ComputerBase Menü
Aktuelles

Gruppenrichtlinien per Skript verwalten - Windows 10 Pro

spfccmtftt89

spfccmtftt89

Lt. Commander
Registriert
Mai 2018
Beiträge
1.228
Guten Abend liebes Forum,

ich bin auf der Suche nach einer Möglichkeit, Gruppenrichtlinien unter Windows 10 Pro (PC ist kein Teil einer Domäne) bequem per Skript zu verwalten.

Ich bin bereits über diverse "Anleitungen" gestolpert, werde aber nicht schlau daraus bzw. sind es Posts von einzelnen Personen, die nicht der Schwarmintelligenz unterliegen, z.B. https://serverfault.com/questions/848388/how-to-edit-local-group-policy-with-script

Stimmt es zum Beispiel, dass sich der Gruppenrichtlinieneditor nur an der Registry bedient und dass es auf die gesetzten Schlüssel ankommt?

Ich habe versucht, damit herumzuspielen, kann in gpedit.msc Werte setzen und sehe, wie der Schlüssel in der Registry entsteht, als Beispiel soll

Richtlinien für Lokaler Computer/Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität/Anwendungstelemetrie deaktivieren

dienen.

Der zugehörige Befehl für die Powershell lautet

New-ItemProperty -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\AppCompat" -name DisableUAR -value 1 -propertyType dword -force

damit ein entsprechender Wert in der Registry gesetzt wird.


Mein "Problem" ist folgendes:

Im UI des GPEdit finde ich keine "Änderung" (auch nicht nach einem Neustart oder nach dem Aktualisieren der Gruppenrichtlinien), also dass der Wert als "aktiviert" gesetzt wurde.

Gibt es noch mehr Stellschrauben, die ich bislang übersehen habe? Mehr Hebel, die ich umlegen muss? Oder ist das UI von GPEdit in dem Sinne losgekoppelt von der Registry und die Richtlinie ist aktiv, auch wenn es nicht in GPEdit erkennbar ist?


Ich hoffe, ich konnte mich halbwegs artikulieren und dass ich im richtigen Forum gelandet bin!:)


LG
spfccmtftat
 
  • Gefällt mir
Reaktionen: Piep00
War es nicht so, dass das Aendern der lokalen Gruppenrichlinien per gpedit.msc nur in eine Richtung laeuft?

Alles was mit gpedit.msc fuer User/Maschine gemacht wird, landet erst in der entsprechenden registry.pol

1548023098838.png

und wird beim Neustart/Aktualisieren in die Registry uebertragen. Rueckwaerts geht das nicht.

BFF
 
@BFF Also müsste ich die Registry.pol bearbeiten oder beim händischen Einrichten per gpedit bleiben?
 
Viel Spass beim "haendischen" Bearbeiten. :D

1548023591287.png


Das im oberen Bild ist dieses User-Setting.

1548023658476.png


Was willst Du denn am Ende konkret erreichen?
Einen Muster-PC mit allen Einstellungen und die Settings auf andere PC "Klonen"?
Weil wenn ja, such mal nach lgpo -> http://woshub.com/backupimport-local-group-policy-settings/
Im Prinzip reicht eigentlich auch das Kopieren der Inhalte aus den Policy-Ordner.

Ich persoenlich nutze fuer Privat eine stinknormale *.REG wo das drin ist was ich mir zusammengesucht hab und was auf einer Testkiste per GPEDIT erzeugt wurde.

BFF
 
Zuletzt bearbeitet:
BFF schrieb:
Ich persoenlich nutze fuer Privat eine stinknormale *.REG wo das drin ist was ich mir zusammengesucht hab und was auf einer Testkiste per GPEDIT erzeugt wurde.

BFF
Zum Vergrößern anklicken....

Also langt es, die Einträge in der Registry vorzunehmen, denn es spielt keine Rolle, ob die gesetzten Werte in GPEdit angezeigt werden?:)

Ich möchte mir einfach viel Klickarbeit sparen, wenn ich Windows neu aufsetze.
 
Exakt.
Nur daran denken, dass einige Werte in der Registry gesetzt sein koennen, egal ob per REG oder gpedit, und dennoch nicht wirken. Liegt einfach daran, das manche Sachen halt nur mit Enterprise-Editionen moeglich sind. Pro ist manchmal aussen vor, Home noch viel oefter.

BFF
 
Man kann es auch von einem PC zum anderen kopieren

C:/Windows/System32/GroupPolicy

Den ganzen Ordner auf den anderen Rechner kopieren
 
Ich danke euch beiden erstmal und schaue, wohin mich die Ansätze führen.:)
 
  • Gefällt mir
Reaktionen: Piep00
@konkretor Dazu habe ich gelesen, dass der gesicherte Ordner je nach Windows-Version "wertlos" werden kann, da nicht mehr kompatibal.:(

@BFF Ich habe eine VM aufgesetzt und habe den Wert
New-ItemProperty -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
händisch in der Registry angelegt und ihm den Wert 1 gegeben.

