Zum Inhalt wechseln


Foto

Apps einzeln verbieten möglich?

Windows 10 GPO

  • Bitte melde dich an um zu Antworten
29 Antworten in diesem Thema

#1 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 23. Juni 2016 - 06:40

​Moin zusammen,

 

nachdem unsere Geschäftsleitung entschieden hat, das Angebot von Microsoft zum kostenlosen Upgrade anzunehmen, haben wir nun etliche Rechner auf Windows 10 aktualisiert.

 

Natürlich haben wir nun zunächst über eine GPO namens "W10_Restrictions" die Nutzung der Store Apps (auch der Vorinstallierten) sowie des Stores selbst verboten.

 

Davon sind ja leider auch ein paar sinnvolle Apps betroffen:

  • Foto-App
  • Taschenrechner

Kennt jemand von Euch einen praktikablen Weg - möglichst per GPO - , einzelne Apps zuzulassen, quasi auf Basis einer Whitelist?

 

Wie immer bin ich für jeden konstruktiven Tipp dankbar!

 

Viele Grüße

Euer Friesenjunge



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 07:43

Die Storenutzung kann man afair doch sowieso nur noch in der Enterprise Edition "verbieten". Im Zweifel kann man jede App einzeln in der Firewall blocken. Oder man deinstalliert den Kram, der nicht genutzt werden soll.
http://www.gruppenri...g-deaktivieren/

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 23. Juni 2016 - 08:03

Moin Norbert,

erstmal danke für Deine schnelle Antwort.

Interessanterweise greift die in dem verlinkten Artikel beschriebene GPO, obwohl wir keine Enterprise-Versionen verwenden.

 

Es geht mir darum, einzelne Apps zuzulassen und nicht per Gießkannenprinzip alles generell zu verbieten.

Nicht alle vorinstallierten Apps sind kritisch oder gesprächig ;-)

 

Viele Grüße

Friesenjunge



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 08:05

Dann nutzt ihr möglicherweise eine alte Windows Version, oder MS hat mal wieder was geändert ohne es zu dokumentieren. ;) Ansonsten sind APPs eben leider nicht oder nur pauschal per GPO zu steuern. Das ist prinzipbedingt leider so. Ich würde einfach alle wegwerfen, denn einen Mehrwert erkenne ich persönlich in keiner. Egal ob die gesprächig oder kritisch sind.

Make something i***-proof and they will build a better i***.


#5 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 23. Juni 2016 - 13:46

Nun ja, der Taschenrechner ist schon nützlich und warum, wenn Windows den mitbringt, ein zusätzliches (Fremd-)Programm installieren...



#6 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 13:50

Dann laß ihn einfach drauf. Wo ist das Problem?

Make something i***-proof and they will build a better i***.


#7 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 23. Juni 2016 - 18:21

Das Problem hatte ich weiter oben bereits beschrieben:

  1. Die mir zumindest bekannten GPO-Einstellungen bieten lediglich die Möglichkeit, den Store selbst sowie die Store-Apps in Gänze zu verbieten. Das ist recht unflexibel, da es im Gegensatz zur Foto-App kein im Installationsumfang enthaltenes Desktop-Pendant für den Taschenrechner gibt, auf den man ausweichen kann.
  2. Die GPOs wirken entgegen der Aussage in dem von Dir verlinkten Artikel auch bei uns in der Windows 10 Pro (Version1511). Warum? Egal, sie wirkt.
  3. Ich halte die Variante "Deinstalliere alles, was Du nicht haben willst" im Unternehmensumfeld für ziemlich daneben. Es gibt nicht umsonst die Möglichkeiten einer GPO, die Turnschuhadministration ja vermeiden soll, oder ;)?

Wenn es, wie Du schreibst, (momentan) hier keine sinnvolle Möglichkeit seitens MS über GPO gibt, zumindest mal die MS-Board-Apps einzeln zu steuern (Bis auf Kalender, Skype und Mail, so steht's in der XLSX mit den einzelnen Einstellungsmöglichkeiten von MS), so ist das schade, aber auch nicht zu ändern​. Dann finden sich andere Lösungen.

 

Viele Grüße aus Nordfriesland

Friesenjunge



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 18:52

Dann ist dein deployment falsch, wenn du Sachen drauf hast, die da nicht hingehören.

Make something i***-proof and they will build a better i***.


#9 magheinz

magheinz

    Newbie

  • 1.328 Beiträge

 

Geschrieben 23. Juni 2016 - 19:59

Nun ja, der Taschenrechner ist schon nützlich und warum, wenn Windows den mitbringt, ein zusätzliches (Fremd-)Programm installieren...

eventuell weil man sonst das Problem hat was du gerade hast?

 

Ich bekomme immer mehr den Eindruck das Windows10 noch lange nicht für den Unternehmenseinsatz geeignet ist...


Wenn es, wie Du schreibst, (momentan) hier keine sinnvolle Möglichkeit seitens MS über GPO gibt, zumindest mal die MS-Board-Apps einzeln zu steuern (Bis auf Kalender, Skype und Mail, so steht's in der XLSX mit den einzelnen Einstellungsmöglichkeiten von MS), so ist das schade, aber auch nicht zu ändern​. Dann finden sich andere Lösungen.

eine andere Lösung wäre eben den Store komplett abzuschalten und einen anderen Taschenrechner zu installieren.

z.B.

https://sourceforge....s/jcalcadvance/

http://www.graphcalc.com/

http://preccalc.sour...net/index.shtml

oder sonst einer



#10 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 20:01

Nur weil man den Calc braucht kann man sonst sein deployment nicht planen? Ich seh das Problem irgendwie anders. :)

Make something i***-proof and they will build a better i***.


