstanden zu haben

So, beschreib noch mal den aktuellen Stand, dann wird Dir geholfen

Hast Du ein Sysvol-Replikationsproblem? (NTFRS oder DFSR - Eventlogs prüfen)

Weil auf dem TS Loopback "Replace" aktiviert ist, und damit ziehen nur noch User-GPOs, die sich im OU-Pfad des TS befinden... http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

jhead.exe - ist aber nur commandline Oder IrfanView - der kann unglaublich viel, vielleicht sogar das.

Mit Robocopy differentiell? Wie mit jedem anderen Befehl auch: Archiv-Attribut

Da gibt es nicht viel zu sagen... AppLocker, WhiteListing mit den Standardregeln sowie ein paar anwendungsspezifischen Ausnahmen. Ganz einfach eigentlich Ach ja: Domänen-Admins können sich bei uns nicht auf Workstations anmelden (explizit Deny Logon Locally). Auch so ne Sache für PtH. Und die Builtin Admins sind generell deaktiviert und haben ein Zufallskennwort, das niemand kennt.

...wbadmin (Windows-Sicherung) und das RSync-Konstrukt von c't wäre wohl besser (wenns kostenlos sein soll)

Summary-Reiter? Meinst Du damit den HTML-Report der GPO in der GPMC? Dein erster Screenshot zeigt einen GPEdit, der zweite eben diesen HTML-Bericht, das ist _nicht_ das gleiche

Klingt jetzt b***d: Dropbox oder Onedrive... ...oder Workfolders?

Da gabs doch auch noch isnullorempty? http://techibee.com/powershell/check-if-a-string-is-null-or-empty-using-powershell/1889

Ein Screenshot würde mir helfen...

Doch, genau das willst Du Ab Win10 kannst Du der GPMC glaub irgendwie sagen, daß sie den Central Store ignorieren soll - aber ich find's grad nicht mehr, und es ist eigentlich auch unnötig. Lohnt sich net - kann man jederzeit einfach löschen, dann wird wieder %windir%\PolicyDefinitions verwendet

Die verschiedenen Office-Versionen verwenden zwar für "manche" GPO-Settings einen Registrierungspfad, der die Versionsnummer enthält - aber nicht für alle. Die von Dir genannte Einstellung findet sich in HKCU\software\policies\microsoft\office\common\security:automationsecurity wieder, dieser Pfad ist für alle Office-Versionen identisch. Und da die "Administrativen Vorlagen" nur ein GUI dafür sind, kann man diesen einen Wert im GUI mehrfach anzeigen lassen http://gpsearch.azurewebsites.net/#3230 Mit den Vorlagen hat das also gar nichts zu tun.

Das Prinzip der desktop.ini kennst Du?

Da gibts doch genügend freie Tools... Keepass, PasswordSafe und wie sie alle heißen

Verwende eine VPN-Lösung, die Connect-before-Logon unterstützt - DirectAccess z.B. Sunny Dein Vorschlag funktioniert nur halb... Der klappt nicht bei Startup-/Logonskripts, die NICHT lokal auf der Maschine liegen. Und auch nicht bei MSI-Installationen und Ordnerumleitung und allem, was nur bei Start/Anmeldung verarbeitet wird.

Mir fällt grad was ein... Prüfe mal die ACL des Containers/der OU , in der bei Dir Computer gejoint werden. Gibt es da möglicherweise einen verwaisten Eintrag, der nur noch aus einer SID besteht? Und dieser Eintrag wird auch noch an untergeordnete Objekte vererbt? Dann entferne den

Ich schrub ja auch nicht -and, sondern & - der Befehls-Konkatenator von cmd.exe: echo 1 & echo 2 & echo 3

# for hex 0x534 / decimal 1332 : ERROR_NONE_MAPPED winerror.h # No mapping between account names and security IDs was done. # 1 matches found for "0x534" Du hast irgendwas mit Gruppen "verbogen"...