daabm

Hm - da fällt mir spontan SETX ein - kann mit /K den Inhalt von Registrierungswerten in Umgebungsvariablen schreiben

Sunny, wenn das in einem Deiner unzähligen Links schon beschrieben ist, hab ich nix gesagt...

Was genau konfigurierst Du wo genau? Group Policy Preferences "Verknüpfungen"? Dann schreib %<localappdata>% rein

Da gabs kürzlich einen Hotfix, der für fehlschlagende Passwortänderungen über NTLM unter 2012R2 zuständig ist. Find den grad nur nimmer... Würde zu Deiner Beschreibung passen, daß es über OWA geht.

...eine Diff-Sicherung setzt das Archiv-Attribut NICHT zurück - und Robocopy auch nicht. Du bräuchtest quasi was, das erst alles mit gesetztem Archivbit kopiert und danach das Archivbit zurücksetzt. Geht auch - irgendwie

Was spricht gegen einen Win10-Client und ADAC?

Wozu braucht man sowas?

Weil man's kann

Und wo ist da das Problem? Saubere ACLs, dann geht das völlig in Ordnung...

Schau mal hier vorbei: https://technet.microsoft.com/library/cc786941.aspx

Da gibt's ne Übersicht, wie SRP die Regeln "auswertet".

Ansonsten hat Zahni recht - entweder Whitelisting oder Blacklisting, aber nicht kombinieren...

Nee das wird beim Promoten jedes einzelnen DC festgelegt - im abgesicherten Modus verwendet er nicht mehr AD als User-Datenbank, sondern die (vorher vorhandene) lokale SAM, in der dieser User drinsteht. Zumindest meine ich das so verstanden zu haben

So, beschreib noch mal den aktuellen Stand, dann wird Dir geholfen

Hast Du ein Sysvol-Replikationsproblem?

(NTFRS oder DFSR - Eventlogs prüfen)

Weil auf dem TS Loopback "Replace" aktiviert ist, und damit ziehen nur noch User-GPOs, die sich im OU-Pfad des TS befinden...

http://evilgpo.blogspot.de/2012/02/loopback-demystified.html

jhead.exe - ist aber nur commandline Oder IrfanView - der kann unglaublich viel, vielleicht sogar das.

Mit Robocopy differentiell? Wie mit jedem anderen Befehl auch: Archiv-Attribut

Da gibt es nicht viel zu sagen... AppLocker, WhiteListing mit den Standardregeln sowie ein paar anwendungsspezifischen Ausnahmen. Ganz einfach eigentlich

Ach ja: Domänen-Admins können sich bei uns nicht auf Workstations anmelden (explizit Deny Logon Locally). Auch so ne Sache für PtH. Und die Builtin Admins sind generell deaktiviert und haben ein Zufallskennwort, das niemand kennt.

...wbadmin (Windows-Sicherung) und das RSync-Konstrukt von c't wäre wohl besser (wenns kostenlos sein soll)

Summary-Reiter? Meinst Du damit den HTML-Report der GPO in der GPMC? Dein erster Screenshot zeigt einen GPEdit, der zweite eben diesen HTML-Bericht, das ist _nicht_ das gleiche

Klingt jetzt b***d: Dropbox oder Onedrive...

...oder Workfolders?

Da gabs doch auch noch isnullorempty?

http://techibee.com/powershell/check-if-a-string-is-null-or-empty-using-powershell/1889

Ein Screenshot würde mir helfen...

Ich möchte diese Dateien nicht einfach überschreiben, da ich nicht weiß, ob vielleicht irgendeine Einstellung in einer unserer GPOs davon betroffen ist.

Doch, genau das willst Du

Deshalb habe ich auf meiner Win10 Kiste RSAT installiert. Erstelle ich aber von dort aus eine neue GPO zieht er trotzdem die admx Files aus dem Central Store und zeigt mir keine Windows10 Einstellungen an.

Ab Win10 kannst Du der GPMC glaub irgendwie sagen, daß sie den Central Store ignorieren soll - aber ich find's grad nicht mehr, und es ist eigentlich auch unnötig.

Bevor du das machst natürlich immer eine Kopie der alten Dateien machen.

Lohnt sich net - kann man jederzeit einfach löschen, dann wird wieder %windir%\PolicyDefinitions verwendet

Die verschiedenen Office-Versionen verwenden zwar für "manche" GPO-Settings einen Registrierungspfad, der die Versionsnummer enthält - aber nicht für alle. Die von Dir genannte Einstellung findet sich in HKCU\software\policies\microsoft\office\common\security:automationsecurity wieder, dieser Pfad ist für alle Office-Versionen identisch. Und da die "Administrativen Vorlagen" nur ein GUI dafür sind, kann man diesen einen Wert im GUI mehrfach anzeigen lassen

http://gpsearch.azurewebsites.net/#3230

Mit den Vorlagen hat das also gar nichts zu tun.

Das Prinzip der desktop.ini kennst Du?

Da gibts doch genügend freie Tools... Keepass, PasswordSafe und wie sie alle heißen

Verwende eine VPN-Lösung, die Connect-before-Logon unterstützt - DirectAccess z.B.

Sunny Dein Vorschlag funktioniert nur halb... Der klappt nicht bei Startup-/Logonskripts, die NICHT lokal auf der Maschine liegen. Und auch nicht bei MSI-Installationen und Ordnerumleitung und allem, was nur bei Start/Anmeldung verarbeitet wird.