einmalige GPO für Windows 10

[Bernie87]

Hallo zusammen,

wir sind gerade dabei bei einigen PC´s in unserer Firma Windows 10 auszurollen.
Zuvor hatte ich die meisten Einstellungen mit dem neuen ADMx Templates für Windows 10 per GPO eingestellt.
Jetzt gab es aber eine Entscheidung, dass bestimmte Sachen welche ich zuvor per GPO abgestellt hatte (z.B. Cortana) durch die Benutzer wieder eingeschaltet werden können.

Nun muss ich diese Sachen wieder aus den GPO´s rausnehmen.
Dennoch würde ich eine Art "Start Konfiguration" vorgeben wollen in der On Drive und Cortana deaktiviert wird und die meiste Kommunikation nach Redmond ausgeschaltet wird.

Könnt ihr mir sagen wie ich das anstellen kann?
Am liebsten würde ich mir eine GPO fertig machen welche ich dann exportiere und anschließend per Batch einmalig ausführe.
Alles andere steuere ich dann über gpo.

Gruß

 

[Cat Toaster]

Hmm, Du hast aber darauf geachtet das die ADMX-Templates zum verwendetet Windows 10 passen? Da gibt es ja extra ein 1511er-Set für die entsprechenden Windowse, mit den alten wäre es normal das es nicht alles funktioniert. Zumindest kann ich hier entsprechend abgestimmt Cortana durchaus per Gruppenrichtline deaktivieren und der Anwender (mit Nutzerrechten) kann es auch nicht wieder aktivieren. Teile der Telemetrie lassen sich auch in den Griff bekommen, teilweise wieder in der Tat durch den Nutzer aktivieren.

Dafür funktioniert hier das deaktivieren des Stores definitiv nicht, eingeschränkte Nutzer können sich dann mit MS-Konto Farmville runterladen und sogar spielen. Das geht so überhaupt nicht...

Wir haben uns dann dieses Jahr erneut für Windows 7 auf den neuen Systemen entschieden, da wir Windows 10 einfach nicht befriedigend unter Kontrolle bekommen.

 

[Necareor]

@Cat Toaster:
Ihm geht es ja darum, die Sachen zu deaktivieren, aber dem Anwender dennoch die Möglichkeit zu geben, sie bei Bedarf wieder zu aktivieren.

Mir fällt da spontan leider nichts ein, wenn der Anwender nur normale Benutzerrechte hat. Wie genau hast du dir denn vorgestellt, aktiviert der Benutzer die Sachen denn wieder?
Würde es nicht reichen, wenn du die GPOs aktiviert lässt, und sobald ein User diese Features nutzen will, fügst du den Benutzer oder den Rechner als Ausnahme in der entsprechenden GPO hinzu? Ich vermute mal, dass derjenige sowieso auf dich zu kommt, selbst wenn du es schaffst, dass der User die Features wieder selbst aktivieren könnte. Denn nur weil die Anwender es könnten, heißt es ja nicht gleich, dass sie auch wissen, wie es geht ^^

 

[Cat Toaster]

Ups, Sorry.

 

[wirelessy]

Preferences sind durch den User änderbar, Policies nicht.

 

[Bernie87]

Vielen Dank für Eure Antworten.

Wie setze ich denn Preferences?
Das über 2 GPO´s zu lösen würde ich ungern machen, dass würde doch relativ großen Aufwand bedeuten.
Das ganze muss auch nicht über die GPO´s gemacht werden ich würde halt gerne eine Möglichkeit haben bestimmte Funktionen out of the Box zu deaktivieren.

 

[d0ner]

Ich würde das Rollout Image so anpassen, dass diese Einstellungen dort fest gesetzt sind. So hat jeder frisch installierte PC per default feste Einstellungen.
Dann würde ich mir ein PU Konzept überlegen, für Nutzer, die GPO1 erhalten sollen und für User die GPO2 erhalten sollen. So kannst du durch Verschieben der Nutzer in OUs flexibel die GPOs durchwechseln. Jemand der gar keine GPO erhält hat die von dir im Image vorgegebenen Grundeinstellungen.

Edit: in den GPO hast du jeweils "Richtlinien" und "Einstellungen". Was du unter Einstellungen änderst, kann später vom User gändert werden. Richtlinien grauen die Änderungsmöglichkeit aus.

 

[Bernie87]

Das ganze schon in dem Image zu integrieren ist eine Super Idee.
Das habe ich aber erstmal nicht gemacht, da gedacht hätte, dass es noch keine Tool hierfür gibt.
Ich habe per google gerade auch keines gefunden...

Ergänzung (6. Juli 2016)

Ich habe gerade versucht per Nlite das Image anzupassen.
Das klappt leider nicht, da ich z.B. Cortana hierüber nicht ausstellen kann und onedrive lässt sich auch nicht deaktivieren.