daabm

"Groß" sind 170k Benutzer in über 8.000 Lokationen "Kleinere Umgebungen" ist für mich alles unter 4-stellig.

GPOs kannst Du ab Office 2013 nur noch für die ProPlus-Version verwenden. Siehe auch unter https://www.microsoft.com/en-us/download/details.aspx?id=49030 den Abschnitt "System Requirements".

Wie blub schon schrub - das hat MS bei der Cmdlet-Definition wohl vergessen: Definition : Test-ADDSForestInstallation -DomainName <string> [-SafeModeAdministratorPassword <securestring>] [-CreateDnsDelegation] [-DatabasePath <string>] [-DnsDelegationCredential <pscredential>] [-NoDnsOnNetwork] [-DomainMode <DomainMode>] [-DomainNetbiosName <string>] [-ForestMode <ForestMode>] [-InstallDns] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDns] [-SysvolPath <string>] [-Force] [<CommonParameters>] Kannst -string "Hurra" auch weglassen, dann kommt ein Prompt - aber nur einer, ohne Bestätigung

Wie stellst Du das fest?

Hilft auch nicht wirklich... Warum muß diese "industrielle Anwendung" (professionell eher nicht ) auf c$ und d$ zugreifen? Und in welchem Kontext läuft die - bei angemeldetem User auf dem Desktop ja hoffentlich nicht, also als Dienst? (Letzte Frage von Nils, da fehlt die Antwort.) Da die Server beide in einer Domäne sind: Wenn die SW als Dienst unter SYSTEM läuft, kannst das mit einer eigenen Freigabe leicht erledigen, auf der die Computerkonten der Server berechtigt werden.

...dann duck ich mich jetzt weg und gestehe völlige Rat- und Ahnungslosigkeit...

Check mal http://gpsearch.azurewebsites.net/#2167 - einfach schauen, ob der Reg-Wert bei Dir evtl. gesetzt ist...

Tipp am Rande - steht oben schon: DFS-Namespace mit ABE. Dann mußt Du nie wieder was an den Zuordnungen ändern, und wenn sich Gruppenverzeichnisse aufgrund Abteilungswechsel ändern, sieht jeder automatisch immer das, was für ihn bestimmt ist. Und Du hast nur ein einziges Laufwerk, das für alle gleich ist. Ansonsten meine 2 cent: GPP ist ok in kleinen Umgebungen - in größeren kann das ganz schnell ganz unübersichtlich werden. Und dann noch der Mist mit der Hintergrundaktualisierung ab W8.1...

Guggsu "for /?"

Ach ja - das ist etwas unglücklich, weil diese Option in den ADMX-Vorlagen leider als REG_SZ und nicht als REG_EXPAND_SZ definiert ist - Du kannst hier keine Umgebungsvariablen verwenden. Mit einem Trick geht es aber doch: Lege mit Group Policy Preferences "Registrierung" unter HKLM (Computerkonfig) oder HKCU (Benutzerkonfig) unter Software\Microsoft\Windows\CurrentVersion\Explorer\Run einen neuen Wert an. Wertname beliebig (nimm den Namen Deiner Exe am besten), Typ REG_EXPAND_SZ, und Wertinhalt ist der vollqualifizierte Pfad zum Programm. Und wenn Du da jetzt %LocalAppData% verwenden willst, dann schreibst Du %<LocalAppData>% in den Pfad, das verhindert die Auflösung der Variablen.

Hm - da fällt mir spontan SETX ein - kann mit /K den Inhalt von Registrierungswerten in Umgebungsvariablen schreiben Sunny, wenn das in einem Deiner unzähligen Links schon beschrieben ist, hab ich nix gesagt...

Was genau konfigurierst Du wo genau? Group Policy Preferences "Verknüpfungen"? Dann schreib %<localappdata>% rein

Da gabs kürzlich einen Hotfix, der für fehlschlagende Passwortänderungen über NTLM unter 2012R2 zuständig ist. Find den grad nur nimmer... Würde zu Deiner Beschreibung passen, daß es über OWA geht.

...eine Diff-Sicherung setzt das Archiv-Attribut NICHT zurück - und Robocopy auch nicht. Du bräuchtest quasi was, das erst alles mit gesetztem Archivbit kopiert und danach das Archivbit zurücksetzt. Geht auch - irgendwie

Was spricht gegen einen Win10-Client und ADAC?

Weil man's kann

Und wo ist da das Problem? Saubere ACLs, dann geht das völlig in Ordnung...

Schau mal hier vorbei: https://technet.microsoft.com/library/cc786941.aspx Da gibt's ne Übersicht, wie SRP die Regeln "auswertet". Ansonsten hat Zahni recht - entweder Whitelisting oder Blacklisting, aber nicht kombinieren...

Nee das wird beim Promoten jedes einzelnen DC festgelegt - im abgesicherten Modus verwendet er nicht mehr AD als User-Datenbank, sondern die (vorher vorhandene) lokale SAM, in der dieser User drinsteht. Zumindest meine ich das so verstanden zu haben

So, beschreib noch mal den aktuellen Stand, dann wird Dir geholfen

Hast Du ein Sysvol-Replikationsproblem? (NTFRS oder DFSR - Eventlogs prüfen)

Weil auf dem TS Loopback "Replace" aktiviert ist, und damit ziehen nur noch User-GPOs, die sich im OU-Pfad des TS befinden... http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

jhead.exe - ist aber nur commandline Oder IrfanView - der kann unglaublich viel, vielleicht sogar das.

Mit Robocopy differentiell? Wie mit jedem anderen Befehl auch: Archiv-Attribut

Da gibt es nicht viel zu sagen... AppLocker, WhiteListing mit den Standardregeln sowie ein paar anwendungsspezifischen Ausnahmen. Ganz einfach eigentlich Ach ja: Domänen-Admins können sich bei uns nicht auf Workstations anmelden (explizit Deny Logon Locally). Auch so ne Sache für PtH. Und die Builtin Admins sind generell deaktiviert und haben ein Zufallskennwort, das niemand kennt.