1 2 3 Previous Next 132 Replies Latest reply on Jul 11, 2018 8:32 AM by MarkusMichalski

    Windows 10 ja/nein?

    SitzRieSe Expert
      Hi Leute,

      ich wollte euch mal fragen wie Ihr mit Windows 10 umgeht. Ich hab mich jetzt schon eine Weile damit beschäftigt und finde einige Dinge die mir zu denken geben und wo ich einfach keine Antwort zu finde.

      1. Wie zum Bespiel geht Ihr mit dem Thema Updates um? Treshold 2 ist ja im November released, aber nicht mehr als ISO verfügbar. Über das APM / PatchLink wird das Update nicht bereitgestellt. Bekommt man für die alte Build noch Sicherheitsupdates? Nach meinem Veständnis eigtl nicht. Wie geht Ihr damit um?

      2. Apps im Startmenü. Im Startmenü finden sich einige Apps wieder die ich im Unternehmens Feld nicht sehen möchte. Ich habe zwar schon mit einem Powershell Skript die Apps entfernen können und das auch in ein neues WIM File bekommen, allerdings ist mir aufgefallen das nach einem Updates die Apps wieder drin waren. Wie geht ihr damit um? Entfernt Ihr die Apps?

      3. Was macht Ihr mit der App "Feedback" und "Support"? Diese Apps lassen sich garnicht entfernen und als Domain User ist man in der Lage in dieser App ein MS Konto anzugeben und dann fröhliche Informationen an MS zu senden...

      Danke!

      Gruß

      Alex
        • 1. Re: Windows 10 ja/nein?
          jWest1 Apprentice
          1. -> Du solltest eigentlich die 1511er aufjedenfall noch irgendwo finden...auf Nachfrage bei Microsoft haben wir sie auch bekommen, war zwar etwas aufwändiger aber wir haben sie gefunden.

          2. Bei uns ist der Store deaktiviert. Die MS Apps werden in der Windows Installation garnicht mit installiert. Per Loginskript werden App Verknüpfungen gelöscht. Edge Browser lässt sich leider nicht komplett deaktivieren.

          3. Per GPO/REG alle möglichen Dinge deaktivieren. Viele Applikationen können einem schon helfen z.b. Donotspy10 oder ähnliches.

          Grüße
          • 2. Re: Windows 10 ja/nein?
            SitzRieSe Expert

            1. -> Du solltest eigentlich die 1511er aufjedenfall noch irgendwo finden...auf Nachfrage bei Microsoft haben wir sie auch bekommen, war zwar etwas aufwändiger aber wir haben sie gefunden.

            2. Bei uns ist der Store deaktiviert. Die MS Apps werden in der Windows Installation garnicht mit installiert. Per Loginskript werden App Verknüpfungen gelöscht. Edge Browser lässt sich leider nicht komplett deaktivieren.

            3. Per GPO/REG alle möglichen Dinge deaktivieren. Viele Applikationen können einem schon helfen z.b. Donotspy10 oder ähnliches.

            Grüße



            Hi,

            danke für deine Antworten

            zu 1. Ich meinte das jetzt so allgemein, was machst du denn wenn jetzt das nächste große Update erscheint? Laut dem HEAT Support wird es über PatchLink/APM keine Bereitstellung geben. Nach meinem Verständnis müsste ich dann Neuinstallieren... Allerdings kann das nicht ernsthaft der Weg sein um weiterhin die aktuellen Sicherheitsupdates zu erhalten.

            zu 2. bei uns ist der Store ebenfalls per GPO deaktiviert, aber nach einer Win Installation sind die Default Apps noch installiert. Nutzt du Enterprise oder Pro?
            Evaluiere ich nochmal genauer

            zu 3. Schau ich mir auch nochmal an, mit den Tools hatte ich schon rumgespielt. Die Feedback und Support App habe ich allerdings nicht wegbekommen. Ich guck nochmal

            Danke!

            Gruß

            Alex
            • 3. Re: Windows 10 ja/nein?
              derniwi Master
              Hallo,

              naja, die erste große Frage bei uns ist:
              Können wir denn schon auf Windows 10 oder gibt es noch Software, die in der aktuell verfügbaren Version dann nicht mehr läuft?

              APM verwende ich nicht, hier müsste man mal schauen, ob das per WSUS geht.

              Gruß
              Nils
              • 4. Re: Windows 10 ja/nein?
                FrankScholer Master
                Hi Alex,

                hier sind wir alle sicher noch in der Findungsphase - ich behaupte, selbst Microsoft weiß noch nicht genau, wie sie damit in Zukunft umgehen wollen oder werden (oder sie ändern noch einige Dinge, weil ich glaube, dass sie die Strategie, wie sie momentan kommuniziert wird, nicht durchgehalten werden kann):

                Zuerst mal vorweg: das November-Update (auch als Threshold 2 bekannt) ist bisher nur im "Current Branch" (CB) verfügbar - der für Consumer (sprich: End- und Heimanwender) gedacht ist. Im "Current Branch for Business" (CBB) werden Feature-Upgrades erst vier Monate, nachdem sie im CB veröffentlicht wurden, eingestellt. Daher ist der TH2 momentan für Businessanwender eigentlich noch garnicht verfügbar... im Long Term Servicing Branch (LTSB) wird die Funktionalität von TH2 dann erst mit dem nächsten offiziellen Build auftauchen...

                Zu deinen Themen:

                zu 1: Feature Update werden immer (auch mit Original Microsoft-Methoden) eine "Neuinstallation" sein - allerdings ein Inplace-Upgrade. Das wird unter Windows angestartet, dann bootet er in ein PE rein und ersetzt alles und dann bootet er wieder das normale OS und macht die Installation fertig. Das wird immer so sein und jedesmal 1-2 Stunden pro Rechner dauern können...

                Das Paket kann man natürlich selbst bauen (sollte relativ einfach sein), ich bin aber durchaus schon im Austausch mit dem HEAT Produktmanagement, dass es eventuell hier Unterstützung im Produkt gibt, ähnlich wie die Wizards für die anderen OSD-Pakete eben einen Assistenten und nen neuen Pakettyp für OS Upgrades. Ist aber noch nicht in "trockenen Tüchern" ;-)

                Dass das kaum der Weg ist, den man gehen will, sehe ich eigentlich auch so. Allerdings müsstest du dich da bei Microsoft beschweren, die wollen ja 2 bis 3 mal pro Jahr ein Feature Update rausbringen...

                zu 2. Apps sind nur nicht dabei, wenn die LTSB-Variante verwendet wird. Dann fehlen Store, Edge, Cortana und eben die Apps. Microsoft mag aber eigentlich nicht, dass LTSB der Standard wird, das soll eher die Ausnahme für besonders geschäftskritische Systeme sein. Was jetzt allerdings besonders geschäftskritisch bedeutet, das muss jeder für sich selbst definieren...

                Wie du richtig schreibst, kann man Apps nachträglich per PowerShell deinstallieren, und zwar sowohl die bereits für den aktuellen User installierten und auch die für alle User schonmal "vorbereiteten"). Dazu hat mein Kollege Bene gerade am letzten Freitag nen Blog-Artikel verfasst. Sie lassen sich auch schon vor dem Deployment aus dem Image entfernen über DISM. Wenn ein Update das aber wieder reinmacht, dann musst du entweder per DSM auch wieder nacharbeiten oder eben versuchen vor dem Deployment das Update-Image anzupassen...

                Ich hoffe, auch hier kommen neue DSM-Scriptbefehle dazu, wie z.B. "AppXInstallPackage" und "AppXRemovePackage", zusammen mit der Option, das nur für den aktuellen User oder die ganze Maschine zu tun)...

                zu 3. Tools zu den Privacy-Einstellungen gibt's mittlerweile jede Menge. Im Endeffekt stehe ich eigentlich nicht so sehr auf vorkompilierte Binaries, sondern eher auf Scriptlösungen, z.B. auf PowerShell-Basis, wo man erkennen kann, was passiert bzw. gemacht wird. Mein ehemaliger Kollege Michi hat dazu was in seinem Blog gepostet unter https://blog.doenselmann.com/windows-10-mit-powershell-aufraeumen/ oder es gibt auf GitHub auch ein Projekt "Debloat Windows 10" (https://github.com/W4RH4WK/Debloat-Windows-10), wo es einige coole PowerShell-Scripts gibt, um Windows 10 Einstellungen anzupassen...

                Ansonsten kann man sich stunden- oder tagelang mal mit dem Thema beschäftigen (es gibt ja noch etliche andere Themen, wie Provisioning, Windows Store for Business, Azure Active Directory, und und) und Microsoft macht mächtig Druck (z.B. auch, dass Windows 7 und Windows 8.x dann in kürze auf neuer Hardware garnicht mehr supportet sein werden!)...

                HTH, Grüße Frank
                • 5. Re: Windows 10 ja/nein?
                  NicoS1 Master
                  Hallo,

                  ich kann da Frank in den größten Teilen auch beipflichten. Wir sind selbst auch in der Phase in der wir einen betriebsfähigen Windows 10 Client für uns selbst und auch für Kunden designen.

                  Es wird aber, so denke ich zumindest, einiges in Richtung "Non-Supported" Einstellungen hinauslaufen bzw. Tools oder Scriptsets die viele Datensammeloptionen abschalten. Gerade Cortana, welches fähig ist das gesprochene Wort im Raum an einen externen Server zu übermitteln ist ein absolutes K.O. Kriterium. Zumal man die gute Dame auch wirklich mit dem Hammer erschlagen muss. Wir haben sie an der Windows internen Firewall schlussendlich blockiert, da (bei einem Test-Proxy mit Basic Authentication) aufgefallen ist: Auch wenn man über GPOs alles was Cortana an geht abschaltet... öffnet man das Startmenü, möchte sich Cortana mit dem Internet verbinden... sichtbar ein einem Proxy Authentifizierungsfenster im Startmenü.

                  Tatsächlich macht es bei Windows 10 einen Unterschied ob man Pro oder Enterprise einsetzt. In den Gruppenrichtlinien sind mir einige Einstellungen zum Thema Datensammeln über den weg gelaufen wo dabei stand, dass diese sich nur in der Enterprise Version vollständig abschalten lassen. Aber ich denke mal, da werden wir in Zukunft einiges an Forenbeiträgen, Blogartikeln und sonstigem Austausch fahren

                  Wir haben einige Kunden die sind richtig heiß auf Windows 10... und wir tun gerade unser möglichstes hier einen Endanwenderfreundlichen Client zu produzieren... wird aber sicherlich noch einige Überraschungen bergen das Ganze So leicht hab ich das Gefühl, dass MS den Business Case für einen nennen wirs mal "Full Managed Client" noch nicht ganz verstanden hat.

                  @Frank: Ich hatte kürzlich auch einen Termin mit Andreas Fuchs in dem auch das Thema "Apps" hoch kam. Dort haben wir uns auch mehr oder weniger drauf verständigt, dass es in die Richtung geht den Windows Store für Endanwender zu deaktivieren (evtl. einige ausgewählte Anwender ausgenommen) und den Software Shop bzw. DSM als einzige Quelle hat sowohl für Desktopapplikationen als auch Apps. In diesem Zuge wurde auch erwähnt dass seitens Heat Software das paketieren und Verteilen von Apps (AppX Paketen) berücksichtigt ist und hierzu entsprechende Befehle / Pakete kommen um das Deployment Out-of-the-Box zu machen und nicht über selbstentwickelte PowerShell Scripte / Snippets gemacht werden muss.

                  Gruß
                  • 6. Re: Windows 10 ja/nein?
                    SitzRieSe Expert
                    Hi Frank,

                    danke für dein wirklich sehr ausführlichen Post. Deine Erkentnisse mit dem Thema scheinen sich dann ungefähr mit Meinen zu überschneiden. Ich hab da aber doch nochmal ein paar Gegenfragen :P

                    zu 1. Ok, das Feature-Upgrade ist nach meinem empfinden eigtl auch kein Weg den ich gerne In-Place machen möchte, allerdings sehe ich fast keine andere Möglichkeit bei dem aktuellen Kurs. Ich kann ja nicht im halb-jahres Rhytmus die Systeme neuinstallieren. Daher wäre dann für mich der Weg ein entsprechendes Feature-Upgrade per eScript zu paketieren und dann zu evaluieren. (Muss ich mir mal anschauen, bisher noch nicht mit beschäftigt.)

                    Unsere Systeme laufen hauptsächlich in der Pro Variante mit OEM Lizenzen und wären daher schon betroffen. Empfiehlt Ihr den Einsatz von der Pro im Business Bereich?

                    zu 2. Seh ich eigtl genau so. Ich hätte jetzt die normale Windows Variante genommen und entsprechend den Store per GPO deaktiviert und anschließend dann per Powershell entfernt und das dann einfach hart ins WIM File integriert. Anschließend bei Updates entsprechend manuell wieder getriggert. Schöner wäre aber eine Variante wo ich sicher weiß das die Apps auch nicht wieder auftauchen... vielleicht doch mal mit LTSB beschäftigen.

