Windows 10 Pro im Unternehmensumfeld - Store deaktivieren nicht möglich, weil kein Windows 10 Enterprise?
hallöchen,
ich beschäftige mich nun schon den halben Vormittag mit der Frage, warum auf einem neuen Windows 10 Client (wir haben nicht viele, 99% sind noch Windows 7) die GPO Richtlinie "Store-Anwendung deaktivieren" nicht greifen will. Mehr durch Zufall bin ich darüber gestolpert, dass Microsoft wohl diese Funktion irgendwann Ende 2015 auf den Einsatz von Windows 10 Enterprise beschränkt hat. Natürlich schreibt man das nicht in die GPO rein, damit würde man es dem Admin zu einfach machen. Aber nun gut, ich bin letztendlich darüber gestolpert.
Aktuell ist die Situation also folgende:
Bestehender Nutzer bekommt einen neuen PC. Statt bisher Windows 7, also nun Windows 10. Die IT hat es nicht auf die Reihe bekommen, den Store zu deaktivieren, da der PC-Hersteller (Dell) fröhlich Windows 10 Pro an Unternehmenskunden verkauft. Der Nutzer - ein ganz normaler "Domain user" mit eingeschränkten Rechten für die Programminstallation, bekommt nun also seinen neuen PC und denkt "cool, mit AppStore". Innerhalb von 30 Sekunden liegen Amazon Music, Netflix und wer weiß was noch für Apps auf dem Rechner. Er ist zwar lediglich Domain User und kann keine Programme installieren, für Apps aus dem Store gilt das aber nicht. Innerbetriebliche Anweisungen hin oder her. Wissen wir alle. Er wird Apps installieren.
Auf irgendwelche Firewall-Regularien mit sich bei jeder Windows Version ändernden Pfaden habe ich ehrlich gesagt keine Lust. Wie bekomme ich denn nun verhindert, dass der User seine Apps installiert? Soll er den Store meinetwegen besuchen, ist mir egal. Aber das verbieten der Installation von Apps wird ja wohl möglich sein. Und das zentral. Ohne irgendwo für jeden Client einzeln lokale Richtlinien zu verwalten.
Jemand einen Tipp? Sowas nervt doch tierisch.
ich beschäftige mich nun schon den halben Vormittag mit der Frage, warum auf einem neuen Windows 10 Client (wir haben nicht viele, 99% sind noch Windows 7) die GPO Richtlinie "Store-Anwendung deaktivieren" nicht greifen will. Mehr durch Zufall bin ich darüber gestolpert, dass Microsoft wohl diese Funktion irgendwann Ende 2015 auf den Einsatz von Windows 10 Enterprise beschränkt hat. Natürlich schreibt man das nicht in die GPO rein, damit würde man es dem Admin zu einfach machen. Aber nun gut, ich bin letztendlich darüber gestolpert.
Aktuell ist die Situation also folgende:
Bestehender Nutzer bekommt einen neuen PC. Statt bisher Windows 7, also nun Windows 10. Die IT hat es nicht auf die Reihe bekommen, den Store zu deaktivieren, da der PC-Hersteller (Dell) fröhlich Windows 10 Pro an Unternehmenskunden verkauft. Der Nutzer - ein ganz normaler "Domain user" mit eingeschränkten Rechten für die Programminstallation, bekommt nun also seinen neuen PC und denkt "cool, mit AppStore". Innerhalb von 30 Sekunden liegen Amazon Music, Netflix und wer weiß was noch für Apps auf dem Rechner. Er ist zwar lediglich Domain User und kann keine Programme installieren, für Apps aus dem Store gilt das aber nicht. Innerbetriebliche Anweisungen hin oder her. Wissen wir alle. Er wird Apps installieren.
Auf irgendwelche Firewall-Regularien mit sich bei jeder Windows Version ändernden Pfaden habe ich ehrlich gesagt keine Lust. Wie bekomme ich denn nun verhindert, dass der User seine Apps installiert? Soll er den Store meinetwegen besuchen, ist mir egal. Aber das verbieten der Installation von Apps wird ja wohl möglich sein. Und das zentral. Ohne irgendwo für jeden Client einzeln lokale Richtlinien zu verwalten.
Jemand einen Tipp? Sowas nervt doch tierisch.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379525
Url: https://administrator.de/forum/windows-10-pro-im-unternehmensumfeld-store-deaktivieren-nicht-moeglich-weil-kein-windows-10-enterprise-379525.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
16 Kommentare
Neuester Kommentar
Ggf. funktioniert das auch mit allen anderen Store Apps:
https://www.heise.de/ct/hotline/Windows-10-installiert-ungefragt-Store-A ...
https://www.heise.de/ct/hotline/Windows-10-installiert-ungefragt-Store-A ...
Hallo,
du hättest die Lösung schneller gefunden, hättest du kurz Google gefragt.
https://www.windowspro.de/script/windows-store-app-loeschen-wiederherste ...
Ebenso gibt es hier auch bereits zahlreiche Beiträge dazu.
Viele Grüße,
Exception
du hättest die Lösung schneller gefunden, hättest du kurz Google gefragt.
https://www.windowspro.de/script/windows-store-app-loeschen-wiederherste ...
Ebenso gibt es hier auch bereits zahlreiche Beiträge dazu.
Viele Grüße,
Exception
Hi,
nicht falsch verstehen. Klar darfst du fragen. Aber ich hab den oben genanten Link auch nicht auswendig gekannt. Eine Sekunde googlen und schon direkt gefunden. Wenn ich deine Suchbegriffe bei Google eingebe, kommt bei Platz 1 auch ein Beitrag von dem Blog - allerdings ein älterer Beitrag. Bei diesem wurde bereits allerdings ebenso angekündigt, dass die GPO zukünftig nur noch für die Education und für die Enterprise Version gilt. Deshalb wurde auch noch eine weiterer Lösung vorgeschlagen indem man die Store App über die Powershell löscht. ;)
Viele Grüße,
Exception
nicht falsch verstehen. Klar darfst du fragen. Aber ich hab den oben genanten Link auch nicht auswendig gekannt. Eine Sekunde googlen und schon direkt gefunden. Wenn ich deine Suchbegriffe bei Google eingebe, kommt bei Platz 1 auch ein Beitrag von dem Blog - allerdings ein älterer Beitrag. Bei diesem wurde bereits allerdings ebenso angekündigt, dass die GPO zukünftig nur noch für die Education und für die Enterprise Version gilt. Deshalb wurde auch noch eine weiterer Lösung vorgeschlagen indem man die Store App über die Powershell löscht. ;)
Viele Grüße,
Exception
Habs mir gerade selber kurz angeschaut. Mit dem Befehl "Get-AppxPackage -AllUsers" wird der App Store für alle Benutzer entfernt, die sich bereits am System angemeldet haben. Bei neuen Benutzern, die sich erstmalig sich bei dem System anmelden, wird der AppStore wohl wieder über AppXProvisionedPackage installiert. [1]
Du hast zwei Möglichkeiten: Entweder du fügst den Befehl zu deinem Login Skript hinzu oder du hast die Möglichkeit die Store App von der Liste der bereitgestellten Apps zu entfernen. Das geht dann mit dem Befehl:
Eventuell heißt das Paket inzwischen anders. Falls ein Fehler erscheint, musst du das mit dem Befehl prüfen:
Anschließend sollte bei keinem neuen Benutzer, der sich erstmalig bei dem System sich anmeldet, die Store App erscheinen.
[1]
https://technet.microsoft.com/de-de/library/dn376467.aspx
Du hast zwei Möglichkeiten: Entweder du fügst den Befehl zu deinem Login Skript hinzu oder du hast die Möglichkeit die Store App von der Liste der bereitgestellten Apps zu entfernen. Das geht dann mit dem Befehl:
Remove-AppXProvisionedPackage -Online -PackageName Microsoft.WindowsStore_2015.701.14.0_neutral_~_8wekyb3d8bbwe
Eventuell heißt das Paket inzwischen anders. Falls ein Fehler erscheint, musst du das mit dem Befehl prüfen:
Get-AppXProvisionedPackage -Online | Select *Store*
Anschließend sollte bei keinem neuen Benutzer, der sich erstmalig bei dem System sich anmeldet, die Store App erscheinen.
[1]
https://technet.microsoft.com/de-de/library/dn376467.aspx
Wobei auch diese nicht optimal sind. Sie gelten eben nur für neue - noch nicht am System existente User. Das wäre aber nicht so wild. Schließlich sind die Admins als erste am Rechner. Für alle folgenden User reicht das aus.
Du könntest dein eigenes Custom Image von Windows 10 erstellen und die Apps somit entfernen. Dann hättest du das Problem bei zukünftigen Workstations bzw. Neuinstallationen von Windows 10 nicht mehr und die Apps sind von anfang an weg.
Problem dabei: der Store ist zwar weg - aber diese Crapware im Startmenü kann, aus welchen Gründen auch immer trotzdem heruntergeladen werden. Ist hier bereits ein für "Spiel XYZ" hinterlegt, welches jedoch erst noch heruntergeladen werden muss, reicht ein einzelner Klick aus und die App wird aus dem Internet geladen. Ebenfalls wieder ohne Rechte. Auch hier stellt sich dann wieder das Problem mit "was wenn neue User am Rechner sind". Klar, auch dafür gibt's wieder Lösungen. Und für die dann auftretenden Probleme ebenfalls. Und so weiter... Aber ganz im Ernst. Das ist alles Bullshit. Microsoft könnte hier einen anderen Weg beschreiten, sie wollen es jedoch nicht. Immer dieses endlose rumgefummel für die - eigentlich - einfachsten Dinge.
Du könntest auch alle vorinstallierten Windows Apps entfernen, nicht nur den Store, mit den oben genannten Befehlen. Dann sollte es eigentlich auch keine Einträge im Startmenü mehr geben. Die Möglichkeit mit dem Download sollte eigentlich nicht funktionieren, da der Download und Installation über den Store abläuft (meines Wissens nach). So hab ich das bei meinem privaten W10.
Klingt jetzt evtl. blöd. Aber warum kauft Ihr nicht die Enterprise Edition?
Mitunter aus dem Grund tun wir dies bei uns nämlich.
Evtl. hilft ja auch der Link hier: https://social.technet.microsoft.com/Forums/de-DE/e0be1f1f-b284-4eec-8df ...
Mitunter aus dem Grund tun wir dies bei uns nämlich.
Evtl. hilft ja auch der Link hier: https://social.technet.microsoft.com/Forums/de-DE/e0be1f1f-b284-4eec-8df ...
Also der Aufwand für das Gefummel ist bei uns inzwischen überschaubar. Wir nehmen da schon gar keine Powershell Befehle mehr sondern treten per GPO hart gegen den Pfad vom Windows Store, damit das immer schön kaputt bleibt
300 Euro Lizenzkosten für jedes Gerät nur für das Update Pro zu Enterprise bei über 100 Clients sehe ich nicht ein. Der Preis ist Wucher.
300 Euro Lizenzkosten für jedes Gerät nur für das Update Pro zu Enterprise bei über 100 Clients sehe ich nicht ein. Der Preis ist Wucher.
Hi,
also meiner Meinung nach gibt es da auch noch eine ganz andere Lösung. Mir persönlich gefallen die Kacheln und das gesamte Startmenü von Windows 10/Windows Server 2016 nicht. Bei uns wird Classic Shell verteilt (per ACMP, geht aber auch per GPO.) MSI-Datei erstellen ist erstmal ein bisschen Arbeit*, wenn man sie dann hat ist alles recht einfach. Dann habe ich mir das GroupPolicy Pack für Classic Shell heruntergeladen. Dieses nun in eine neue Gruppenrichtlinie importiert und folgende Eigenschaften deaktiviert:
- Metro Apps anzeigen (also die Richtlinie an sich aktiviert, dann den Haken bei "Metro Apps anzeigen" draußen gelassen und auf diesen Wert sperren lassen, ist soweit alles selbsterklärend ;))
- Metro Apps suchen (genauso, wie 1.)
- Haüfig verwendete Metro Apps anzeigen (genauso, wie 1.)
Danach noch eingestellt das sich Classic Shell beim Drücken der Windows Taste und der Windows Taste + Großschreiben öffnet. So kann man die Kacheln nicht mehr öffnen und daher auch keine Metro Apps mehr starten.
*Installer herunterladen und starten und die Datei "C:\ProgramData\ClassicShellSetup64_4_3_1.msi" auf den Desktop kopieren. Danach die Datei mit SuperOrca-MSI Editor öffnen und alle Einträge, welche "ClassicExplorer", "ClassicIE", "IE" oder so enthalten entfernen (re. Maustaste und Drop Row). Dann einmal auf dem Admin-PC den Installer ausprobieren (jetzt sollte es so aussehen, wie im Screenhost.) Dann nur noch verteilen.
Bei Fragen dazu bin ich gerne per PN erreichbar.
Beste Grüße
buserver
also meiner Meinung nach gibt es da auch noch eine ganz andere Lösung. Mir persönlich gefallen die Kacheln und das gesamte Startmenü von Windows 10/Windows Server 2016 nicht. Bei uns wird Classic Shell verteilt (per ACMP, geht aber auch per GPO.) MSI-Datei erstellen ist erstmal ein bisschen Arbeit*, wenn man sie dann hat ist alles recht einfach. Dann habe ich mir das GroupPolicy Pack für Classic Shell heruntergeladen. Dieses nun in eine neue Gruppenrichtlinie importiert und folgende Eigenschaften deaktiviert:
- Metro Apps anzeigen (also die Richtlinie an sich aktiviert, dann den Haken bei "Metro Apps anzeigen" draußen gelassen und auf diesen Wert sperren lassen, ist soweit alles selbsterklärend ;))
- Metro Apps suchen (genauso, wie 1.)
- Haüfig verwendete Metro Apps anzeigen (genauso, wie 1.)
Danach noch eingestellt das sich Classic Shell beim Drücken der Windows Taste und der Windows Taste + Großschreiben öffnet. So kann man die Kacheln nicht mehr öffnen und daher auch keine Metro Apps mehr starten.
*Installer herunterladen und starten und die Datei "C:\ProgramData\ClassicShellSetup64_4_3_1.msi" auf den Desktop kopieren. Danach die Datei mit SuperOrca-MSI Editor öffnen und alle Einträge, welche "ClassicExplorer", "ClassicIE", "IE" oder so enthalten entfernen (re. Maustaste und Drop Row). Dann einmal auf dem Admin-PC den Installer ausprobieren (jetzt sollte es so aussehen, wie im Screenhost.) Dann nur noch verteilen.
Bei Fragen dazu bin ich gerne per PN erreichbar.
Beste Grüße
buserver