Ich hoffe, ich habe hier eine für den ein oder anderen Kollegen interessante Lösung zusammengestellt. Alles, was Ihr hier lest, ist die Niederschrift meiner Erfahrung und erworbenen Wissens in diesem Thema. Ich sage nicht, dass das der beste Weg ist, den ich hier vorstelle, aber mir hilft er, die Kirche im Dorf zu lassen. Falls jemand von Euch Sachdienliches wie konstruktive Kritik, weiteres Wissen zum Thema oder ähnliches beisteuern möchte, wäre ich sehr dankbar. Ansonsten hoffe ich, dass Ihr hier vielleicht auch etwas Inspiration finden werdet, wie man Dinge macht oder besser nicht. Viele Grüße

Euer bdmvg

Die Grundidee

Schon zu Beginn der Installation, Windows auszudünnen, von Bloatware zu befreien und hinsichtlich Datenschutz von vorne herein zu härten.

Vorgängerausgabe

Custom Windows-10-ISO bauen (in kontinuierlicher Verbesserung) - Ausgabe 2019
Diese legte die Idee zu Grunde und funktionierte auf jeden Fall für die Build 19xx. Die neuen Builds machen nun eine neue Fassung erforderlich, auch wenn der Guide in Teilen immer noch funktioniert.

Weiterentwicklung der Idee

Mit der Weiterentwicklung geht man nach heutigen Maßstäben ein gewisses Risiko ein. Dies ist meiner Ansicht nach aber auch der Fall, wenn man es nicht tut. Die Weiterentwicklung besteht auch darin, dass eine Windows-10-Workstation mit dem hier beschriebenen Weg von Windows-Update dahingehend entbunden wird, als dass sie keine Windows-Updates mehr laden wird. Im Höchstfall werden Treiber angezogen, aber Windows- und Updates für andere Microsoft-Programme (hoffentlich) nicht mehr.

Das "Warum"

...lässt sich am besten erklären,

wenn man sich anschaut, wie kumulative Updates funktionieren und was sie am System "wieder" verändern, d.h. auch, welche vom Nutzer gemachten Einstellungen sie wieder zurücksetzen oder welche ungewollten Programme sie wieder einbauen (OneDrive z.B.)! Wenn man sich verschiedene Windows 10 Privatsphäre-Tools anschaut, so weißt jedes Tool darauf hin, dass nach der Installation der CUs die gemachten Einstellungen hinfällig geworden sein können.
mit der Entmündigung des Nutzers, selbst zu entscheiden, wann Updates angewendet werden und wann nicht. Der Nutzer kann zwar Updates bis zur Pro-Version hinauszögern oder durch Tricks diese ggf. verhindern, aber builtin ist das nicht vorgesehen, genauso wenig die Möglichkeit ungewollte Programme zu verhindern.

Idee zur Zielführung

Da der Hersteller zurzeit zweimal im Jahr das Betriebssystem auswechselt, habe ich den Wunsch und die Möglichkeit, zweimal im Jahr selbst ein Upgrade durchzuführen oder eben nicht. Aber ich habe die Möglichkeit, es selbst zu testen und dann als Inplace-Upgrade selbst auszurollen. Dazu nutze ich die gleiche Anleitung und baue eine Custom-ISO, passend/angepasst zum Vorgänger. Das ist die Idee.

Dringende Empfehlungen

Ich kann nur raten, Windows 10-Images, einmal heruntergeladen, zu archivieren! Man kann nie wissen, wie sich Software und Hardware verändern und es kann sein, dass ältere Hardware ein älteres Windows-Image benötigt, um nochmal verwaltet werden zu können. Als Beispiel seien IPRMC wie iLO2 von HP oder Karten älterer Server von Fujitsu oder anderen Serverherstellern zu nennen. Auf neueren Images kann es sein, dass diese Karten und/oder Controller nicht mehr ansteuern kann.
Um ein Custom Image herzustellen, würde ich das heruntergeladene Image dazu verwenden, einen virtuellen Computer aufzusetzen und dann auf diesem die Custom-ISO zu bauen.
Integrierter Virenschutz Windows Defender: Hier ist zu überlegen, ob man ihn behält oder nicht. Im Falle, dass man ihn benutzen will, sollten seine Updates über einen geeigneten Weg bereitgestellt werden, wenn man auf WSUS und Windows Update verzichtet. Wohl bemerkt: Der Windows Update-Dienst sollte nicht blockiert sondern höchstens in die Irre (Fake WSUS) geleitet werden. Wichtige Infos dazu:

Beschaffung und Herstellung der Custom-ISO

Download eines Windows-10-Images (Vorgang geprüft am 14.03.2021)

Gehe zu: https://www.microsoft.com/de-de/software-download/windows10
Klick auf die Schaltfläche "Tool jetzt herunterladen"
MediaCreationTool ausführen
Installationsmedien für anderen PC erstellen
Haken "Empfohlene Optionen für diesen PC verwenden" entfernen, Architektur auf "beide"
Als "ISO-Datei" speichern

Herstellung eines bootfähigen Sticks zur späteren Aufnahme des Custom-Images (Ergänzt am 18.07.2021)

Ein 16GB-Stick sollte eingesteckt werden. Bis 32GB geht es so. Bei größeren Sticks ist das Verfahren etwas anders.
Kommandozeile mit erhöhten Rechten starten (und dann mit den Befehlen in " " fortfahren)
"diskpart" starten

"list disk" eingeben und den USB-Stick identifizieren (Disk Nr!)
"select disk x" ("x" ist die Nummer des USB-Sticks aus vorangegangenem Befehl)
"clean" eingeben, um den Stick zu löschen
"create partition primary" eingeben, um den Stick neu zu partitionieren
"active" eingeben, um die erzeugte Partition als aktiv (bootfähig) zu kennzeichnen
"format fs=fat32 quick" eingeben, um die Partition mit Fat32 zu formatieren
Mit "exit" diskpart verlassen.

USB-Stick einmal ziehen und wieder einstecken

Herstellung eines bootfähigen Sticks (größer als 32GB) zur späteren Aufnahme des Custom-Images (Ergänzt am 18.07.2021)

Kommandozeile mit erhöhten Rechten starten (und dann mit den Befehlen in " " fortfahren)
"diskpart" starten

"list disk" eingeben und den USB-Stick identifizieren (Disk Nr!)
"select disk x" ("x" ist die Nummer des USB-Sticks aus vorangegangenem Befehl)
"clean" eingeben, um den Stick zu löschen
"create partition primary" eingeben, um den Stick neu zu partitionieren

Diskpart hier erstmal beenden. Der Stick ist jetzt RAW-formatiert und hat einen Laufwerksbuchstaben.
Diesen identifizieren und mit dem Programm h2format (bekommt man bei heise.de) formatieren. Dadurch erhält man einen USB-Stick mit FAT32 auch bei Partitionsgrößen über 32GB. Die künstliche Beschränkung vom Microsoft wird so umgangen.
Jetzt wieder zurück zu diskpart

"active" eingeben, um die erzeugte Partition als aktiv (bootfähig) zu kennzeichnen
Mit "exit" diskpart verlassen.

USB-Stick einmal ziehen und wieder einstecken

Ergänzung vom 21.07.2021:
Beachten Sie, dass ältere Computer unter Umständen Probleme haben, vom einem übergroßen Stick zu booten. Den Vorteil eines solchen Sticks sehe ich darin, dass
man die Entwicklungstools, ggfs. die ganze Entwicklungsumgebung in einem Unterverzeichnis mitführen bzw. auch das Treiberrepository dort ebenfalls ablegen kann.

Erzeugung des Custom-Images aus der vom Hersteller bereitgestellten und erzeugten ISO-Datei (am Beispiel der x64 Pro-Edition)

Vorüberlegungen

Der Hersteller kann Images ausliefern, die im "Sources"-Verzeichnis entweder eine install.esd- oder install.wim-Dateien enthalten.
Die oben heruntergeladene ISO-Datei enthält x86- und x64-Versionen von Windows mit verschiedenen Editionen.
Besagte install.*-Dateien befinden sich in den Pfaden x86\sources und x64\sources.
Die ISO-Datei kann mit 7-Zip entpackt werden.

Entpacken und Einbinden der Pro-Edition

Tipp: Ich würde die nächsten Schritte nur auf einem frischen Windows durchlaufen. Es hat seine Vorteile, eine saubere Installation für das Customizing zu nutzen, da nach dem Mounten das Offline-Image mit dem Online-Image sehr stark verzahnt wird.

ISO-Datei mit 7-Zip öffnen
install.esd im Pfad x64\sources suchen und mit Drag-n-Drop entpacken.
Kommandozeile mit erhöhten Rechten starten

Befehl "dism /Get-WimInfo /WimFile:<Pfad zur Datei>\install.esd" feuern. Ausgabe beachten und Index-Nr. der Pro-Edition merken (hier Nr. 5).
Befehl "dism /Export-Image /SourceImageFile:<Pfad zur Datei>\install.esd /SourceIndex:5 /DestinationImageFile:<Pfad zur Datei>\install.wim /Compress:Maximum" feuern. Eine install.wim wird erzeugt, die größer als die esd sein wird und später auch so nicht auf den USB-Stick passen wird.
Befehl "dism /Mount-wim /WimFile:<Pfad zur Datei>\install.wim /index:1 /MountDir:<mountdir>" feuern, um das extrahierte "Windows 10 pro x64"-Image einzuhängen. Das Dateisystem des Images steht in dem Verzeichnis zur Verfügung, welches unter <mountdir> definiert wurde.

Erst Generalisieren und dann Spezialisieren (Customizing)

Wichtig

Immer zuerst generelle Änderungen auf das Image anwenden, bevor man eigene (spezielle) durchführt.
In diesem Fall hier, ist es nicht falsch, zuerst das letzte SSU und das letzte CU herunterzuladen und anzuwenden.

Generalisieren (oder generelle Änderungen auf das heruntergeladene Image anwenden)

In diese Rubrik fallen u.a. Treiber- und Windows-Updates.

Integration von Windows Updates

Beziehen aktueller Windows-Updates (am Beispiel Build 20H2)

Entweder per Google nach folgendem suchen: "Updateverlauf von Windows 10" und dabei auf Links nach support.microsoft.com achten, ggf. auf Microsoft auf die Seite der aktuellsten Version wechseln oder den direkten Link für 20H2 verwenden: https://support.microsoft.com/de-de/help/4581839

Alternative:
https://www.catalog.update.microsoft.com/Search.aspx?q=cumulative+Build- ... ("Build-Nr durch 20H2 oder gewünschte Build ersetzen)

Einspielen von Windows-Updates

Beachten:

Zuerst Servicing Stack Update einspielen (Verweis im MS-Beitrag zum CU)
Dann erst das passende, aktuelle CU.

Befehl "dism /image:<mountdir> /add-package /Packagepath:<updatedir>" feuern, um Updates einzuspielen.
Mountdir = Einhängepunkt des Images
Updatedir = Verzeichnis, in dem die Updates gesucht werden

Antwort-Datei mit Windows ADK bauen und einspielen

Beschaffen von Windows ADK

Im Prinzip hier: https://docs.microsoft.com/de-de/windows-hardware/get-started/adk-instal ...
Das Produkt ist letzten Endes sehr groß.
Wir brauchen den "Windows System Image Manager".

Grundeinstieg

Man erstellt eine autounattend.xml und legt diese entweder ins Root-Verzeichnis der ISO oder des obigen USB-Sticks.
Wichtig ist, dass man diese nach Erstellung zuerst in einer Referenzinstallation vollständig testet, bevor man im Customizing weitermacht. Sonst wird es schwierig, etwaige Fehler den entsprechenden Abläufen zuzuordnen. Unten ist ein Listing einer funktionierenden autounattend.xml zu sehen. Die als Ausgangspunkt für eine eigene zu nehmen, ist kein Fehler.

Der Windows System Image Manager lädt die WIM-Datei, die oben exportiert wurde und baut einen geeigneten Katalog dazu auf (in Form einer CLG-Datei). Deswegen sollte erst das Generalisieren vor dem Spezialisieren stehen.

Integration von Treibern

Ich tendiere dazu, diese nicht ins Image zu integrieren, sondern dem Image beim Installationszugang verfügbar zu machen in Form eines lokalisierten Treiberverzeichnisbaumes (zumindest für Netzwerkkarten) und alle weiteren Treiber können über ein zentrales Netzwerkrepository bereitgestellt werden. Dazu muss man z.B. die Antwortdatei unten um zwei Komponenten erweitern:

xxx_Microsoft-Windows-PnPCustomizationsNonWinPE
xxx_Microsoft-Windows-PnPCustomizationsWinPE

xxx gibt die Platform an (x86 für 32Bit, amd64 für 64Bit)
In den Dateilistings zeige ich einen Codesnippet der Antwortdatei, der für eine Bereitstellung per Netzwerk benutzt werden kann.

Auch hier gilt:
Erst im Kleinen bauen und testen. Bei Erfolg erst weitermachen.

Eine entsprechende Antwortdatei kann so verwendet werden für ein In-Place-Upgrade, als auch für eine Erstinstallation.

Spezialisieren

OneDrive entfernen

Zwei Wege:

Paket aus dem Image entfernen (solange das überhaupt möglich ist)

Das Referenzsystem in das das Image gemounted wird muss absolut sauber sein!
Es wird ein Tool namens Install_wim_tweak gebraucht. Es kann z.B. bei Deskmodder.de bezogen werden.
Kommandozeile mit erhöhten Rechten starten (und dann mit den Befehlen in " " fortfahren)

"install_wim_tweak.exe /p <mountdir> /l" listet alle Packages im Windows-Image auf und schreibt diese in die Packages.txt, die im Programmordner von install_wim_tweak liegen wird. Vorsicht! Nur nötigste Änderungen am Package-Cache machen! Sonst funktioniert die Installation nicht mehr.
"install_wim_tweak.exe /p <mountdir> /c Microsoft-Windows-OneDrive /r" feuern, um Microsoft OneDrive vom System zu entfernen.

Paket auf dem System belassen und Installationstrigger deaktivieren

Verlinkung aus Startmenü löschen:
Man findet sie hier: cd <mountdir>\Users\Default\appdata\Roaming\Microsoft\Windows\Start Menu\Programs

Löschen der Registrierungseinträge

reg load HKEY_LOCAL_MACHINE\WIM <mountdir>\Users\Default\ntuser.dat
reg query "HKEY_LOCAL_MACHINE\WIM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"  
reg delete "HKEY_LOCAL_MACHINE\WIM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v OneDriveSetup /f  
reg unload HKEY_LOCAL_MACHINE\WIM

Das kann natürlich auch im Registrierungseditor direkt gemacht werden.

Suchbox in der Taskleiste abschalten (falls gewünscht)

reg load HKEY_LOCAL_MACHINE\WIM <mountdir>\Users\Default\ntuser.dat
reg add HKEY_LOCAL_MACHINE\WIM\SOFTWARE\Microsoft\Windows\CurrentVersion\Search /v SearchboxTaskbarMode /t REG_DWORD /d 0 /f
reg unload HKEY_LOCAL_MACHINE\WIM

Das kann natürlich auch im Registrierungseditor direkt gemacht werden.

APPX-Pakete entfernen (Anzeigen und zum Löschen Selektieren)

Get-AppxProvisionedPackage -Path <mountdir> | Out-GridView -PassThru | Remove-AppxProvisionedPackage

Es gibt aus meiner Sicht keine Probleme, wenn man den Windows-Store ebenfalls löscht.
Danke an @tikayevent: ~~, aber eins muss klar sein: Er lässt sich nicht mehr installieren!~~ Das ist anscheinend nicht mehr richtig. Der Kollege hat in den Kommentaren beschrieben, wie es gemacht wird.

Kacheln aus dem Startmenü entfernen für alle Benutzer von Anfang an

Zur vorhandenen Datei <mountdir>\Users\Default\appdata\Local\Microsoft\Windows\Shell\DefaultLayouts.xml kommt eine namens LayoutModification.xml.
In den Dateilistings stelle ich eine zur Verfügung.

Features aktivieren oder deaktivieren

Auflisten:

dism /Image:<mountdir> /Get-Features

Aktivieren: (wenn externe Quellen notwendig - hier .NET Framework 3.5):

dism /Image:<mountdir> /Enable-Feature /FeatureName:NetFx3 /Source:<sourcepath>\sxs /LimitAccess

Deaktivieren:

dism /Image:<mountdir> /Disable-Feature /FeatureName:

Unliebsame Apps aus dem Ordner \Windows\SystemApps deaktivieren

Dazu kann man unter <mountdir>\windows\SystemApps die gewünschten App-Ordner suchen und einfach umbenennen.
Ich empfehle zur Nachvollziehbarkeit einfach mit einem "_BLOCKIERT" den Verzeichnisnamen zu suffixen.
Achtung: Es gibt Apps, die man so nicht sperren sollte, da sich das System sonst nicht installieren oder hochfahren lässt.

Vorsicht! Man sollte nach und nach testen, welche sich so (noch) deaktivieren lassen und welche nicht!

Ergänzung vom 20.07.2021:
Ich lösche z.B. die App XboxGameCallableUI (einfach nach diesem String filtern) so vollständig raus. Das tangiert die Installation nicht.

Edge Chromium entfernen (hinzugefügt am 18.07.2021, aktualisiert am 19.07.2021)

Der Edge ist vorinstalliert und deswegen aus meiner Sicht nicht sauber aus der ISO zu entfernen. Aber folgenden Weg habe ich getestet:
Anstatt ihn da rauszubrechen, kann er nach erfolgreicher Installation von Windows auch direkt deinstalliert werden.

Dazu erstelle ich zwei Scripts mit Namen SetupComplete.cmd und ErrorHandler.cmd.
Sowohl die Namen als auch der Speicherort der Scripts (hier: <MountDir>\Windows\Setup\Scripts) ist keinesfalls beliebig! (siehe Link). In den Dateilistings sind beide Scripts aufgeführt.

Es gibt auch Wege, dies über die Antwortdatei an drei Stellen umzusetzen, die ich aber derzeit nicht erwäge, zumal mit jedem kumulativen Update die Gefahr besteht, dass Edge Chromium wie OneDrive immer wieder zurückkehren kann.

Unter
<MountDir>\Windows\SystemApps entferne ich zwei Ordner, die den String "edge" enthalten. Das geht so:

takeown /R /A /F <MountDir>\Windows\SystemApps /D N
icacls <MountDir>\Windows\SystemApps /grant Administratoren:F /T /C

Der erste Befehl stellt den Besitzer der Ordner und Dateien um.
Der zweite Befehl richtet volle Zugriffsrechte ein.
Beide grasen rekursiv durch die gesamte Unterordner- und Dateistruktur des angegebenen Ordners.

Dann kann man besagte Verzeichnisse mit dem "edge" löschen. Die Installation stört sich nicht daran.

Registry-Tweaks

empfohlene Tools

AntiSpy-Tool: O&O-Software ShutUp10
Registry-Monitor: Sysinternals Process Monitor
Zum Bearbeiten der REG-Dateien: Notepad++

Immer die aktuellsten Versionen verwenden!

Einstellungen eines (empfohlenen) AntiSpy-Tools in geeignete reg-Datei überführen

Überlegung: Die meisten (mir bekannten) AntiSpy-Tools erlauben nur an laufenden Systemen Änderungen durchzuführen, aber nicht an offline Images. Zusätzlich ist mir nicht bekannt, dass diese Tools einen Export der Einstellungen im REG-Format erlauben. Das wäre aber von Vorteil, um in die Registry eines Images importiert werden zu können. Also mache ich das durch gezieltes Monitoring und Konsolidieren der Einstellungen in einer REG-Datei.
So wird's gemacht

Auf einem sauberen, non-customized Referenzsystem werden obige Tools bereitgestellt.
Filtereinstellungen für Process Monitor (Schema: Colum Relation Value Action)

Process Name is OOSU10.EXE include
Operation is RegDeleteValue Include
Operation is RegSetValue Include
Operation is RegCreateKey Include
Operation is RegDeleteKey Include

Man startet ShutUp10 und wählt dann nach einander die gewünschten Einstellungen. Der Process Monitor erlaubt dann die Verfolgung, welche Einstellung welche Änderung in der Registry bewirkt.

Jede nachvollzogene Registry-Änderung exportiert man über den Registrierungseditor in eine REG-Datei. Ich empfehle dabei eine fortlaufende Nummerierung der Dateien und Unterscheidung des Kontextes ob maschinenweite oder nutzerbezogene Änderung. Dateien könnten z.B. so benannt werden Uxx.reg Mxx.reg:

Im Process Monitor:

Path = HKCU --> nutzerbezogene Änderung
Path = HKLM --> maschinenweite Änderung

Nun führt man alle Uxx.reg in eine Datei zusammen. Mit den Mxx.reg macht man gleiches (aber hier gilt zu unterscheiden, dass HKLM\Software und HKLM\System in zwei verschiedenen Registrierungsdatenbankdateien gespeichert werden. Ich habe unter Dateilistings zwei Beispieldateien (Stand März 2021) bereitgestellt (alle Einstellungen auf "ein"). Diese berücksichtigen den zuvor geschilderten Umstand nicht. Die zusammengeführte M.reg trennt man also ggf. in zwei weitere Dateien auf.
Jetzt muss man die korrekten Dateien der Registrierung aus dem Image einhängen

Der nutzerbezogene Teil liegt unter <mountdir>\users\default\ntuser.dat (HKCU-Baum)
Der maschinenbezogene Teil liegt unter

<mountdir>\windows\system32\config\software (HKLM\Software-Baum)
<mountdir>\windows\system32\config\system (HKLM\System-Baum)

Je nach Einhängepunkt im Registrierungseditor, müssen alle Dateien inhaltlich auf den korrekten Pfad angepasst werden, sonst werden Schlüssel und Werte an der falschen Stelle der Registry eingefügt.
Danach kann man alle Strukturen entladen.

Weitere Policies über gpedit.msc monitoren, in REG-Dateien wandeln und ins Image laden

Überlegung: Ich habe keinen anderen Weg gefunden, deswegen beschreibe ich, wie ich es mache:
Ich nehme Process Monitor und überwache mit folgenden Filtereinstellungen:

Process Name is svchost.exe Include
Process Name is mmc.exe Include
Operation is RegDeleteValue Include
Operation is RegSetValue Include
Operation is RegCreateKey Include
Operation is RegDeleteKey Include

Damit ist es möglich, Änderungen am HKCU-Baum (durch mmc.exe) und Änderungen am HKLM-Baum (durch svchost.exe) zu überwachen. Jede geänderte Policy löst ein Event aus, das sofort nachvollzogen werden kann. Ich habe weiter oben beschrieben, wie man mit den REG-Dateien umgehen sollte.

Bearbeitung abschließen

Änderungen am Image bestätigen und Image schließen (zurück in geladene WIM-Datei schreiben)

Änderungen in WIM-File zurückschreiben.

Dism /Commit-Image /MountDir:<mountdir>

Abbildbereitstellung aufheben ohne Änderungen (erneut) zurückzuschreiben.

Der Vorgang ist zweigeteilt, damit man sehen kann, dass Commit und Aufheben getrennt funktionieren. Eine mögliche Fehlermeldung weißt bei einem kombinierten Vorgang nicht die Ursache aus und "hält" einen Commit für wahrscheinlich erfolgreich.

Dism /UnMount-wim /MountDir:<mountdir> /discard

Aufräumen

Dism /Cleanup-Wim

Die fertige install.wim kommt zurück in den Ausgangsordner des Images oder des USB-Sticks und ersetzt dort die install.esd oder eine vorliegende install.wim.
Wenn die autounattend.xml ebenfalls am entsprechenden Platz ist, ist es Zeit, das Ganze zu testen.

Ergänzung vom 18.07.2021:
Es kann sein, dass die install.wim nach Bearbeitung für das FAT32-Dateisystem des Sticks zu groß sein wird. Es besteht die Möglichkeit, die WIM-Datei in SWM-Dateien zu splitten und diese auf den USB-Stick ins entsprechende Verzeichnis zu spielen.

Einfach folgenden Befehl anpassen und feuern:

Dism /Split-Image /ImageFile:<Pfad zur>\install.wim /SWMFile:<Zielpfad zu>\install.swm /FileSize:4096

Die SWM-Dateien können nachträglich nicht mehr bearbeitet werden. Also die WIM-Datei als Ausgangsdatei besser aufheben.

Inplace-Upgrade mittels custom Windows-10-ISO

Die Verwendung einer custom ISO kann zweierlei Zwecken dienen:

Erstinstallation eines Geräts (auch unter Verwendung der autounattend.xml)
Inplace-Upgrade via command line oder Script

Zum Inplace-Upgrade reicht es, die ISO in ein Share oder einen lokalen Ordner zu entpacken und die Setup.exe im Ordner mit entsprechenden Optionen aufzurufen.
Information: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/wi ...

Der Aufruf der Setup.exe kann z.B. so aussehen:

start /wait setup.exe /auto upgrade /migratedrivers all /dynamicupdate enable /showoobe none

Was von Interesse sein kann, ist alle Einstellungen für die Setup.exe in eine setupconfig.ini zu legen und diese per Command-Line zu übergeben. Welche Optionen tatsächlich erforderlich sind, hängt vom gewählten/vorhandenen Szenario ab. Es sei einfach nur hier erwähnt, als eine Möglichkeit.

Dateilistings

Beispiel einer LayoutModification.xml zur Entfernung aller Kacheln aus dem Startmenü:

<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"> 
  <LayoutOptions StartTileGroupCellWidth="6" /> 
  <DefaultLayoutOverride>
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6" /> 
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Beispiel einer AUTOUNATTEND.XML

<?xml version="1.0" encoding="utf-8"?>  
<unattend xmlns="urn:schemas-microsoft-com:unattend">  
    <settings pass="windowsPE">  
        <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
            <SetupUILanguage>
                <UILanguage>de-DE</UILanguage>
            </SetupUILanguage>
            <InputLocale>0407:00000407</InputLocale>
            <SystemLocale>de-DE</SystemLocale>
            <UILanguage>de-DE</UILanguage>
            <UILanguageFallback>de-DE</UILanguageFallback>
            <UserLocale>de-DE</UserLocale>
        </component>
        <component name="Microsoft-Windows-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
            <DiskConfiguration>
                <Disk wcm:action="add">  
                    <CreatePartitions>
                        <CreatePartition wcm:action="add">  
                            <Order>1</Order>
                            <Size>450</Size>
                            <Type>Primary</Type>
                        </CreatePartition>
                        <CreatePartition wcm:action="add">  
                            <Order>2</Order>
                            <Size>100</Size>
                            <Type>EFI</Type>
                        </CreatePartition>
                        <CreatePartition wcm:action="add">  
                            <Order>3</Order>
                            <Size>16</Size>
                            <Type>MSR</Type>
                        </CreatePartition>
                        <CreatePartition wcm:action="add">  
                            <Extend>true</Extend>
                            <Order>4</Order>
                            <Type>Primary</Type>
                        </CreatePartition>
                    </CreatePartitions>
                    <ModifyPartitions>
                        <ModifyPartition wcm:action="add">  
                            <Format>NTFS</Format>
                            <Label>WinRE</Label>
                            <Order>1</Order>
                            <PartitionID>1</PartitionID>
                            <TypeID>DE94BBA4-06D1-4D40-A16A-BFD50179D6AC</TypeID>
                        </ModifyPartition>
                        <ModifyPartition wcm:action="add">  
                            <Format>FAT32</Format>
                            <Label>System</Label>
                            <Order>2</Order>
                            <PartitionID>2</PartitionID>
                        </ModifyPartition>
                        <ModifyPartition wcm:action="add">  
                            <Order>3</Order>
                            <PartitionID>3</PartitionID>
                        </ModifyPartition>
                        <ModifyPartition wcm:action="add">  
                            <Format>NTFS</Format>
                            <Label>Windows</Label>
                            <Letter>C</Letter>
                            <Order>4</Order>
                            <PartitionID>4</PartitionID>
                        </ModifyPartition>
                    </ModifyPartitions>
                    <DiskID>0</DiskID>
                    <WillWipeDisk>true</WillWipeDisk>
                </Disk>
            </DiskConfiguration>
            <UserData>
                <ProductKey>
                    <Key>VK7JG-NPHTM-C97JM-9MPGT-3V66T</Key>
                </ProductKey>
                <AcceptEula>true</AcceptEula>
                <Organization>ERP</Organization>
            </UserData>
            <ImageInstall>
                <OSImage>
                    <InstallTo>
                        <DiskID>0</DiskID>
                        <PartitionID>4</PartitionID>
                    </InstallTo>
                </OSImage>
            </ImageInstall>
            <EnableFirewall>false</EnableFirewall>
        </component>
    </settings>
    <settings pass="oobeSystem">  
        <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
            <InputLocale>0407:00000407</InputLocale>
            <SystemLocale>DE-DE</SystemLocale>
            <UILanguage>DE-DE</UILanguage>
            <UILanguageFallback>DE-DE</UILanguageFallback>
            <UserLocale>DE-DE</UserLocale>
        </component>
        <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
            <OOBE>
                <VMModeOptimizations>
                    <SkipAdministratorProfileRemoval>false</SkipAdministratorProfileRemoval>
                </VMModeOptimizations>
                <HideEULAPage>true</HideEULAPage>
                <HideLocalAccountScreen>true</HideLocalAccountScreen>
                <HideOnlineAccountScreens>true</HideOnlineAccountScreens>
                <HideOEMRegistrationScreen>true</HideOEMRegistrationScreen>
                <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
                <ProtectYourPC>3</ProtectYourPC>
                <UnattendEnableRetailDemo>false</UnattendEnableRetailDemo>
            </OOBE>
            <UserAccounts>
                <LocalAccounts>
                    <LocalAccount wcm:action="add">  
                        <Description>Local admin account</Description>
                        <DisplayName>Admin</DisplayName>
                        <Group>Administrators</Group>
                        <Name>Admin</Name>
                    </LocalAccount>
                </LocalAccounts>
            </UserAccounts>
            <RegisteredOrganization>ERP</RegisteredOrganization>
            <RegisteredOwner>ERP</RegisteredOwner>
            <TimeZone>W. Europe Standard Time</TimeZone>
        </component>
    </settings>
    <settings pass="specialize">  
        <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
            <OEMInformation>
                <Manufacturer>AW</Manufacturer>
                <Model></Model>
                <SupportHours>24/7</SupportHours>
                <SupportPhone>-23</SupportPhone>
                <SupportProvider>AW</SupportProvider>
                <SupportURL></SupportURL>
            </OEMInformation>
            <ComputerName>*</ComputerName>
            <CopyProfile>true</CopyProfile>
            <OEMName>EP</OEMName>
            <RegisteredOrganization>EP</RegisteredOrganization>
            <RegisteredOwner>EP</RegisteredOwner>
            <TimeZone>W. Europe Standard time</TimeZone>
        </component>
    </settings>
    <cpi:offlineImage cpi:source="wim:c:/users/installer/documents/install.wim#Windows 10 Pro" xmlns:cpi="urn:schemas-microsoft-com:cpi" />  
</unattend>

CodeSnippet zur Integration in eine AUTOUNATTEND.XML (für Treiberrepository über Netzwerkshare)

<?xml version="1.0" encoding="utf-8" ?>   
<unattend xmlns="urn:schemas-microsoft-com:unattend">  
   <settings pass="windowsPE">  
	<component name="Microsoft-Windows-PnpCustomizationsWinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">  
		 <DriverPaths>
			<PathAndCredentials wcm:keyValue="1" wcm:action="add">  
			 <Credentials>
				<Domain>Fabrikam</Domain> 
				<Password>MyPassword</Password> 
				<Username>MyUserName</Username> 
			 </Credentials>
			 <Path>\\server\share\drivers</Path> 
			</PathAndCredentials>
		 </DriverPaths>
	</component>
   </settings>
</unattend>

REG-Dateien zur Implementierung der Einstellungen des AntiSpy-Tools

HINWEIS! Das sind Beispieldateien aus März 2021! Ich rate dazu, neue zu erzeugen. Diese dienen nur der Anschauung.

Maschinenweite Einstellungen (HKLM\Software-Baum)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OneDrive]
"PreventNetworkTrafficPreUserSignIn"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Bluetooth]
"AllowAdvertising"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Browser]
"AllowAddressBarDropdown"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\System]
"AllowExperimentation"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Speech_OneCore\Preferences]
"VoiceActivationDefaultOn"=dword:00000000  
"ModelDownloadAllowed"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows]
"CEIPEnable"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Sensor\Overrides\{BFA794E4-F964-4FDB-90F6-51056BFE4B44}]
"SensorPermissionState"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\activity]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\appDiagnostics]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\appointments]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\bluetooth]
"Value"="Allow"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\bluetoothSync]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\broadFileSystemAccess]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\cellularData]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\chat]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\contacts]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\documentsLibrary]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\email]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\gazeInput]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\humanInterfaceDevice]
"Value"="Allow"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\location]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\microphone]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\phoneCall]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\phoneCallHistory]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\picturesLibrary]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\radios]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userAccountInformation]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userDataTasks]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userNotificationListener]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\videosLibrary]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\webcam]
"Value"="Deny"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config]
"DODownloadMode"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Metadata]
"PreventDeviceMetadataFromNetwork"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection]
"AllowTelemetry"=dword:00000000  
"MaxTelemetryAllowed"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Privacy]
"TailoredExperiencesWithDiagnosticDataEnabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate]
"AutoDownload"=dword:00000002  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services\7971F918-A847-4430-9279-4A52D1EFE18D]
"RegisteredWithAU"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting]
"Disabled"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics]
"Enabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"UserFeedbackAllowed"=dword:00000000  
"AutofillCreditCardEnabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\InputPersonalization]
"AllowInputPersonalization"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main]
"AllowPrelaunch"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\TabPreloader]
"AllowTabPreloading"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
"DontReportInfectionInformation"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Peernet]
"Disabled"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Speech]
"AllowSpeechModelUpdate"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"DisableInventory"=dword:00000001  
"DisableUAR"=dword:00000001  
"AITEnable"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredUI]
"DisablePasswordReveal"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection]
"AllowTelemetry"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization]
"DODownloadMode"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\HandwritingErrorReports]
"PreventHandwritingErrorReports"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\LocationAndSensors]
"DisableLocation"=dword:00000001  
"DisableWindowsLocationProvider"=dword:00000001  
"DisableLocationScripting"=dword:00000001  
"DisableSensors"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps]
"AutoDownloadAndUpdateMapData"=dword:00000000  
"AllowUntriggeredNetworkTrafficOnSettingsPage"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Messaging]
"AllowMessageSync"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive]
"DisableFileSyncNGSC"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization]
"NoLockScreenCamera"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"EnableActivityFeed"=dword:00000000  
"PublishUserActivities"=dword:00000000  
"UploadUserActivities"=dword:00000000  
"AllowClipboardHistory"=dword:00000000  
"AllowCrossDeviceClipboard"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TabletPC]
"PreventHandwritingDataSharing"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowSearchToUseLocation"=dword:00000000  
"DisableWebSearch"=dword:00000001  
"ConnectedSearchUseWeb"=dword:00000000  
"AllowCloudSearch"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ExcludeWUDriversInQualityUpdate"=dword:00000001  
"DeferUpgrade"=dword:00000001  
"DeferUpgradePeriod"=dword:00000001  
"DeferUpdatePeriod"=dword:00000000  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WMDRM]
"DisableOnline"=dword:00000001  

Maschinenweite Einstellungen (HKLM\System-Baum)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AutoLogger-Diagtrack-Listener]
"Start"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack]
"Start"=dword:00000004  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice]
"Start"=dword:00000004  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lfsvc\Service\Configuration]
"Status"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet]
"EnableActiveProbing"=dword:00000000  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000004  