                    zu 3. Die Privacy Settings konnte ich bisher auch mit Powershell und Reg Schlüsseln ganz gut abbilden, meine Frage bezog ich eher auf die 2 Apps Namens "Support" und "Feedback". Diese 2 Apps halte ich für bedenklich und lassen sich nicht entfernen. Vielleicht ist hier evtl dann auch die LTSB Variante als Lösung.
                    • 7. Re: Windows 10 ja/nein?
                      FrankScholer Master
                      Hi nochmal,

                      zu 1. Ok, das Feature-Upgrade ist nach meinem empfinden eigtl auch kein Weg den ich gerne In-Place machen möchte, allerdings sehe ich fast keine andere Möglichkeit bei dem aktuellen Kurs. Ich kann ja nicht im halb-jahres Rhytmus die Systeme neuinstallieren. Daher wäre dann für mich der Weg ein entsprechendes Feature-Upgrade per eScript zu paketieren und dann zu evaluieren. (Muss ich mir mal anschauen, bisher noch nicht mit beschäftigt.)


                      Das Riesen-Problem dabei ist, dass es nur für den aktuellen Build und den Vorgänger-Build Security-Updates gibt. Du kannst dich den Feature-Upgrades daher nicht auf Dauer verweigern, sonst sind deine Systeme ruck-zuck nicht mehr gepatcht!

                      zu 2. ...vielleicht doch mal mit LTSB beschäftigen.


                      LTSB ist eigentlich das, wie man es (aus "guten" Windows 7 Zeiten bekannt ;-) haben will. Allerdings hat das dann wieder andere Implikationen, dass es vielleicht doch Feature Updates gibt, die man gerne haben möchte aber dann nicht kriegt, oder dass die User von daheim die neuen Features kennen (dort können sie sich ja nicht dagegen wehren) und dann Support-Aufwand generieren, weil sie etwas Neues nicht finden oder Dinge dann an anderen Stellen sind und sie vergeblich suchen und dann beim Support anrufen...

                      zu 3. ...Diese 2 Apps halte ich für bedenklich und lassen sich nicht entfernen.


                      Hmm, da kann ich jetzt spontan auch nicht allzu viel dazu sagen. Es gibt ein Tool namens "WIMTweak", wo man die mit entfernen kann. Ist von einem MSFN-User namens "Legolash2o", aber das gefällt mir (aus den schon genannten Gründen) eher nicht so. Ich hab aber da noch nicht genug geforscht, um zu sehen, was dieses Tool macht und das dann separat nachzubauen...

                      Grüße Frank
                      • 8. Re: Windows 10 ja/nein?
                        FrankScholer Master
                        Achso, noch als Nachtrag: wenn möglich, würde ich Enterprise empfehlen, weil es einerseits einige Features gibt, die ziemlich schick sind im Business Umfeld (z.B. Direct Access oder auch AppLocker). Und dann gibt es auch noch so Banalitäten, dass nur bei Windows 10 Enterprise der Startbildschirm per Gruppenrichtlinie angepasst werden kann - siehe https://www.microsoft.com/de-de/WindowsForBusiness/Compare usw.

                        Also, Pro ist für KMUs OK, aber ich glaube, der typische DSM-Kunde spielt ja schon ne Liga höher und da ist dann Enterprise eigentlich die Edition der Wahl.

                        HTH, Grüße Frank
                        • 9. Re: Windows 10 ja/nein?
                          derniwi Master
                          Hallo,

                          ...z.B. auch, dass Windows 7 und Windows 8.x dann in kürze auf neuer Hardware garnicht mehr supportet sein werden!)...


                          Ja, das stimmt leider. Intel hat mit den neuen 100er-Serie-Chipsätzen den EHCI-Modus rausgenommen, so dass hier die Windows-/-Installationsquelle angepaßt werden muss. Ich habe dort den USB3-Treiber integrieren müssen, damit wir auf einem neuen Rechner Windows 7 überhaupt installieren konnten.

                          Was insofern merkwürdig ist: der Rechner bootet Windows 7 über den USB-Stick. Dann findert er aber keine lokale Festplatte. Mit dem integrierten Treiber hat er sie dann gefunden... ok, ich wollte noch testen, ob es daran liegt, dass der AHCI-Treiber irgendwo auf dem Stick lag, in der Original-Version hatte er ja nur das durch den Boot geladene Image, aber eben keinen Zugriff auf das weitere Dateisystem des Sticks...

