eastfrisian
Goto Top

Windows 10 Pro im Unternehmensumfeld - Store deaktivieren nicht möglich, weil kein Windows 10 Enterprise?

hallöchen,

ich beschäftige mich nun schon den halben Vormittag mit der Frage, warum auf einem neuen Windows 10 Client (wir haben nicht viele, 99% sind noch Windows 7) die GPO Richtlinie "Store-Anwendung deaktivieren" nicht greifen will. Mehr durch Zufall bin ich darüber gestolpert, dass Microsoft wohl diese Funktion irgendwann Ende 2015 auf den Einsatz von Windows 10 Enterprise beschränkt hat. Natürlich schreibt man das nicht in die GPO rein, damit würde man es dem Admin zu einfach machen. Aber nun gut, ich bin letztendlich darüber gestolpert.

Aktuell ist die Situation also folgende:

Bestehender Nutzer bekommt einen neuen PC. Statt bisher Windows 7, also nun Windows 10. Die IT hat es nicht auf die Reihe bekommen, den Store zu deaktivieren, da der PC-Hersteller (Dell) fröhlich Windows 10 Pro an Unternehmenskunden verkauft. Der Nutzer - ein ganz normaler "Domain user" mit eingeschränkten Rechten für die Programminstallation, bekommt nun also seinen neuen PC und denkt "cool, mit AppStore". Innerhalb von 30 Sekunden liegen Amazon Music, Netflix und wer weiß was noch für Apps auf dem Rechner. Er ist zwar lediglich Domain User und kann keine Programme installieren, für Apps aus dem Store gilt das aber nicht. Innerbetriebliche Anweisungen hin oder her. Wissen wir alle. Er wird Apps installieren.

Auf irgendwelche Firewall-Regularien mit sich bei jeder Windows Version ändernden Pfaden habe ich ehrlich gesagt keine Lust. Wie bekomme ich denn nun verhindert, dass der User seine Apps installiert? Soll er den Store meinetwegen besuchen, ist mir egal. Aber das verbieten der Installation von Apps wird ja wohl möglich sein. Und das zentral. Ohne irgendwo für jeden Client einzeln lokale Richtlinien zu verwalten.

Jemand einen Tipp? Sowas nervt doch tierisch.

Content-ID: 379525

Url: https://administrator.de/forum/windows-10-pro-im-unternehmensumfeld-store-deaktivieren-nicht-moeglich-weil-kein-windows-10-enterprise-379525.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

aqui
aqui 07.07.2018 aktualisiert um 12:22:21 Uhr
Goto Top
Ggf. funktioniert das auch mit allen anderen Store Apps:
https://www.heise.de/ct/hotline/Windows-10-installiert-ungefragt-Store-A ...
129580
129580 07.07.2018 um 12:22:10 Uhr
Goto Top
Hallo,

du hättest die Lösung schneller gefunden, hättest du kurz Google gefragt. face-sad

https://www.windowspro.de/script/windows-store-app-loeschen-wiederherste ...

Ebenso gibt es hier auch bereits zahlreiche Beiträge dazu.

Viele Grüße,
Exception
eastfrisian
eastfrisian 07.07.2018 um 12:27:52 Uhr
Goto Top
Sowas schreibt sich leicht. Hast Du mal Google nach den üblichen Begriffen wie "gpo windows 10 deactivate store" befragt? Da muss man teils schon enorm lang suchen um etwas zu finden, was nicht wie "importiere mal die aktuellen admx templates" oder "jaja, anfängerfehler. bei mir läuft das" aussieht. Sicher stößt man hier und da mal auf einen Ansatz. Aber ich fragte ja extra nach brauchbaren, zentral nutzbaren Lösungen. Da wird man schon noch nach einem Tipp fragen dürfen, oder? Bevor ich mir jede bisher verwendete Lösung einzeln ansehe und damit noch drei Tage verbringe.

Aber danke für deinen Tipp. Sehe ich mir mal genauer an.
129580
129580 07.07.2018 aktualisiert um 12:42:46 Uhr
Goto Top
Hi,

nicht falsch verstehen. Klar darfst du fragen. Aber ich hab den oben genanten Link auch nicht auswendig gekannt. Eine Sekunde googlen und schon direkt gefunden. Wenn ich deine Suchbegriffe bei Google eingebe, kommt bei Platz 1 auch ein Beitrag von dem Blog - allerdings ein älterer Beitrag. Bei diesem wurde bereits allerdings ebenso angekündigt, dass die GPO zukünftig nur noch für die Education und für die Enterprise Version gilt. Deshalb wurde auch noch eine weiterer Lösung vorgeschlagen indem man die Store App über die Powershell löscht. ;)

Viele Grüße,
Exception
eastfrisian
eastfrisian 07.07.2018 um 12:51:52 Uhr
Goto Top
Verstehe ich das richtig, dass mit diesem Hilfsmittel nur der Store vom aktuellen Benutzer entfernt wird? Es gibt zwar das Flag "-allusers", was passiert aber, wenn sich ein neuer/anderer Benutzer am PC anmeldet? Dann ist der Store doch wieder drin.
129580
Lösung 129580 07.07.2018 aktualisiert um 13:26:42 Uhr
Goto Top
Habs mir gerade selber kurz angeschaut. Mit dem Befehl "Get-AppxPackage -AllUsers" wird der App Store für alle Benutzer entfernt, die sich bereits am System angemeldet haben. Bei neuen Benutzern, die sich erstmalig sich bei dem System anmelden, wird der AppStore wohl wieder über AppXProvisionedPackage installiert. [1]

Du hast zwei Möglichkeiten: Entweder du fügst den Befehl zu deinem Login Skript hinzu oder du hast die Möglichkeit die Store App von der Liste der bereitgestellten Apps zu entfernen. Das geht dann mit dem Befehl:
Remove-AppXProvisionedPackage -Online -PackageName Microsoft.WindowsStore_2015.701.14.0_neutral_~_8wekyb3d8bbwe

Eventuell heißt das Paket inzwischen anders. Falls ein Fehler erscheint, musst du das mit dem Befehl prüfen:
Get-AppXProvisionedPackage -Online | Select *Store*

Anschließend sollte bei keinem neuen Benutzer, der sich erstmalig bei dem System sich anmeldet, die Store App erscheinen.

[1]
https://technet.microsoft.com/de-de/library/dn376467.aspx
eastfrisian
eastfrisian 07.07.2018 aktualisiert um 13:48:50 Uhr
Goto Top
Wirklich klasse, vielen Dank! Die nehme ich erst einmal.

Wobei auch diese nicht optimal sind. Sie gelten eben nur für neue - noch nicht am System existente User. Das wäre aber nicht so wild. Schließlich sind die Admins als erste am Rechner. Für alle folgenden User reicht das aus.

Problem dabei: der Store ist zwar weg - aber diese Crapware im Startmenü kann, aus welchen Gründen auch immer trotzdem heruntergeladen werden. Ist hier bereits ein für "Spiel XYZ" hinterlegt, welches jedoch erst noch heruntergeladen werden muss, reicht ein einzelner Klick aus und die App wird aus dem Internet geladen. Ebenfalls wieder ohne Rechte. Auch hier stellt sich dann wieder das Problem mit "was wenn neue User am Rechner sind". Klar, auch dafür gibt's wieder Lösungen. Und für die dann auftretenden Probleme ebenfalls. Und so weiter... Aber ganz im Ernst. Das ist alles Bullshit. Microsoft könnte hier einen anderen Weg beschreiten, sie wollen es jedoch nicht. Immer dieses endlose rumgefummel für die - eigentlich - einfachsten Dinge.

Ich weiß gar nicht, was andere ITler so machen, ich habe gar keinen Freiraum für solche Spielchen. Und ich bezeichne diesen Mist bewusst als Spielchen, da es mit etwas Unterstützung durch Microsoft viel einfacher wäre. Es gibt so vieles und wichtigeres um das man sich kümmern muss, und was sagt die IT? "Ich suche nach Möglichkeiten, die Installation von CandyCrush zu verhindern" "Ah, cool. Wie lang brauchst Du noch?" "Weiß nicht. Bin schon seit sechs Stunden dabei". Da bekommt man doch aus unternehmerischer Sicht einen Tobsuchtsanfall. Bei Windows 7 war das doch deutlich komfortabler zu lösen.

Na egal. Wem erzähle ich das. Hat ja niemand behauptet, es wäre alles super was Microsoft da so macht. Vielleicht schauen wir uns doch mal ein Client Management System an. Bisher setzen wir solche Lösungen lediglich für mobile devices ein, aber es besteht ja offensichtlich Optimierungsbedarf.
129580
129580 07.07.2018 aktualisiert um 14:03:31 Uhr
Goto Top
Wobei auch diese nicht optimal sind. Sie gelten eben nur für neue - noch nicht am System existente User. Das wäre aber nicht so wild. Schließlich sind die Admins als erste am Rechner. Für alle folgenden User reicht das aus.

Du könntest dein eigenes Custom Image von Windows 10 erstellen und die Apps somit entfernen. Dann hättest du das Problem bei zukünftigen Workstations bzw. Neuinstallationen von Windows 10 nicht mehr und die Apps sind von anfang an weg.

Problem dabei: der Store ist zwar weg - aber diese Crapware im Startmenü kann, aus welchen Gründen auch immer trotzdem heruntergeladen werden. Ist hier bereits ein für "Spiel XYZ" hinterlegt, welches jedoch erst noch heruntergeladen werden muss, reicht ein einzelner Klick aus und die App wird aus dem Internet geladen. Ebenfalls wieder ohne Rechte. Auch hier stellt sich dann wieder das Problem mit "was wenn neue User am Rechner sind". Klar, auch dafür gibt's wieder Lösungen. Und für die dann auftretenden Probleme ebenfalls. Und so weiter... Aber ganz im Ernst. Das ist alles Bullshit. Microsoft könnte hier einen anderen Weg beschreiten, sie wollen es jedoch nicht. Immer dieses endlose rumgefummel für die - eigentlich - einfachsten Dinge.

Du könntest auch alle vorinstallierten Windows Apps entfernen, nicht nur den Store, mit den oben genannten Befehlen. Dann sollte es eigentlich auch keine Einträge im Startmenü mehr geben. Die Möglichkeit mit dem Download sollte eigentlich nicht funktionieren, da der Download und Installation über den Store abläuft (meines Wissens nach). So hab ich das bei meinem privaten W10.
Althalus
Althalus 07.07.2018 aktualisiert um 14:40:49 Uhr
Goto Top
Klingt jetzt evtl. blöd. Aber warum kauft Ihr nicht die Enterprise Edition?
Mitunter aus dem Grund tun wir dies bei uns nämlich.

Evtl. hilft ja auch der Link hier: https://social.technet.microsoft.com/Forums/de-DE/e0be1f1f-b284-4eec-8df ...
eastfrisian
eastfrisian 07.07.2018 um 15:29:20 Uhr
Goto Top
Sorry, ich habe vergessen es zu erwähnen. Ich habe alle Apps entfernt. Aber der Download funktioniert dennoch, wenn irgendwo noch eine Kachel im Startmenü steckt. Wobei das nicht wie Windows 10 Apps sind, sondern die Crapware von Dell. Allerdings frage ich mich, warum die ohne Store geladen werden können.
eastfrisian
eastfrisian 07.07.2018 aktualisiert um 15:32:15 Uhr
Goto Top
Zitat von @Althalus:

Klingt jetzt evtl. blöd. Aber warum kauft Ihr nicht die Enterprise Edition?
Mitunter aus dem Grund tun wir dies bei uns nämlich.

Evtl. hilft ja auch der Link hier: https://social.technet.microsoft.com/Forums/de-DE/e0be1f1f-b284-4eec-8df ...

Vielleicht sollten wir das tun. Auf alle Fälle werde ich das mit unserem Distri besprechen. Bei Windows 7 war das einfach nicht erforderlich. Hat sich wohl auch Microsoft gedacht. Denn der Unterschied zwischen endlosem Gefummel und "mal eben per Richtlinie unterbinden" ist schon enorm. Auch wenn sich das bei funktionierenden "Fummelmaßnahmen" irgendwann eingespielt hat.
nEmEsIs
nEmEsIs 07.07.2018 um 17:07:10 Uhr
Goto Top
Hi

Store Pfad per GPO in appblocker aufnehmen sollte auch funktionieren.
Dann bleibt der Store erhalten und wird nur vor dem Zugriff gesperrt.
Hat den Vorteil später mal noch den Store wieder auf zu machen wenn man doch Apps haben will z.b den Business Store.

Mit freundlichen Grüßen Nemesis
quin83
quin83 07.07.2018 aktualisiert um 23:46:43 Uhr
Goto Top
Also der Aufwand für das Gefummel ist bei uns inzwischen überschaubar. Wir nehmen da schon gar keine Powershell Befehle mehr sondern treten per GPO hart gegen den Pfad vom Windows Store, damit das immer schön kaputt bleibt face-smile
300 Euro Lizenzkosten für jedes Gerät nur für das Update Pro zu Enterprise bei über 100 Clients sehe ich nicht ein. Der Preis ist Wucher.
eastfrisian
eastfrisian 09.07.2018 um 13:40:37 Uhr
Goto Top
Zitat von @quin83:

Also der Aufwand für das Gefummel ist bei uns inzwischen überschaubar. Wir nehmen da schon gar keine Powershell Befehle mehr sondern treten per GPO hart gegen den Pfad vom Windows Store, damit das immer schön kaputt bleibt face-smile
300 Euro Lizenzkosten für jedes Gerät nur für das Update Pro zu Enterprise bei über 100 Clients sehe ich nicht ein. Der Preis ist Wucher.

Was, so viel kostet das Upgrade? Damit hätte ich jetzt nicht gerechnet. Das bekommen wir auch im Leben nicht genehmigt.
Was gebt Ihr denn per GPO so rüber?

Die jetzige Lösung per Powershell funktioniert zwar, muss aber halt an jedem Client gemacht werden.
127941
127941 09.07.2018 um 13:41:10 Uhr
Goto Top
Hi,

also meiner Meinung nach gibt es da auch noch eine ganz andere Lösung. Mir persönlich gefallen die Kacheln und das gesamte Startmenü von Windows 10/Windows Server 2016 nicht. Bei uns wird Classic Shell verteilt (per ACMP, geht aber auch per GPO.) MSI-Datei erstellen ist erstmal ein bisschen Arbeit*, wenn man sie dann hat ist alles recht einfach. Dann habe ich mir das GroupPolicy Pack für Classic Shell heruntergeladen. Dieses nun in eine neue Gruppenrichtlinie importiert und folgende Eigenschaften deaktiviert:

- Metro Apps anzeigen (also die Richtlinie an sich aktiviert, dann den Haken bei "Metro Apps anzeigen" draußen gelassen und auf diesen Wert sperren lassen, ist soweit alles selbsterklärend ;))
- Metro Apps suchen (genauso, wie 1.)
- Haüfig verwendete Metro Apps anzeigen (genauso, wie 1.)

Danach noch eingestellt das sich Classic Shell beim Drücken der Windows Taste und der Windows Taste + Großschreiben öffnet. So kann man die Kacheln nicht mehr öffnen und daher auch keine Metro Apps mehr starten.

*Installer herunterladen und starten und die Datei "C:\ProgramData\ClassicShellSetup64_4_3_1.msi" auf den Desktop kopieren. Danach die Datei mit SuperOrca-MSI Editor öffnen und alle Einträge, welche "ClassicExplorer", "ClassicIE", "IE" oder so enthalten entfernen (re. Maustaste und Drop Row). Dann einmal auf dem Admin-PC den Installer ausprobieren (jetzt sollte es so aussehen, wie im Screenhost.) Dann nur noch verteilen.

Bei Fragen dazu bin ich gerne per PN erreichbar.

Beste Grüße
buserver
classic shell moded msi
slash2002
slash2002 23.02.2019 um 10:16:34 Uhr
Goto Top
Hi, der Thread ist zwar schon etwas älter, mich würde interessieren, wie ihr euch entschieden habt. Arbeitet ihr weiter mit Windows Pro, oder seid ihr auf die Enterprise Edition gewechselt?