Nutzerbezogene Einstellungen

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\International\User Profile]
"HttpAcceptLanguageOptOut"=dword:00000001  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\FlipAhead]
"FPEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main]
"DoNotTrack"=dword:00000001  
"ShowSearchSuggestionsGlobal"=dword:00000000  
"Use FormSuggest"="no"  
"OptimizeWindowsSearchResultsForScreenReaders"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter]
"EnabledV9"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Privacy]
"ClearBrowsingHistoryOnStart"=dword:00000001  
"EnableEncryptedMediaExtensions"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ServiceUI]
"EnableCortana"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ServiceUI\ShowSearchHistory]
@=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Clipboard]
"EnableClipboardHistory"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Input\TIPC]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization]
"RestrictImplicitInkCollection"=dword:00000001  
"RestrictImplicitTextCollection"=dword:00000001  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization\TrainedDataStore]
"HarvestContacts"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization\Settings]
"AcceptedPrivacyPolicy"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Siuf\Rules]
"NumberOfSIUFInPeriod"=dword:00000000  
"PeriodInNanoSeconds"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Speech_OneCore\Settings\VoiceActivation\UserPreferenceForAllApps]
"AgentActivationEnabled"=dword:00000000  
"AgentActivationOnLockScreenEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\TabletTip\1.7]
"EnableTextPrediction"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost]
"EnableWebContentEvaluation"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications]
"GlobalUserDisabled"=dword:00000001  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\activity]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\appDiagnostics]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\appointments]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\bluetoothSync]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\broadFileSystemAccess]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\cellularData]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\chat]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\contacts]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\documentsLibrary]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\email]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\gazeInput]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\location]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\microphone]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\phoneCall]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\phoneCallHistory]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\picturesLibrary]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\radios]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userAccountInformation]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userDataTasks]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\userNotificationListener]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\videosLibrary]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\webcam]
"Value"="Deny"  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]
"FeatureManagementEnabled"=dword:00000000  
"OemPreInstalledAppsEnabled"=dword:00000000  
"PreInstalledAppsEnabled"=dword:00000000  
"RotatingLockScreenEnabled"=dword:00000000  
"RotatingLockScreenOverlayEnabled"=dword:00000000  
"SoftLandingEnabled"=dword:00000000  
"SystemPaneSuggestionsEnabled"=dword:00000000  
"SlideshowEnabled"=dword:00000000  
"SilentInstalledAppsEnabled"=dword:00000000  
"PreInstalledAppsEverEnabled"=dword:00000000  
"RemediationRequired"=dword:00000000  
"SubscribedContent-310093Enabled"=dword:00000000  
"ContentDeliveryAllowed"=dword:00000000  
"SubscribedContent-353698Enabled"=dword:00000000  
"SubscribedContent-338388Enabled"=dword:00000000  
"SubscribedContent-338389Enabled"=dword:00000000  
"SubscribedContent-338393Enabled"=dword:00000000  
"SubscribedContent-353694Enabled"=dword:00000000  
"SubscribedContent-353696Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization]
"SystemSettingsDownloadMode"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"StoreAppsOnTaskbar"=dword:00000000  
"ShowCortanaButton"=dword:00000000  
"Start_TrackDocs"=dword:00000000  
"ShowSyncProviderNotifications"=dword:00000000  
"Start_TrackProgs"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\People]
"PeopleBand"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings]
"NOC_GLOBAL_SETTING_ALLOW_NOTIFICATION_SOUND"=dword:00000000  
"NOC_GLOBAL_SETTING_ALLOW_CRITICAL_TOASTS_ABOVE_LOCK"=dword:00000000  
"NOC_GLOBAL_SETTING_ALLOW_TOASTS_ABOVE_LOCK"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Privacy]
"TailoredExperiencesWithDiagnosticDataEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications]
"LockScreenToastEnabled"=dword:00000000  
"ToastEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search]
"SearchboxTaskbarMode"=dword:00000000  
"BingSearchEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync]
"SyncPolicy"=dword:00000005  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\Accessibility]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\BrowserSettings]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\Credentials]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\Language]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\Personalization]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\SettingSync\Groups\Windows]
"Enabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\UserProfileEngagement]
"ScoobeSystemSettingEnabled"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows Search]
"CortanaConsent"=dword:00000000  

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge]
"ConfigureDoNotTrack"=dword:00000001  
"PaymentMethodQueryEnabled"=dword:00000000  
"SendSiteInfoToImproveServices"=dword:00000000  
"MetricsReportingEnabled"=dword:00000000  
"PersonalizationReportingEnabled"=dword:00000000  
"AddressBarMicrosoftSearchInBingProviderEnabled"=dword:00000000  
"UserFeedbackAllowed"=dword:00000000  
"AutofillCreditCardEnabled"=dword:00000000  
"AutofillAddressEnabled"=dword:00000000  
"LocalProvidersEnabled"=dword:00000000  
"SearchSuggestEnabled"=dword:00000000  
"ResolveNavigationErrorsUseWebService"=dword:00000000  
"AlternateErrorPagesEnabled"=dword:00000000  
"NetworkPredictionOptions"=dword:00000002  
"SmartScreenEnabled"=dword:00000000  

Benutzerdefinierte Scripts für Abschluss der Installation

SetupComplete.cmd zur Entfernung des vorinstallierten Edge Chromium

Achtung! Der Pfad bei einem x86-OS lautet "Program Files" nicht "Program Files (x86)".

REM *** UNINSTALL MICROSOFT EDGE ***
ECHO OFF
c:
cd "\Program Files (x86)\Microsoft\Edge\Application\89.0.774.68\Installer\"  
setup.exe --uninstall --system-level --verbose-logging --force-uninstall
cd\
REM Erst 20 Sekunden warten, damit der Installer die Entfernung abschließen kann. Sonst wird die Verzeichnisstruktur nicht gelöscht.
c:\windows\system32\timeout.exe 20
rmdir /S /Q "c:\Program Files (x86)\Microsoft\"  

ErrorHandler.cmd zur Entfernung des vorinstallierten Edge Chromium, falls SetupComplete.cmd nicht funktioniert.

ECHO OFF
c:\
cd \Windows\SystemApps
rmdir /S /Q *edge*

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 665068

Url: https://administrator.de/contentid/665068

Ausgedruckt am: 21.11.2024 um 07:11 Uhr

2 Kommentare

Neuester Kommentar

Es gibt aus meiner Sicht keine Probleme, wenn man den Windows-Store ebenfalls löscht, aber eins muss klar sein: Er lässt sich nicht mehr installieren!

Doch, kann man, man muss sich nur aus dem Microsoft Store (über die Webseite die URL besorgen und über eine externe Seite dann die Download-Links extrahieren lassen) das Paket besorgen und kann es dann wieder installieren und sogar provisionieren. Ich hab den Store bei unseren Filial-PCs, wie alle möglichen appx-Anwendungen, entfernt und mache es jetzt rückgängig.