Dieser Wert gehört zur Gruppenrichtlinie
Richtlinien für Lokaler Computer/Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Abrufen von Gerätemetadaten aus dem Internet verhindern

Allerdings erscheint keine Änderung im UI von GPEDIT -.-

Wenn ich per RegistryChangesView zwei Snapshots der Registry anfertige (davor, frisches Windows 10, alles auf default) und danach (nur diesen einen Wert angelegt), zeigt mir das Programm ungelogen tausende Änderungen an den diversten Stellen in der Registry. Nun kann es sein, dass Windows selbst im Hintergrund so viel ackert, runterlädt etc, dass diese eine Änderung untergeht, aber genau das check ich nicht.

Können wir uns vllt ansatzweise über die *.reg-Datei austauschen? Bitte?:) Und wie kannst du dir sicher sein, dass deine Einträge "sitzen"? Siehst du dann die Änderung im Gruppenrichtlinieneditor?
 
Kann gut sein. Der Tipp mit dem Ordner kopieren stammt noch aus Win7 Zeiten
 
  • Gefällt mir
Reaktionen: spfccmtftt89
Mir fehlt Windows 7!xD
Wär ja auch super bequem und einfach und ich danke dir, aber spätestens mit 1903 wird's dann wohl den Bach runtergehen.-.-
 
  • Gefällt mir
Reaktionen: Piep00
Hi,

@konkretor
Das mit dem Kopieren klappt schon mit W10. Darum geht es nicht. Es geht um manuell erzeugte REg-Eintraege die sich nicht in der GUI von GPEDIT wieder spiegeln.

@spfccmtftat
Hatte ich das nicht gesagt, dass es nur in eine Richtung geht mit GPEDIT?
Von GPEDIT -> Registry.pol -> Registry. Was Du per manuellen REG oder per PS machst interessiert die Anzeige der Werte in GPEDIT nicht. Die sieht nur, was in den Registry.pol enthalten ist.

BFF
 
@BFF Ja hattest du, nun habe ich es vollständig aufgefasst. Ich schiebe es auf das Schlafdefizit, bitte verzeih mir.:p
Ergänzung ()

@BFF Und woher weißt du nun, dass jeder gesetzte Wert funktioniert?:)
 
Zuletzt bearbeitet:
Ausprobieren oder gelesen das die Werte funktionieren mit der jeweiligen Edition. ;)
deskmodder.de, gruppenrichtlinien.de sind da gute Anlaufseiten.

Generell nehme ich immer an, dass was mit gpedit eingestellt wird auch funktioniert, wenn denn in gpedit gesagt wird, dass es meinetwegen ab W7 ist. Ob dem immer so ist, muss man sich schlau machen. Mit W10 sind viele Einstellungen anders beschrieben und auch an anderen Stellen zusammengefasst.

Zu RegistryChangesView. Das Teil liesst zuviel mit. :D
Was per gpedit gemacht wird, landet je nach USER/COMPUTER in der Registry unter.

-> \HKEY_CURRENT_USER\Software\Policies
-> \HKEY_LOCAL_MACHINE\SOFTWARE\Policies

Dort schaust Du nach den Aenderungen.
Die Werte kannst Du exportieren und in einer REG zusammenfassen mit Einstellungen, die u.U. nicht per GPEDIT machbar sind. Hier mal ein Beispiel.

Code: 
Windows Registry Editor Version 5.00

;created by BFF
;for private usage

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine]
"MpEnablePus"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization]
"NoLockScreen"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search]
"BingSearchEnabled"=dword:00000000
"CortanaConsent"=dword:00000000

BFF
 
  • Gefällt mir
Reaktionen: Piep00
Ja, da gab es schon die ein oder andere Diskussion, inwieweit diese Tools hilfreich sein können bzw. inwieweit man O&O "vertrauen" kann.

Dann werd ich mal in der VM nach den betroffenen Zweigen fanden, wenn ShutUp10 zugeschlagen hat und kann diese ja prima übernehmen in meine zusammengebastelte .reg-Datei!:D
 
  • Gefällt mir
Reaktionen: BFF
@BFF Ja, sein Tool hatte ich schon mal entdeckt..:)

Jedoch...
@areiland Ich kann zwar dein Tool mit Adminrechten starten und würde so gern die Systemsteuerung sowie Bibliotheken unterhalb von dieser PC ausblenden, jedoch tut sich nichts, wenn ich "Ausblenden" anklicke und die Mühle neu starte. Dafür muss es ja passende Reg-Schlüssel geben, die aber in deinem Tool nicht ersichtlich sind.

Kannst du mir da weiterhelfen?:)
 
Wenn mein Tool nicht in der Lage ist, bei Dir irgendwelche Ordner direkt (man kann dabei nämlich im Explorer zusehen) auszublenden, dann hindert eine Einstellung oder eben ein Virenscanner es daran. Sämtliche Ordner werden nämlich alleine über die Benutzerprofileinstellungen ausgeblendet, weshalb der Benutzer dies eigentlich immer problemlos veranlassen kann.
 
  • Gefällt mir
Reaktionen: spfccmtftt89
Sollte es bei einem unangetatschten Windows 10 in einer VM mit ausgeschaltetem Windows Defender in der Lage sein, die Systemsteuerung auszublenden?:)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Musik verwalten (Windows 10)
2 3 4
Antworten
63
Aufrufe
8.231
larska
L
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz