daabm

Nein beim Unattend.xml alleine geht das nicht. Entweder da steht einer drin (das macht ggf. das MDT dann) oder Setup würfelt einen aus.

Man fragt sich nach dem Sinn :)

Als Denkanstoß: ( get-aduser -filter * | select-object name ) + ( get-aduser -filter * | select-object name ) > file.txt

Das wäre mir neu... Der würde mich dann auch interessieren. "Motzt der Client" ist eine wenig aussagefähige Fehlermeldung - was genau passiert?

Falls das noch aktuell sein sollte: Prüfe mal, ob http://gpsearch.azurewebsites.net/#4948 ggf. aktiviert ist (regedit, direkt den angegebenen Registrierungswert checken...). Und auch die anderen Settings unter diesem Knoten.

Bordmittel - EFS. Drittsoftware gibts reichlich, kenn ich mich aber nicht damit aus :() VeraCrypt wäre eine Lösung, wenn immer nur einer damit arbeiten muß.

Escaping auf der Commandline ist immer lustig - mal ist es ein Backtick, mal ein Caret. Ich glaub hier brauchst Du das Caret: ^%

DefaultIPGateway ist ein Array - das wird von BGInfo vmtl. falsch interpretiert, oder da spuckt IPv6 mit rein. VBS kann ich Dir liefern, aber erst nach Fasching - steckt in nem DHCP Check Skript, das wir bei uns einsetzen :-) PM mich dann bitte mal ab 7. März oder so.

Für NTFS-Rechte gibts in der Gallery ein recht brauchbares Modul: https://www.powershellgallery.com/packages/NTFSSecurity/4.0.0

Leg doch das Firefox-Profil in %localappdata% :-) Oder ins Homedir. Mußt ja nur in der profiles.ini eintragen.

...und MS14-025 hat er auch deinstalliert, nur damit diese Umgehungslösung funktioniert :)

Was spricht gegen Terminal Server Hopping? WIr haben etliche Kunden, die genau das machen... In der normalen Farm laufen die üblichen Anwendungen im Published Desktop, auf einem dedizierten TS laufen spezielle Anwendungen, die in den Published Desktop hinein veröffentlicht werden. Funktioniert ganz prima :)

Geb auch noch Senf dazu... Der Begriff "vererben" ist ansich schon falsch - eine ACL hängt immer direkt am Objekt, niemals wird die ACL eines übergeordneten Objekts beim Zugrif geprüft. Da gibt's lediglich ein Bitflag, ob das beim Erstellen/Durchvererben von oben kam oder ob es direkt gesetzt wurde. Streng genommen wird beim Erstellen von Objekten nicht "vererbt", sondern "geerbt". Nur beim nachträglichen Durchvererben nach unten stimmt der Begriff :) Aber das passiert ja auch nicht automatisch, sondern nur interaktiv/programmatisch.

Du suchst quasi das Gegenteil von Eyefinity? Also eine Möglichkeit, einen einzelnen Bildschirm "virtuell" in mehrere Bildschirme zu unterteilen? Oder tut's evtl auch was einfaches wie GridView oder DisplayFusion?

Nein, tut er nicht. Der DCLocator arbeitet anders, hast Du meinen Link gelesen? (Edit: Er findet natürlich den "lokal verfügbaren", wenn der in der aktuellen Site der einzige ist...) Hm - Powershell Remoting direkt auf den PDC-Emulator?

Indem man die registry.pol bearbeitet (z.B. mit http://www.torchsoft.com/en/rw_information.html ) und alle Vorkommen von \14.0\ durch \16.0\ ersetzt.

Nein, macht es nicht. Wenn kein DC angegeben wurde, verwendet ADSI (und das steckt hinter den AD-Cmdlets) immer den DCLocator... Das Cmdlet weiß nix davon, daß es auf einem DC läuft, und ADSI weiß auch nichts davon. https://social.technet.microsoft.com/wiki/contents/articles/24457.how-domain-controllers-are-located-in-windows.aspx

Erinnert mich an WMI-Filter auf "ist nicht vorhanden", geht ja auch nicht :-) Anders formuliert: Einen User, der anders heißt, gibt es immer. Deshalb landet Deine Abfrage immer im ersten Teil. Du mußt die Logk umbauen.

"URL rufen und fertig" ist zu unspezifisch, da wird Dir hier keiner helfen können. Etwas mehr Input über Dein Vorhaben musst wohl schon liefern...

...und manchmal erst dann, wenn man tatsächlich einen DC "vor Ort" hat :) Ja, da hilft nur "explizit mit dem PDC reden", dafür ist der dann immer noch gut.

Und dann wäre da noch die kaputte Sysvol-Replikation... gpupdate auf der Commandline - Output?

Du hast Deine Frage ja schon fast selbst beantwortet... Du hast ein Problem mit Kerberos. Welches? Lässt sich per Forum kaum beantworten...

Wie wärs mit ganz trivial einer Herausgeber-Rebel? Die Exe von GtM sind signiert...

Doch, Ihr habt "irgendwelche Skripte" laufen. Aktiviere das Auditing auf den entsprechenden Ordnern, dann weißt Du, wann und wer es war.

Ein "saublöder" Trick wäre, das Zielverzeichnis auch noch unter einem anderen Laufwerk bereitzustellen - dann rafft der Explorer das IMHO nicht mehr und macht Copy/Delete. Aber auch das kannst Du den Usern schwerlich erklären... :)