Pin NTFS AD operations to domain controller

Sonstiges/LIAM_NTFS_AdditionalConfiguration_BlackWhitelist_Konzept.md

@@ -269,6 +269,24 @@ ACL_share2.test33_O
 
 `PreserveNtfsAdGroupNameCase=1` unterbindet die bisher automatische Grossschreibung der erzeugten AD-Gruppennamen. Ohne diesen Schalter bleibt das bisherige Verhalten erhalten und die generierten CN-/sAMAccountName-Werte werden in Grossbuchstaben erzeugt.
 
+### 12. Domain-Controller-Pinning fuer direkte AD-Readbacks
+
+Der NTFS-Provider pinnt seine AD-Zugriffe auf einen konkreten Domain Controller, damit neu angelegte Gruppen unmittelbar im gleichen oder in einem direkt folgenden Workflow-Lauf wieder gefunden werden koennen. Ohne Pinning kann Windows bei getrennten WF-Instanzen unterschiedliche DCs auswaehlen; bei langen AD-Replikationsintervallen waeren frisch angelegte Gruppen dann auf dem zweiten DC noch nicht sichtbar.
+
+Standardverhalten ohne Konfiguration:
+
+- der Provider ermittelt automatisch den PDC Emulator der Domain
+- alle NTFS-AD-Zugriffe innerhalb des Provider-Laufs verwenden diesen DC
+- der verwendete DC wird einmal beim AD-Logon im Debug-Log ausgegeben
+
+Optional kann ueber `AdditionalConfiguration` eine priorisierte, kommagetrennte DC-Liste gesetzt werden:
+
+```text
+NtfsAdDomainControllers=dc01.imagoverum.com,dc02.imagoverum.com
+```
+
+Der Provider testet die Eintraege in Reihenfolge. Der erste erreichbare DC wird verwendet. Wenn kein konfigurierter DC erreichbar ist, faellt der Provider auf den automatisch ermittelten PDC Emulator zurueck. Wenn auch dieser nicht ermittelt werden kann, wird wie bisher die Domain selbst verwendet und damit wieder der Windows-DC-Locator genutzt.
+
 ## Matching-Regeln
 
 Empfohlene Semantik: