roman78
Goto Top

Windows 11 und das automatische installieren von Apps unterbinden per GPO

Ich bin gerade mit dem Testen und optimieren der anstehenden Windows 11 Migration beschäftigt. Nun ist mir aufgefallen, dass W11 einfach wieder Anwendungen installiert die ich gelöscht habe. U.a. Dev Home und Outlook (new) sind heute einfach wieder da.

Ich habe per Powerrschell Script diese und andere APPs gelöscht.

z.B. für outlook (new).
Get-AppxPackage -AllUsers | Where-Object {$_.name -like "*out*"} | Remove-AppxPackage  
Get-AppxProvisionedPackage -online | Where-Object {$_.packagename -like "*out*"} | Remove-AppxProvisionedPackage -online  

Aber nach einiger Zeit, taucht es einfach wieder auf. Kommt durch Windows-Updates, diese App sind einfach in den normalen Windows-Updates drin.

Ich kann jetzt natürlich hingehen und nach jeden Update, wenn mir das auffällt, das Script hinterher schicken, aber es wäre ja schon besser, das installieren einfach zu verhindern.

Bei einigen Anwendungen mache ich mir nicht ganz so viele sorgen, obwohl einige sich melden werden, weil da was neues ist (ja die Leute haben wir), wenn aber neben Outlook nun auch Outlook (new) steht habe ich mit Sicherheit dutzende Leute am Telefon.

Kann man das irgendwie per GPO oder Reg-Eintellung unterbinden?

Content-ID: 668946

Url: https://administrator.de/forum/windows-11-und-das-automatische-installieren-von-apps-unterbinden-per-gpo-668946.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

150704
150704 23.10.2024 aktualisiert um 10:10:47 Uhr
Goto Top
Diese Registry Keys löschen dann kommen sie nicht wieder
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator\UScheduler\DevHomeUpdate]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator\UScheduler\OutlookUpdate]

Powerrschell
Was kann denn die arme Klingel dafür ? RingRingRingRingRing ... 😂
SPOK71
SPOK71 23.10.2024 aktualisiert um 10:24:07 Uhr
Goto Top
Moin,

Microsoft hat die Tendenz, bestimmte Apps als Teil von Windows-Updates neu zu installieren, was für Admins frustrierend sein kann.

Gruppenrichtlinien (GPO)

App-Installation verhindern:
Verwende die GPO "Bereitstellen von Windows Store-Apps verhindern"
Pfad: Computer Configuration > Administrative Templates > Windows Components > Store
Automatische Updates deaktivieren:
GPO "Automatische Updates für Store-Apps deaktivieren"
Pfad: Computer Configuration > Administrative Templates > Windows Components > Store

Verusch erstmal das, wenn das nicht hilft gibt es noch andere Optionen.
Inf1d3l
Inf1d3l 23.10.2024 um 10:26:25 Uhr
Goto Top
Manche Einstellungen funktionieren nur bei der Enterprise-Version von Windows.
Starmanager
Starmanager 23.10.2024 um 10:45:21 Uhr
Goto Top
Gibt es auch GPO´s, mit denen man die Installation von Office 365, Teams Onenote und Ondrive verhindern kann?
Roman78
Roman78 23.10.2024 um 10:50:58 Uhr
Goto Top
@150704: Das teste ich mal, dort war ich noch nicht drin :D

@SPOK71: Das ist schon so eingestellt. Oder besser, wir haben alles aus dem Store deaktiviert und auch Store-Anwendungen sind deaktiviert.

@Inf1d3l: Hatte ich vergessen zu sagen, wie haben die E3 Enterprise hier.
SPOK71
SPOK71 23.10.2024 aktualisiert um 10:57:22 Uhr
Goto Top
Ja, es gibt verschiedene Möglichkeiten, die Installation von Office 365-Komponenten wie Teams, OneNote und OneDrive über Gruppenrichtlinien (GPOs) zu verhindern oder zu steuern. z.B.

Office 365-Installation verhindern

Office-Installation blockieren:
GPO-Pfad: Computer Configuration > Policies > Administrative Templates > Microsoft Office 2016 (Machine) > Updates
Einstellung: "Hide Option to Enable or Disable Updates" auf "Enabled" setzen
Office-Bereitstellung verhindern:
GPO-Pfad: Computer Configuration > Policies > Administrative Templates > System > App-V
Einstellung: "Turn off App-V" auf "Enabled" setzen

Willste Teams-Installation verhindern, dann:

GPO-Pfad: Computer Configuration > Policies > Administrative Templates > Microsoft Teams
Einstellung: "Prevent Microsoft Teams from starting automatically after installation" auf "Enabled" setzen

Oder willste OneNote-Installation verhindern, dann:

Bei der Office-Installation kann OneNote über den Office Deployment Tool ausgeschlossen werden.
Es gibt keine direkte GPO, aber du kannst die Installation über Softwareverteilungsmechanismen steuern.

OneDrive-Installation kann auch verhindert werde, etwa so:

OneDrive-Synchronisation verhindern:
GPO-Pfad: Computer Configuration > Policies > Administrative Templates > Windows Components > OneDrive
Einstellung: "Prevent the usage of OneDrive for file storage" auf "Enabled" setzen
OneDrive-Installation blockieren:
GPO-Pfad: Computer Configuration > Policies > Administrative Templates > Windows Components > OneDrive
Einstellung: "Prevent OneDrive from generating new ADMX files" auf "Enabled" setzen

Sonst ist anzumerken: mit dem Office Deployment Tool (ODT): kannst due eine benutzerdefinierte Office-Installation erstellen, die nur die gewünschten Komponenten enthält. Oder nutze die Softwareverteilungslösungen wie SCCM oder Intune, um die Installation und Konfiguration von Office-Komponenten genau zu steuern.

Trotzdem musst du regelmäßig die Wirksamkeit deiner Richtlinien checken, da Microsoft gelegentlich Änderungen vornimmt, die bestehende Konfigurationen beeinflussen können und werden. Am besten bekämpfst du das alles mit einer einer Kombination aus GPOs, Softwareverteilung und benutzerdefinierter Installation.

Hoffe das Hilft. Gruß
150704
150704 23.10.2024 um 11:08:58 Uhr
Goto Top
Zitate sollen als solche erkennbar sein, auch hier Quellenangabe nicht vergessen. Dies gilt insbesondere auch für KI generierte Inhalte.
150704
150704 23.10.2024 aktualisiert um 11:15:20 Uhr
Goto Top
Auch ein "KI-Agent" ist und bleibt ne KI und das ist hier nunmal so, ich habe die Regeln nicht gemacht. Wenn dir die Regeln nicht gefallen brauchst du hier ja nicht zu schreiben.
Delta9
Delta9 23.10.2024 um 11:16:46 Uhr
Goto Top
GPO-Pfad: Computer Configuration > Policies > Administrative Templates > System > App-V
Einstellung: "Turn off App-V" auf "Enabled" setzen

Hier sieht man den Schwachsinn der KI.
AppV hat gar nichts mit den Apps zu tun. AppX hingegen schon
SPOK71
SPOK71 23.10.2024 aktualisiert um 11:39:09 Uhr
Goto Top
Ja, die KI haluziniert oft, deswegen spreche hier von KI-Agenten, die werden nämlich auf einem bestimmten Sachgebiet trainiert. Ich verstehe schon die Feindschaft aber es ist so, daß sie sich durchsetzen wird.

Ich gehe davon aus, das Thema ist mit dem Disclaimer erledigt. Sonst schreibt mir vor, wie der Disclaimer aussehen soll.

Danke.
pebcak7123
pebcak7123 23.10.2024 um 11:41:25 Uhr
Goto Top
@SPOK71 und was soll es den Usern bringen wenn du, anscheinend ohne jede Überprüfung ob die Antwort Sinn macht, den Output dieser "Agenten" hier reinkopierst ?
150704
150704 23.10.2024 aktualisiert um 11:45:57 Uhr
Goto Top
daß sie sich durchsetzen wird.
Eine Welt bei der man mit seinem Gegenüber nicht mehr diskutieren kann ohne das der sein Telefon zücken muss nur um seine nächste Antwort von einer KI vorgeben zu lassen egal ob da Schwachsinn bei raus kommt, jaaaa das ist wirklich erstrebenswert 🙃.
Man sollte den Stock in der Schule wieder einführen, mit Schmerzen lernt es sich besser.
SPOK71
SPOK71 23.10.2024 um 11:59:11 Uhr
Goto Top
Ich kann die Frustration nachvollziehen.
Starmanager
Starmanager 23.10.2024 um 12:02:07 Uhr
Goto Top
Ich dachte bisher, dass die Beitraege der Mitglieder auf ihrem Wissensfundus kommen. Ich habe schon genug Entwickler Kollegen die sich von der KI einwickeln lassen. Sie geben mir auch Tips die dann wirlich ins Nirvana zeigen.

Bitte keine KI hier abdrucken, jeder der einen PC hat kann sie selbst fragen.

Aber ich bin guter Dinge. Viele wertvolle Hinweise habe ich hier schon bekommen und hoffe weiterhin auf diese Wissensbasis zugreifen zu duerfen.
Starmanager
Starmanager 23.10.2024 um 12:17:57 Uhr
Goto Top
Nein, das sehe ich anders. Bitte nur selbst getestete Anleitungen zur Verfuegung stellen.

