The estimated reading time 5 minutes
UPDATE 19.04.2017 -> dieser Artikel ist weiterhin gültig, wer sich für die aktuelle WIN10 1703 Creators Update interessiert siehe neuer Artikel
Inhalt:
Schnellzugriff umstellen
Dateiendungen immer anzeigen
OneDrive abschalten
Standardprogramme zentral definieren
Da es nun immer mehr Windows 10 Installationen gibt und diese auch in Unternehmensnetze vordringen, dachte ich mir, dass es sinnvoll sein könnte sich der Verwaltung des neuen Betriebssystems per GPO anzunehmen. Im ersten Teil meiner Reihe geht es um das Thema GPOs für WIN 10 in Verbindung mit einem Windows Server 2012R2.
Als erstes müssen GPO Templates für Windows 10 auf den DC importiert werden.
dazu die aktuellen Templates herunterladen(Templates sind abwärtskompatibel) z.B. Für Windows 10 1511 .
In meiner Testumgebung habe ich WIN10 1024 ebenfalls mit den aktuellen Templates gesteuert.
Die heruntergeladene MSI kann auf einem beliebigen Rechner installiert werden (es muss kein DC sein, da die ADMX Templates dann aus dem Verzeichnis auf den DC kopiert werden können).
Bei der Installation den Installationspfad beachten! Die Templates werden in diesem abgelegt.
Default: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511\
Eine empfohlene Methode für die zentrale Verwaltung von GPOs habe ich bereits hier beschrieben!
Also die ADMX und auch die ADML Files an die richtige Stelle legen und ersetzen.
Es empfiehlt sich davor noch eine Sicherheitskopie der alten Files anzulegen.
Sollten beim Öffnen der Administrativen Templates über die GPO Verwaltung Fehler auftreten, müssen diese beseitigt werden.
Eine mögliche Fehlermeldung:
Namespace ‚Microsoft.Policies.Sensors.WindowsLocationProvider‘ is already defined as the target namespace for another file in the store.„
Lösung:
1. Löschen von LocationProviderADM.admx und LocationProviderADM.adml im Central Store
2. Umbenennen von Microsoft-Windows-Geolocation-WLPAdm.admx in LocationProviderADM.admx
3. Umbenennen von Microsoft-Windows-Geolocation-WLPAdm.adml in LocationProviderADM.adml
ich bin schon auf weitere Fehler gestoßen, wobei ich diese hier nicht explizit aufführe.
So wenn nun die GPOs erfolgreich importiert sind, ist der erste wichtige Schritt hin zur zentralen Verwaltung von Windows 10 geschafft.
Um in die zentrale GPO-Verwaltung zu gelangen, auf den Servermanager gehen und Gruppenrichtlinienverwaltung starten.
Schnellzugriff umstellen
Als erstes zeige ich, wie der „Schnellzugriff“ im Windows Explorer dauerhaft auf „Computer“ umgestellt werden kann.
Dies ist eine benutzerspezifische Einstellung, welche aktuell nur in der Registry definiert wird , also neue GPO für Benutzer erstellen.
Folgender Registry Key muss verteilt werden.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
LaunchTo als DWORD anlegen mit dem Wert „1“
Wert 1 = „Computer“
Wert 0 = „Schnellzugriff“
Nach dem Anwenden der GPO startet der Explorer im „normalen“ Modus.
Dateiendungen immer anzeigen
Ist ebenfalls eine benutzerspezifische Einstellung.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt als DWORD anlegen mit Wert „0“
Nach dem Anwenden der GPO sind auch die Dateierweiterungen sichtbar.
OneDrive aus Explorer und Taskleiste entfernen
Dies ist eine Computerrichtlinie und bereits von Microsoft vorgefertigt. Dazu ein neues Gruppenrichtlinienobjekt erstellen.
Computer Configuration -> Administrative Templates -> Windows Components -> OneDrive -> Prevent the usage of OneDrive for file storage
das Ganze noch auf deutsch:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten ->
OneDrive ->Verwendung von OneDrive für die Dateispeicherung verhindern
Nachdem die Einstellung gesetzt sind, erstelle ich noch einen WMI Filter (filtert die GPOs auf Hard/Software Merkmale von PCs), sodass diese Richtlinie ausschließlich Windows 10 Maschinen anwenden.