#11 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 23. Juni 2016 - 20:38

Ich habe die Administrativen Vorlagen so installiert, wie es bei Microsoft beschrieben ist.

Dann habe ich die Gruppenrichtlinie erstellt, die Einstellungen gesetzt und zunächst auf eine GPO verknüpft, in der nur ein paar Referenzmaschinen zum Test drin waren.

 

Dann haben wir getestet, ob alles so weit OK ist und nach Freigabe die GPO auf die OU mit unseren Computerkonten verknüpft.

 

Ich kann hier keinen Fehler im Deployment erkennen, zumal es ja (eigentlich) so funktioniert, wie es sollte.

OK, bis auf die Ausnahme, dass die zwei Einschränkungen eigentlich unter Pro nicht ziehen sollten. Interessanterweise kann ich die zwei Punkte auch im Gruppenrichtlinieneditor nach Belieben an- und abschalten, am Client ein gpupdate und die Änderung greift.

 

Und ich kann mir auch nicht vorstellen, dass das Upgrade, was ausschließlich über offizielle Werkzeuge von MS durchgeführt wurde, uns plötzlich einen Designfehler unterschiebt.

 

Und nein, davon mache ich mein Deployment nicht abhängig, definitiv nicht.

Ich wundere mich halt darüber, dass man sich bei MS in der Hinsicht scheinbar weniger Gedanken gemacht hat, als über andere Dinge.

 

Klar gibt es kostenlose und gute Fremdanbieterprogramme als Taschenrechner, meine persönliche Meinung ist aber, so gut es geht Bordmittel zu nutzen.

 

Der Taschenrechner ist hier sicher nur ein Beispiel, wenn auch eines, wo unsere User zuerst drüber gestolpert sind ;).​



#12 magheinz

magheinz

    Newbie

  • 1.328 Beiträge

 

Geschrieben 23. Juni 2016 - 21:11

kann man denn die apps die man will nicht vorinstallieren oder per softwsreverteilung auf die Rechner bringen? Oder kann man die nur über den appstore installieren?

#13 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. Juni 2016 - 22:08   Lösung

Ich habe die Administrativen Vorlagen so installiert, wie es bei Microsoft beschrieben ist.


Doof nur, dass man Apps eben kaum sinnvoll über GPOs steuern kann.

Dann habe ich die Gruppenrichtlinie erstellt, die Einstellungen gesetzt und zunächst auf eine GPO verknüpft, in der nur ein paar Referenzmaschinen zum Test drin waren.
 
Dann haben wir getestet, ob alles so weit OK ist und nach Freigabe die GPO auf die OU mit unseren Computerkonten verknüpft.
 
Ich kann hier keinen Fehler im Deployment erkennen, zumal es ja (eigentlich) so funktioniert, wie es sollte.



OK, nochmal zurück zum Anfang... Ihr habt Windows Installationen deployed, die Apps drauf haben, die ihr nicht haben wollt. Finde den Fehler. ;) Und jetzt drüber zu diskutieren, dass man Apps nicht per GPO steuern kann ist eben zu spät. Denn erstens ist das meiner Meinung nach bekannt, und hätte bei euren Tests auffallen müssen. Und an der Stelle hätte man dann eine Entscheidung treffen können/müssen.


Und nein, davon mache ich mein Deployment nicht abhängig, definitiv nicht.


Wovon genau?

Ich wundere mich halt darüber, dass man sich bei MS in der Hinsicht scheinbar weniger Gedanken gemacht hat, als über andere Dinge.


Darüber wunderst nicht nur du dich. Hilft nur oftmals leider nicht, und in deinem Fall wars meiner Meinung nach sogar vorhersehbar. ;)

 

Bye
Norbert
  • Friesenjunge gefällt das

Make something i***-proof and they will build a better i***.


#14 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 24. Juni 2016 - 07:10

Also, Norbert, jetzt verstehe ich Deinen Ansatz ;-).

 

Und dass die von MS derzeit gebotenen Eingriffsmöglichkeiten nicht optimal/praxisgerecht sind, da sind wir uns ja auch einig.

 

Dass ich mein Deployment nicht von einer App abhängig mache, war meine Intention.

Ich werde aber auf Deinen Hinweis hin für zukünftige Upgrades den Weg überdenken und optimieren, danke dafür.

 

Bis zum nächsten Mal,

Friesenjunge



#15 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 24. Juni 2016 - 07:31

Der Ansatz ist doch aber nicht total neu. ;) Hat man früher auch schon so gemacht, wenn ich Software nicht brauchte/wollte, wurde sie eben nicht ausgerollt. Im Übrigen kannst du das wahrscheinlich jetzt im Nachgang immer noch grade ziehen, nur dass du das eben für jedes Userprofil machen mußt, welches auf einem PC vorhanden ist, da die Apps sich eben in jedes Userprofil kopieren. Das ist genau der Grund, warum das eben so ein für mich "sinnloses" Feature ist. Kein normaler Business PC benötigt Apps. Und falls doch, hätte man das eben optional machen sollen. Zumindest in den Enterprise Editionen.

Bye
Norbert

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: Windows 10, GPO