12
Windows 10 GPO Powershell Skript Registry bearbeiten
Hi Admins,
Gegeben ist ein Windows 2012 R2 Server an welchen ich Gpos für Windows 10 Clients bereitstelle.
U.a. möchte ich ein Powershell-Skript bereitstellen, welches bestimmte Registry Einträge vornimmt.
Edit: das Script läuft unter Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts -> Anmelden.
So sieht es bisher aus:
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name "AllowTelemetry" -value "0"
New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive"
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -name "DisableFileSyncNGSC" -value "1"
Die erste Zeile funktioniert, der Reg Eintrag wird gesetzt wie er soll.
Der Registry Pfad zu OneDrive existiert bei den Clients nicht.
New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" wird allerdings nicht durchgeführt und damit natürlich auch die 3. Zeile nicht ausgeführt.
Ich habe New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" mal lokal auf einem Testrechner in der Powershell ausgeführt. Dann wird der Ordner OneDrive wie gewünscht erstellt.
Da die erste Zeile ja ausgeführt wird, wird die GPO gezogen, und es kann sich ja dann auch nicht um ein Berechtigungsproblem handeln.
Wer kann mir helfen?
Potshock
Gegeben ist ein Windows 2012 R2 Server an welchen ich Gpos für Windows 10 Clients bereitstelle.
U.a. möchte ich ein Powershell-Skript bereitstellen, welches bestimmte Registry Einträge vornimmt.
Edit: das Script läuft unter Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts -> Anmelden.
So sieht es bisher aus:
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name "AllowTelemetry" -value "0"
New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive"
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -name "DisableFileSyncNGSC" -value "1"
Die erste Zeile funktioniert, der Reg Eintrag wird gesetzt wie er soll.
Der Registry Pfad zu OneDrive existiert bei den Clients nicht.
New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" wird allerdings nicht durchgeführt und damit natürlich auch die 3. Zeile nicht ausgeführt.
Ich habe New-Item -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\OneDrive" mal lokal auf einem Testrechner in der Powershell ausgeführt. Dann wird der Ordner OneDrive wie gewünscht erstellt.
Da die erste Zeile ja ausgeführt wird, wird die GPO gezogen, und es kann sich ja dann auch nicht um ein Berechtigungsproblem handeln.
Wer kann mir helfen?
Potshock
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355705
Url: https://administrator.de/contentid/355705
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Wieso setzt du Policies über Powershell und Registry wenn es diese doch schon nativ in den GPOs gibt??
P.s. Kann ja nicht gehen, du schreibst in HKLM!
P.s. Kann ja nicht gehen, du schreibst in HKLM!
Moin,
falls du (warum auch immer) deine GPOs nicht zentral verwaltest, dann kannst du diese auch per LGPO.exe am PC importieren.
Dann brauchst du dich wenigstens nicht durch die Reg quälen.
Das ließe sich auch in ein Logo-Skript oder Deploymenttool einarbeiten.
Gruß
falls du (warum auch immer) deine GPOs nicht zentral verwaltest, dann kannst du diese auch per LGPO.exe am PC importieren.
Dann brauchst du dich wenigstens nicht durch die Reg quälen.
Das ließe sich auch in ein Logo-Skript oder Deploymenttool einarbeiten.
Gruß
Hi.
kann sich ja dann auch nicht um ein Berechtigungsproblem handeln.
Doch, du versuchst im Benutzerkontext nach HKLM zu schreiben - dies muss fehlschlagen bei Nicht-Admins. Nimm ein Startskript.
Hi Specht,
genau so war es auch ursprünglich gedacht.
Ziel ist es den Datenschutz wie in https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf beschrieben, per GPO zu gewährleisten.
Jedoch kann ich verschiedene Einstellungen nicht im Gruppenlinienverwaltungs Editor auf dem Server 2012 R2, finden.
z.B. Seite 58:
OneDrive deaktivieren
(deutsch)
Computerkonfiguration
Administrative Vorlagen
Windows Komponenten
OneDrive
Einstellung
Verwendung von OneDrive für die Dateispeicherung verhindern
(englisch)
Computer Configuration
Administrative Templates
Windows Components
OneDrive
Prevent the usage of OneDrive for file storage
Ich kann den Ordner OneDrive dort nicht finden! Bin ich blind?
Vielleicht klärst du einen Blinden auf
!
Potshock
genau so war es auch ursprünglich gedacht.
Ziel ist es den Datenschutz wie in https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf beschrieben, per GPO zu gewährleisten.
Jedoch kann ich verschiedene Einstellungen nicht im Gruppenlinienverwaltungs Editor auf dem Server 2012 R2, finden.
z.B. Seite 58:
OneDrive deaktivieren
(deutsch)
Computerkonfiguration
Administrative Vorlagen
Windows Komponenten
OneDrive
Einstellung
Verwendung von OneDrive für die Dateispeicherung verhindern
(englisch)
Computer Configuration
Administrative Templates
Windows Components
OneDrive
Prevent the usage of OneDrive for file storage
Ich kann den Ordner OneDrive dort nicht finden! Bin ich blind?
Vielleicht klärst du einen Blinden auf
!Potshock
Hallo DerWOWusste,
ok, aber warum kann er dann die erste Zeile abarbeiten, ist ja auch in HKLM:
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name "AllowTelemetry" -value "0"
Mit Startscript meinst du es unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Skripts\Starten laufen zu lassen.
Das versuche ich gleich mal.
Das heisst, wenn ich in der Registry den HKCU Bereich bearbeiten will, muss ich dann wieder Benutzerkonfiguration wählen?
Mit besten Dank für deine Unterstützung
Potshock
ok, aber warum kann er dann die erste Zeile abarbeiten, ist ja auch in HKLM:
New-ItemProperty -Type DWord -path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name "AllowTelemetry" -value "0"
Mit Startscript meinst du es unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Skripts\Starten laufen zu lassen.
Das versuche ich gleich mal.
Das heisst, wenn ich in der Registry den HKCU Bereich bearbeiten will, muss ich dann wieder Benutzerkonfiguration wählen?
Mit besten Dank für deine Unterstützung
Potshock
Ich bau mir bei nicht vorhandenen Policies einfach immer schnell eine eigene ADMX dann brauch ich nicht umständlich extra ein Skript für das ganze verschwenden, btw. hier im Forum gibt es irgendwo ein fertiges GPO Template dafür finde es gerade nur nicht, die Suchfunktion ist totaler Schrott und unbrauchbar hier.
Tante Edith
Windows 10 per GPO mundtot machen
Tante Edith
Windows 10 per GPO mundtot machen
Hi Specht,
ok, habe die Vorlage mal importiert und sie mir angesehen.
Habe jetzt jedoch ein weiteres Verständnisproblem. Wenn ich in die PDF, die dabei war, schaue, so finde ich unter dem Punkt Telemetrie deaktivieren folgenden Pfad:
Gruppenrichtlinie Computerkonfiguration
Administrative Vorlagen
Windows Komponenten
Datensammlung und Vorabversionen
In der dazugehörigen importierten GPO hat er das aber unter
Gruppenrichtlinie Computerkonfiguration
Administrative Vorlagen
(Datensammlung und Vorabversionen auch in engl. gibt es gar nicht!)
Application Compatibility
Turn off Application Telemetry aktiviert.
Und als Skript steht in der PDF:
New-ItemProperty -path "HKLM\
SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name
"AllowTelemetry" -value "0" -propertyType dword -force
In der GPO steht aber unter Zusätzl. Reg.-einst.:
SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry" 1
Jetzt blicke ich gar nicht mehr durch
.
Kannst du mir weiter helfen?
Potshock
ok, habe die Vorlage mal importiert und sie mir angesehen.
Habe jetzt jedoch ein weiteres Verständnisproblem. Wenn ich in die PDF, die dabei war, schaue, so finde ich unter dem Punkt Telemetrie deaktivieren folgenden Pfad:
Gruppenrichtlinie Computerkonfiguration
Administrative Vorlagen
Windows Komponenten
Datensammlung und Vorabversionen
In der dazugehörigen importierten GPO hat er das aber unter
Gruppenrichtlinie Computerkonfiguration
Administrative Vorlagen
(Datensammlung und Vorabversionen auch in engl. gibt es gar nicht!)
Application Compatibility
Turn off Application Telemetry aktiviert.
Und als Skript steht in der PDF:
New-ItemProperty -path "HKLM\
SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name
"AllowTelemetry" -value "0" -propertyType dword -force
In der GPO steht aber unter Zusätzl. Reg.-einst.:
SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry" 1
Jetzt blicke ich gar nicht mehr durch
.Kannst du mir weiter helfen?
Potshock
aber warum kann er dann die erste Zeile abarbeiten, ist ja auch in HKLM:
Gute Frage... Nutzer evtl. Admin und ebenfalls noch UAC aus? Dürfte nicht gehen.Mit Startscript meinst ...
genau das.Das heisst, wenn ich in der Registry den HKCU Bereich bearbeiten will, muss ich dann wieder Benutzerkonfiguration wählen?
Ja.
Hi Specht,
vielleicht kannst du mir noch mal helfen.
Wie in meinem Vorpost schon erwähnt, habe ich nach Import der GPO einen Bereich Zusätzl. Reg.-einst.
Dort sind ca. 40 Einstellungen, von denen ich einige nicht umsetzen will.
Wie kriege ich diese dort wieder raus, da mir ja die Templates fehlen?
Ist es richtig, daß ich in der Datei gpreport.xml den entsprechenden Bereich einfach löschen kann?
Schöner wäre natürlich, wenn ich dem Hinweis dort folgen könnte:
"Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem."
Google hat unter anderem dieses Ergebnis gebracht:
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1176.h ...
und den Hinweis auf das Tool Registry System Wizard.
Ist das zu empfehlen, oder wie bastelst du aus Registryeinträgen deine eigenen ADMX Dateien?
In der Hoffnung, daß deine Geduld mit mir noch nicht erschöpft ist
Potshock
vielleicht kannst du mir noch mal helfen.
Wie in meinem Vorpost schon erwähnt, habe ich nach Import der GPO einen Bereich Zusätzl. Reg.-einst.
Dort sind ca. 40 Einstellungen, von denen ich einige nicht umsetzen will.
Wie kriege ich diese dort wieder raus, da mir ja die Templates fehlen?
Ist es richtig, daß ich in der Datei gpreport.xml den entsprechenden Bereich einfach löschen kann?
Schöner wäre natürlich, wenn ich dem Hinweis dort folgen könnte
:"Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem."
Google hat unter anderem dieses Ergebnis gebracht:
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1176.h ...
und den Hinweis auf das Tool Registry System Wizard.
Ist das zu empfehlen, oder wie bastelst du aus Registryeinträgen deine eigenen ADMX Dateien?
In der Hoffnung, daß deine Geduld mit mir noch nicht erschöpft ist
Potshock
Zitat von @potshock:
Wie in meinem Vorpost schon erwähnt, habe ich nach Import der GPO einen Bereich Zusätzl. Reg.-einst.
Dort sind ca. 40 Einstellungen, von denen ich einige nicht umsetzen will.
Wie kriege ich diese dort wieder raus, da mir ja die Templates fehlen?
Ist es richtig, daß ich in der Datei gpreport.xml den entsprechenden Bereich einfach löschen kann?
Besser du importierst sie und dann in der GPO im Sysvol modifizieren. Das du die Win10 ADMXes installiert hast setze ich natürlich voraus!Wie in meinem Vorpost schon erwähnt, habe ich nach Import der GPO einen Bereich Zusätzl. Reg.-einst.
Dort sind ca. 40 Einstellungen, von denen ich einige nicht umsetzen will.
Wie kriege ich diese dort wieder raus, da mir ja die Templates fehlen?
Ist es richtig, daß ich in der Datei gpreport.xml den entsprechenden Bereich einfach löschen kann?
Ist das zu empfehlen, oder wie bastelst du aus Registryeinträgen deine eigenen ADMX Dateien?
Schau dir die ADMXes und ADML(passende Übersetungsdatei) von Microsoft mal genau an, dann kannst du ganz einfach selbst solche Templates bauen . Habe Verständnis das ich dir das hier jetzt nicht beibringen kann, die Dateien erklären sich von selbst.Zitat von @potshock:
Hi Admins,
Gegeben ist ein Windows 2012 R2 Server an welchen ich Gpos für Windows 10 Clients bereitstelle.
Hi Admins,
Gegeben ist ein Windows 2012 R2 Server an welchen ich Gpos für Windows 10 Clients bereitstelle.
Da liegt vermutlich schon dein erstes Problem, da der 2012R2 Server keine Einstellungen für Windows 10 hat. Du brauchst die ADMX Dateien für Windows 10 und zwar für die entsprechende Version, welche auch aktuell installiert ist. Hier findest du z.B. die ADMX Dateien für die 1703: https://www.microsoft.com/de-DE/download/details.aspx?id=55080
Die ADMX Dateien müssen dann entweder unter: %systemroot%\PolicyDefinitions\ oder im Central Store gespeichert werden.
Dann findest auch die Einstellung für Telemetrie, OneDrive und Co in den GPOs. Allerdings solltest du wissen, dass man die Telemetrie bei Win 10 Pro nur auf Einfach stellen kann. Erst ab Enterprise funktioniert auch die Einstellung Sicherheit. Allerdings kann man den verantwortlichen Dienst dafür deaktivieren, was auch so in deinem verlinkten Dokument steht.
Hi Specht, hi DerWOWusste, hi java667,
ich habe die Registry Einträge jetzt nicht über PS-Skript geändert, sondern über Computerconfiguration (bzw. für die Einträge unter HKCU über Benutzerconfiguration) -> Einstellungen -> Registrierung. Dort dann jeweils ein Neues Registrierungselement angelegt. Klappt!
Danke für eure Unterstützung!
Potshock
PS.: Die Templates für 1703 werde ich mir trotzdem noch anschauen, danke!
ich habe die Registry Einträge jetzt nicht über PS-Skript geändert, sondern über Computerconfiguration (bzw. für die Einträge unter HKCU über Benutzerconfiguration) -> Einstellungen -> Registrierung. Dort dann jeweils ein Neues Registrierungselement angelegt. Klappt
!Danke für eure Unterstützung!
Potshock
PS.: Die Templates für 1703 werde ich mir trotzdem noch anschauen, danke!