WMI Filter erstellen:
select * from Win32_OperatingSystem where (Version like "10.%" AND ProductType="1" )
Natürlich muss der WMI Filter dann auch noch auf die GPO angewendet werden.
und natürlich auf die entsprechende OU zuweisen, in meinem Fall lege ich diese auf die oberste Ebene (in Produktivumgebungen allerdings nicht zu empfehlen).
alle weiteren Anpassungen in der selben GPO tätigen.
Standard Programme zentral definieren
Um nun einen anderen Browser oder PDF-Reader zentral vorzugeben ist es von nöten, dies einmalig an einem Windows 10 Rechner zu definieren und diese Einstellung dann in eine XML Datei zu exportieren. Diese kann dann per GPO verteilt werden.
Dazu das „Beispielsystem“ konfigurieren ( z.B. InternetExplorer als Standardbrowser,PDF-Reader etc.).
Hier kann auch nach Dateitypen zugeordnet werden, alle gewünschten Einstellung tätigen.
Danach die Powershell „Als Administrator“ starten.
Nun die Konfiguration der Standard Apps als XML Datei exportieren.
Dism /Online /Export-DefaultAppAssociations:C:\temp\standard-programme.xml
Es kann auch ein Netzwerkshare angegeben werden \\server\share\…
In dieser XML Datei sind alle Zuordnungen zu Dateiendungen gespeichert (auch welche die nicht extra definiert wurden).
Diese Datei kann nun in ein zentrales Share gelegt werden, auf das alle Benutzer Zugriff haben.
in meinem Fall lege ich dies in SYSVOL Verzeichnis
Nun kann mit Hilfe der GPOs diese Konfiguration verteilt werden.
Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer -> Set a default associations configuration file
das Ganze auf deutsch:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Datei-Explorer -> Konfigurationsdatei für Standardzuordnungen festlegen
Diese Einstellungen greifen nach einem Neustart der Clients.
Der Benutzer hat zwar nun noch die Möglichkeit eigene Anwendungen zu definieren, allerdings werden diese Einstellungen beim nächsten Neustart von den GPOs überschrieben
Weiterer Teil folgt bald.
Freue mich über Kommentare!
Hallo Alexander,
Diese Anleitung ist einfach super.
Wann wird hier der zweite (und weitere :)) Teile erscheinen?
Windows 10 hat ja doch einige Sachen hinzubekommen.
Auch jetzt mit dem Update 1607.
Freue mich schon die weiteren Teile zu lesen.
LG
Daniel
Hallo Daniel,
vielen Dank. Es freut mich dass der Artikel gut ankommt. Leider bin ich im Moment umzugsbedingt ausgelastet und komme kaum zum schreiben. Ich arbeite auf jeden Fall an einer Aktualisierung wenn ich wieder Luft habe (vermutlich Anfang September)
Super Anleitung, hat mir sehr geholfen.
Hallo Stefan,
würden prinzipiell schon gehen, allerdings kann man dann die Funktion mit dem XML nicht mehr nutzen. Man müsste dann mit RegistryKeys arbeiten, die nur einmal gesetzt werden.
https://social.technet.microsoft.com/Forums/de-DE/ced1d9e1-c987-4c3d-949d-40ea94ffbb2e/gpo-nur-einmalig-anwenden?forum=gruppenrichtliniende
In der Registry lassen sich die Programmverknüpfungen unter folgendem Pfad finden und können über RegKeys via GPO einmalig definiert werden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts]
Man kann ja ein Programm definieren und dann die Registry-Werte per GPO setzen.
Auszug aus dem Technet>
<
Ne andere Möglichkeit fällt mir gerade nicht ein. Komme im Moment gerade nicht dazu das zu testen, kannst aber gerne einen weiteren Kommentar mit deinen Erfahrungswerten posten.
Vielen Dank schon Mal.
Viele Grüße
Alex
Hallo!
Gibt es eine Möglichkeit, dass ein definiertes Standardprogramm (z.B.: Acrobat Reader für PDFs) nur ein mal gesetzt wird? Wenn der User z.B.: zusätzlich Acrobat installiert hat und PDFs mit dem „Writer“ öffnen will … ?!
Danke & lg
Stefan