Windows 10 Verwaltung mit Windows Server 2012R2 GPOs Teil 1

UPDATE 19.04.2017 -> dieser Artikel ist weiterhin gültig, wer sich für die aktuelle WIN10 1703 Creators Update interessiert siehe neuer Artikel

Inhalt: 

Schnellzugriff umstellen

Dateiendungen immer anzeigen

OneDrive abschalten

Standardprogramme zentral definieren

Da es nun immer mehr Windows 10 Installationen gibt und diese auch in Unternehmensnetze vordringen, dachte ich mir, dass es sinnvoll sein könnte sich der Verwaltung des neuen Betriebssystems per GPO anzunehmen. Im ersten Teil meiner Reihe geht es  um das Thema GPOs für WIN 10 in Verbindung mit einem Windows Server 2012R2.

Als erstes müssen GPO Templates für Windows 10 auf den DC importiert werden.

dazu die aktuellen Templates herunterladen(Templates sind abwärtskompatibel) z.B. Für Windows 10 1511 .

In meiner Testumgebung habe ich WIN10 1024 ebenfalls mit den aktuellen Templates gesteuert.

Die heruntergeladene MSI kann auf einem beliebigen Rechner installiert werden (es muss kein DC sein, da die ADMX Templates dann aus dem Verzeichnis auf den DC kopiert werden können).

Win10-ready01

Bei der Installation den Installationspfad beachten! Die Templates werden in diesem abgelegt.

Default: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511\

Eine empfohlene Methode für die zentrale Verwaltung von GPOs habe ich bereits hier beschrieben!

Also die ADMX und auch die ADML Files an die richtige Stelle legen und ersetzen.

Es empfiehlt sich davor noch eine Sicherheitskopie der alten Files anzulegen.

Sollten beim Öffnen der Administrativen Templates über die GPO Verwaltung Fehler auftreten, müssen diese beseitigt werden.

Eine mögliche Fehlermeldung:

Namespace ‚Microsoft.Policies.Sensors.WindowsLocationProvider‘ is already defined as the target namespace for another file in the store.

Lösung:

1. Löschen von LocationProviderADM.admx und LocationProviderADM.adml im Central Store

2. Umbenennen von Microsoft-Windows-Geolocation-WLPAdm.admx in LocationProviderADM.admx

3. Umbenennen von Microsoft-Windows-Geolocation-WLPAdm.adml in LocationProviderADM.adml

ich bin schon auf weitere Fehler gestoßen, wobei ich diese hier nicht explizit aufführe.

So wenn nun die GPOs erfolgreich importiert sind, ist der erste wichtige Schritt hin zur zentralen Verwaltung von Windows 10 geschafft.

Um in die zentrale GPO-Verwaltung zu gelangen, auf den Servermanager gehen und Gruppenrichtlinienverwaltung starten.

Win10-ready12

Schnellzugriff umstellen

Als erstes zeige ich, wie der „Schnellzugriff“ im Windows Explorer dauerhaft auf „Computer“ umgestellt werden kann.

Win10-ready04

Dies ist eine benutzerspezifische Einstellung, welche aktuell nur in der Registry definiert wird , also neue GPO für Benutzer erstellen.

Folgender Registry Key muss verteilt werden.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

LaunchTo als DWORD anlegen mit dem Wert „1“

Wert 1 = „Computer“

Wert 0 = „Schnellzugriff“

Win10-ready03

Nach dem Anwenden der GPO startet der Explorer im „normalen“ Modus.

Win10-ready07

Dateiendungen immer anzeigen

Ist ebenfalls eine benutzerspezifische Einstellung.

Win10-ready05

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt als DWORD anlegen mit Wert „0“

Win10-ready06Nach dem Anwenden der GPO sind auch die Dateierweiterungen sichtbar.

Win10-ready08

 

OneDrive aus Explorer und Taskleiste entfernen

Dies ist eine Computerrichtlinie und bereits von Microsoft vorgefertigt. Dazu ein neues Gruppenrichtlinienobjekt erstellen.

Computer Configuration -> Administrative Templates -> Windows Components -> OneDrive -> Prevent the usage of OneDrive for file storage

Win10-ready09

das Ganze noch auf deutsch:

Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten ->

OneDrive ->Verwendung von OneDrive für die Dateispeicherung verhindern

Win10-ready25

Nachdem die Einstellung gesetzt sind, erstelle ich noch einen WMI Filter (filtert die GPOs auf Hard/Software Merkmale von PCs), sodass diese Richtlinie ausschließlich Windows 10 Maschinen anwenden.

WMI Filter erstellen:

Win10-ready13

 

select * from Win32_OperatingSystem where (Version like "10.%" AND ProductType="1" )

Win10-ready10

 

Natürlich muss der WMI Filter dann auch noch auf die GPO angewendet werden.

Win10-ready11

und natürlich auf die entsprechende OU zuweisen, in meinem Fall lege ich diese auf die oberste Ebene (in Produktivumgebungen allerdings nicht zu empfehlen).

Win10-ready26

 

 

alle weiteren Anpassungen in der selben GPO tätigen.

Standard Programme zentral definieren

Um nun einen anderen Browser oder PDF-Reader zentral vorzugeben ist es von nöten, dies einmalig an einem Windows 10 Rechner zu definieren und diese Einstellung dann in eine XML Datei zu exportieren. Diese kann dann per GPO verteilt werden.

Dazu das „Beispielsystem“ konfigurieren ( z.B. InternetExplorer als Standardbrowser,PDF-Reader etc.).

Win10-ready14

 

Win10-ready16

 

 

 

Win10-ready15

 

Win10-ready17

 

Win10-ready18

 

Hier kann auch nach Dateitypen zugeordnet werden, alle gewünschten Einstellung tätigen.

Danach die Powershell „Als Administrator“ starten.

Win10-ready19

 

Nun die Konfiguration der Standard Apps als XML Datei exportieren.

Dism /Online /Export-DefaultAppAssociations:C:\temp\standard-programme.xml

Es kann auch ein Netzwerkshare angegeben werden \\server\share\…

Win10-ready20

Win10-ready21

In dieser XML Datei sind alle Zuordnungen zu Dateiendungen gespeichert (auch welche die nicht extra definiert wurden).

Diese Datei kann nun in ein zentrales Share gelegt werden, auf das alle Benutzer Zugriff haben.

in meinem Fall lege ich dies in SYSVOL Verzeichnis

Win10-ready22

Nun kann mit Hilfe der GPOs diese Konfiguration verteilt werden.

Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer -> Set a default associations configuration file

Win10-ready23

 

das Ganze auf deutsch:

Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Datei-Explorer -> Konfigurationsdatei für Standardzuordnungen festlegen

Win10-ready24

Diese Einstellungen greifen nach einem Neustart der Clients.

Der Benutzer hat zwar nun noch die Möglichkeit eigene Anwendungen zu definieren, allerdings werden diese Einstellungen beim nächsten Neustart von den GPOs überschrieben

 

Weiterer Teil folgt bald.

Freue mich über Kommentare!

 

 

Print Friendly, PDF & Email
  • Was this Helpful ?
  • yes   no

5 thoughts on “Windows 10 Verwaltung mit Windows Server 2012R2 GPOs Teil 1

  1. Avatar
    Daniel G.

    Hallo Alexander,

    Diese Anleitung ist einfach super.
    Wann wird hier der zweite (und weitere :)) Teile erscheinen?
    Windows 10 hat ja doch einige Sachen hinzubekommen.
    Auch jetzt mit dem Update 1607.

    Freue mich schon die weiteren Teile zu lesen.

    LG
    Daniel

    1. A.K.

      Hallo Daniel,

      vielen Dank. Es freut mich dass der Artikel gut ankommt. Leider bin ich im Moment umzugsbedingt ausgelastet und komme kaum zum schreiben. Ich arbeite auf jeden Fall an einer Aktualisierung wenn ich wieder Luft habe (vermutlich Anfang September)

  2. Avatar
    Peter

    Super Anleitung, hat mir sehr geholfen.

  3. A.K.

    Hallo Stefan,

    würden prinzipiell schon gehen, allerdings kann man dann die Funktion mit dem XML nicht mehr nutzen. Man müsste dann mit RegistryKeys arbeiten, die nur einmal gesetzt werden.
    https://social.technet.microsoft.com/Forums/de-DE/ced1d9e1-c987-4c3d-949d-40ea94ffbb2e/gpo-nur-einmalig-anwenden?forum=gruppenrichtliniende

    In der Registry lassen sich die Programmverknüpfungen unter folgendem Pfad finden und können über RegKeys via GPO einmalig definiert werden:
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts]

    Man kann ja ein Programm definieren und dann die Registry-Werte per GPO setzen.

    Auszug aus dem Technet
    <>

    Ne andere Möglichkeit fällt mir gerade nicht ein. Komme im Moment gerade nicht dazu das zu testen, kannst aber gerne einen weiteren Kommentar mit deinen Erfahrungswerten posten.

    Vielen Dank schon Mal.

    Viele Grüße

    Alex

  4. Avatar
    Stefan

    Hallo!

    Gibt es eine Möglichkeit, dass ein definiertes Standardprogramm (z.B.: Acrobat Reader für PDFs) nur ein mal gesetzt wird? Wenn der User z.B.: zusätzlich Acrobat installiert hat und PDFs mit dem „Writer“ öffnen will … ?!

    Danke & lg
    Stefan

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.