Sonst koennte man das Forum auch zumachen.
colinardo
colinardo 23.10.2024 aktualisiert um 13:21:26 Uhr
Goto Top
@all Bitte kommt hier zum Thema zurück.
@SPOK71
Unsere Richtlinien zu KI-Inhalten sehen eine ordentliche Kennzeichnung vor. Auch um das Forum zu schützen und das jeder erkennen kann das der Inhalt des Beitrags einer KI entstammt, so kann jeder beurteilen was er davon halten soll. Das "Vollspammen" von Beiträgen mit KI-Inhalt sehen wir hier ebenfalls nicht gerne und die User werden ab Kenntnis darüber informiert das dies so nicht geht.

Gruß @colinardo (Mod)
SPOK71
SPOK71 23.10.2024 um 13:20:43 Uhr
Goto Top
Im Disclaimer steht was es ist. 100% KI ist es nicht, ich arbeite intensiv damit und weiß was es ist und was nicht.

Also bitte Mod, ist der Disclaimer für dich in Ordnung ?
colinardo
colinardo 23.10.2024, aktualisiert am 24.10.2024 um 00:24:34 Uhr
Goto Top
Zitat von @SPOK71:

Im Disclaimer steht was es ist. 100% KI ist es nicht, ich arbeite intensiv damit und weiß was es ist und was nicht.

Also bitte Mod, ist der Disclaimer für dich in Ordnung ?
So lange für jeden auf den ersten Blick erkennbar ist das Inhalte aus einer KI stammen kannst du die Kennzeichnung gestalten wie du möchtest. Das "Vollspammen" von Beiträgen mit solchen Inhalten möchten wir jedoch nicht.
Sollten noch weiteren Fragen offen sein, bitte eine PN schreiben und nicht mehr in diesem Beitrag antworten, Danke!
Roman78
Roman78 23.10.2024 um 13:30:54 Uhr
Goto Top
Ich habe jetzt das Register mal angepasst, mal abwarten.

Noch eine Frage. Kann man verhindern, dass Teams immer wieder installiert wird?

Ich weiß auch überhaupt nicht, wo der das her holt. Store ist deaktiviert und Updates kommen über dem WSUS. Auch wenn W11 manchmal einfach Updates aus dem Internet holt, obwohl das per GPO deaktiviert ist.

Ich hoffe mal, dass der Copilot auch weg bleibt. Der war jetzt nach dem Update da und ich habe den so weg bekommen:
Get-AppxPackage -AllUsers | Where-Object {$_.name -like "*Copilot*"} | Remove-AppPackage  
Get-AppxProvisionedPackage -online | Where-Object {$_.packagename -like "*Copilot*"} | Remove-AppxProvisionedPackage -online  
SPOK71
SPOK71 23.10.2024 aktualisiert um 13:39:58 Uhr
Goto Top
Ich weiß auch überhaupt nicht, wo der das her holt. Store ist deaktiviert und Updates kommen über dem WSUS. Auch wenn W11 manchmal einfach Updates aus dem Internet holt, obwohl das per GPO deaktiviert ist.

also das hier noch nicht anwenden später wenn wir kapitulieren:

Nur dem WSUS zugang zu microsoft updates auf firewall-ebene erlauben.

Diese Anwort ist ohne googeln und ohne Ki entstanden. Aus meiner Wenigkeit.
SPOK71
SPOK71 23.10.2024 um 14:04:01 Uhr
Goto Top
Noch eine Frage. Kann man verhindern, dass Teams immer wieder installiert wird?

wie wärs damit ?

Teams verhindern


Bitte beachten Sie, dass meine Beiträge auf meiner Erfahrung sowie der Nutzung von Suchmaschinen und Fach-KI-Agenten basieren. Ich erhebe keinen Anspruch auf absolute Richtigkeit und übernehme keine Haftung für die Inhalte. Jeder Hinweis und jede Ergänzung sind willkommen!
>
Roman78
Roman78 24.10.2024 um 07:48:57 Uhr
Goto Top
Muss ich mal testen.
Inf1d3l
Inf1d3l 25.10.2024 um 09:55:06 Uhr
Goto Top
Also bei uns wurde der Store per GPO gesperrt, noch nie wurden irgendwelche Apps seitdem nachinstalliert.
Delta9
Delta9 25.10.2024 um 10:46:46 Uhr
Goto Top
den store zu sperren ist so eine Sache: z.T werden dann komponenten nicht mehr aktualisiert.

Besser ist es den Store zu erlauben und die verfügbaren Apps einzuschränken
Inf1d3l
Inf1d3l 30.10.2024 um 15:47:45 Uhr
Goto Top
Bringt das was bei offline Konten?
Roman78
Roman78 31.10.2024 um 09:47:30 Uhr
Goto Top
Bei uns ist der Store auch deaktiviert. Wir nutzen keine Apps aus dem Store. Es kommen halt Apps auch wo anders her, wie das teams welches nicht aus dem App-Store kommt. Einige UWP-Apps allerdings aktualisieren sich bei W11 nur über den Store, wie z.b. Alarm und Uhr oder die Kurznotizen.