                          Wobei es letztlich egal ist, Windows 7 wird in Zukunft schlechter und weniger unterstützt werden.

                          Gruß
                          Nils
                          • 10. Re: Windows 10 ja/nein?
                            FrankScholer Master
                            H Nils,

                            ich meinte eher, dass auf den neuen Chipsätzen dann Windows 7 garnicht mehr supported wird und auch auf den aktuellen Skylake-Prozessoren nur noch bis Mitte nächsten Jahres (auch wenn es technisch noch funktioniert und der erweiterte Windows 7 Support noch bis 2020 läuft)... im Microsoft-Blog unter  https://blogs.windows.com/windowsexperience/2016/01/15/windows-10-embracing-silicon-innovation/ steht:

                            ...For example, Windows 10 will be the only supported Windows platform on Intel’s upcoming “Kaby Lake” silicon, Qualcomm’s upcoming “8996” silicon, and AMD’s upcoming “Bristol Ridge” silicon.

                            Through July 17, 2017, Skylake devices on the supported list will also be supported with Windows 7 and 8.1. During the 18-month support period, these systems should be upgraded to Windows 10 to continue receiving support after the period ends
                            .



                            Ich finde das sehr heftig, da vermutlich die meisten Unternehmen ihre Rechner leasen und daher in regelmäßigem Turnus Teile davon austauschen. Das heißt, der Zwang zu Windows 10 (unter der Annahme, dass man in einem supporteten Zustand sein möchte) kommt deutlich früher als bisher angenommen...

                            Grüße Frank
                            • 11. Re: Windows 10 ja/nein?
                              SitzRieSe Expert
                              Ich hab mich jetzt mal ein wenig mit der Paketierung von dem Upgrade Verfahren beschäftigt. Irgendwie komm ich nirgends an ein Update Paket von dem Threshold 2. Hat da Jemand andere Erfahrungen oder einen Tip für mich?

                              Ich habe jetzt ein Windows ISO genommen. Die Setup.exe lässt sich mit /? aufrufen und gibt einem dann einige Optionen. mit /auto upgrade läuft dann der Upgrade Prozess automatisch, mit /quiet dann auch versteckt. Negativ fällt mir dabei noch auf das die Setup Routine nach Windows Updates sucht, was man scheinbar nicht mit einem Parameter verhindern kann.

                              Ansonsten machbar, sieht in Ordnung aus... Hat jemand vielleicht noch einen anderen Weg gefunden?

                              Gruß

                              Alex
                              • 12. Re: Windows 10 ja/nein?
                                FrankScholer Master
                                Hi Alex,

                                das ist genau der Weg... wieso suchst du jetzt was anderes?

                                Wegen der verfügbaren Commanline-Schalter: da findest du eine Aufstellung unter http://blogs.technet.com/b/home_is_where_i_lay_my_head/archive/2015/09/14/windows-10-setup-command-line-switches.aspx. Dort steht auch, dass man das Suchen nach Updates per DynamicUpdate disable abschalten kann...

                                HTH, Gruß Frank
                                • 13. Re: Windows 10 ja/nein?
                                  SitzRieSe Expert
                                  Hi Frank,

                                  ich schau mich nur nach den Möglichkeiten um die es gibt.

                                  Die CD Variante ist ganz ok. Klappt jetzt hier auch ganz gut... Ist aber auch grade ein schlechter Test, da ich ein nacktes Windows geupdated habe
                                  • 14. Re: Windows 10 ja/nein?
                                    SitzRieSe Expert

                                    Hi Alex,

                                    das ist genau der Weg... wieso suchst du jetzt was anderes?

                                    Wegen der verfügbaren Commanline-Schalter: da findest du eine Aufstellung unter http://blogs.technet.com/b/home_is_where_i_lay_my_head/archive/2015/09/14/windows-10-setup-command-line-switches.aspx. Dort steht auch, dass man das Suchen nach Updates per DynamicUpdate disable abschalten kann...

                                    HTH, Gruß Frank



                                    Hi Frank,

                                    nochmal ne blöde Frage. Funktioniert bei dir der /quiet Parameter? Der ist zwar angegeben, führt aber immer zu einem unbekannter Parameter Fehler.

                                    Mein Gedanke war jetzt, mit
                                    oreboot zu arbeiten und die Vorbereitung so zu sagen versteckt laufen zu lassen bis zum manuellen Reboot.

                                    ...

                                    OK geht... Bitte ignorieren. :P
                                    1 2 3 Previous Next