daabm

jhead.exe - ist aber nur commandline Oder IrfanView - der kann unglaublich viel, vielleicht sogar das.

Mit Robocopy differentiell? Wie mit jedem anderen Befehl auch: Archiv-Attribut

Da gibt es nicht viel zu sagen... AppLocker, WhiteListing mit den Standardregeln sowie ein paar anwendungsspezifischen Ausnahmen. Ganz einfach eigentlich Ach ja: Domänen-Admins können sich bei uns nicht auf Workstations anmelden (explizit Deny Logon Locally). Auch so ne Sache für PtH. Und die Builtin Admins sind generell deaktiviert und haben ein Zufallskennwort, das niemand kennt.

...wbadmin (Windows-Sicherung) und das RSync-Konstrukt von c't wäre wohl besser (wenns kostenlos sein soll)

Summary-Reiter? Meinst Du damit den HTML-Report der GPO in der GPMC? Dein erster Screenshot zeigt einen GPEdit, der zweite eben diesen HTML-Bericht, das ist _nicht_ das gleiche

Klingt jetzt b***d: Dropbox oder Onedrive... ...oder Workfolders?

Da gabs doch auch noch isnullorempty? http://techibee.com/powershell/check-if-a-string-is-null-or-empty-using-powershell/1889

Ein Screenshot würde mir helfen...

Doch, genau das willst Du Ab Win10 kannst Du der GPMC glaub irgendwie sagen, daß sie den Central Store ignorieren soll - aber ich find's grad nicht mehr, und es ist eigentlich auch unnötig. Lohnt sich net - kann man jederzeit einfach löschen, dann wird wieder %windir%\PolicyDefinitions verwendet

Die verschiedenen Office-Versionen verwenden zwar für "manche" GPO-Settings einen Registrierungspfad, der die Versionsnummer enthält - aber nicht für alle. Die von Dir genannte Einstellung findet sich in HKCU\software\policies\microsoft\office\common\security:automationsecurity wieder, dieser Pfad ist für alle Office-Versionen identisch. Und da die "Administrativen Vorlagen" nur ein GUI dafür sind, kann man diesen einen Wert im GUI mehrfach anzeigen lassen http://gpsearch.azurewebsites.net/#3230 Mit den Vorlagen hat das also gar nichts zu tun.

Das Prinzip der desktop.ini kennst Du?

Da gibts doch genügend freie Tools... Keepass, PasswordSafe und wie sie alle heißen

Verwende eine VPN-Lösung, die Connect-before-Logon unterstützt - DirectAccess z.B. Sunny Dein Vorschlag funktioniert nur halb... Der klappt nicht bei Startup-/Logonskripts, die NICHT lokal auf der Maschine liegen. Und auch nicht bei MSI-Installationen und Ordnerumleitung und allem, was nur bei Start/Anmeldung verarbeitet wird.

Mir fällt grad was ein... Prüfe mal die ACL des Containers/der OU , in der bei Dir Computer gejoint werden. Gibt es da möglicherweise einen verwaisten Eintrag, der nur noch aus einer SID besteht? Und dieser Eintrag wird auch noch an untergeordnete Objekte vererbt? Dann entferne den

Ich schrub ja auch nicht -and, sondern & - der Befehls-Konkatenator von cmd.exe: echo 1 & echo 2 & echo 3

# for hex 0x534 / decimal 1332 : ERROR_NONE_MAPPED winerror.h # No mapping between account names and security IDs was done. # 1 matches found for "0x534" Du hast irgendwas mit Gruppen "verbogen"...

Was genau ist Dein "Gruppenrichtlinienupdate"? Eine Schritt-für-Schritt Beschreibung, was Du genau anklickst und machst, wäre hilfreich Und wenn Du das "Remote-GPUpdate" meinst: Das geht nur, wenn auch ein Benutzer angemeldet ist, für den das ausgeführt werden könnte...

Genau - das ist in 1511 wohl "kaputt", sagen zumindest diverse Technet-Threads.

Jaaaa - und äöü wäre auch noch frei

Nein, das geht so nicht. "Neu angelegt" erbt alles, was vererbt wird, und erhält sonst nichts. Wenn Du das anders willst: Skripten

Ahem - wenn ich mir die Anzahl der Laufwerke so anschaue, scheint mir DFS-N in Verbindung mit ABE die bessere, weil zukunftsfähige, Lösung zu sein

$backup_job = [scriptblock]::Create("cmd /c '$backup' & TuNochWasAnderes") wäre eine Option...

"ein Fehler" ist etwas unspezifisch...

Die Ursache dürfte das bei W10 1511 per default aktivierte Sysvol-UNC-Hardening sein - abschalten und es sollte gehen.

Zum Thema "ich brauche Loopback für den Bildschirmschoner": http://evilgpo.blogspot.de/2012/03/how-to-save-my-screen.html