phatair

Sorry - stimmt Hatte deine Nachricht ganz vergessen. Hatte die aber tatsächlich auch so verstanden, dass du meintest ich soll die Updates per GPO blockieren. Aber du hattest von den Updater Diensten direkt gesprochen Testperson hatte das ja schon beantwortet. Aber MS hatte ganz am Anfang das mal sehr eindeutig kommuniziert Ist hier noch zu finden

Zwar etwas OT, aber wir haben Telemetrie auch deaktiviert und haben deshalb auch keine Secure Boot Updates bekommen. Haben auch nur die GPO gesetzt. Updates ist mir auch nichts bekannt, was hier mit Pro nicht klappt. Unsere Problematik hat meiner Meinung nach nichts mit Pro/Enterprise und irgendwelchen nicht supporteten GPOs zu tun. Enterprise ist für uns kostentechnisch raus, da wir nicht die großen Mehrwehrt davon haben. Aber ist ja gut, wenn jeder seinen Weg gehen kann

Ich behaupte jetzt einfach mal, dass die GPOs bei uns genau so verarbeitet werden wie MS das gedacht hat, unabhängig von der Pro oder Enterprise Variante. Nur deaktiviert eben die Update GPO vom Edge Updater nicht alle Kommunikation unterbinden, sondern erlaubt weiterhin einen Teil. Das einige GPOs nur unter Enterprise funktionieren, ist korrekt. Aber das ist überschaubar. Es mag sein, dass bestimmte Probleme bei einer Enterprise oder LTSC/LTSB Variante gar nicht auftreten, da bestimmte Features dort gar nicht vorhanden sind oder bei MS anders gehandhabt werden. Für uns funktioniert das Thema jetzt erstmal so. Wichtig war mir, dass ich relativ einfach jetzt diesen Copilot Mist von den Clients bekomme und auch die Zwangsbeglückung deaktiviere. EDIT: Wir sind auch nicht die einzigen mit dem Problem. Bei WindowsLatest wurde es ja schon erwähnt, aber auch hier und hier sind Beiträge von Usern die auf das gleiche Problem abzielen.

Wir nutzen hier nur Windows 11 24H2 Pro. Bei 50 von 250 Clients ist Copilot automatisch installiert worden (über die letzten ca. 2 Wochen verteilt). Wie oben beschrieben, hat das deaktivieren der Edge Update Dienste und das deaktivieren der Schedule Tasks für den Edge Update die Zwangsbeglückung gestoppt. Ob das alleinige deaktivieren der Schedule Tasks ausreichte, weiß ich nicht. Wir lassen jetzt sowohl die Tasks als auch die Services deaktiviert. Das Ganze wird über die Client Management Software regelmäßig geprüft und falls es sich wieder einschalten sollte, wieder deaktiviert. Da sowohl Edge als auch WebView2 über unser Patch Management jetzt aktualisiert wird, brauchen wir den Edge Updater nicht mehr (stand jetzt )

Also ich habe für uns eine Lösung gefunden. wie schon erwähnt, hatte ich den Edge Updater per GPO deaktiviert. Das wurde auch übernommen. Info in Edge Auch wurde die GPO sauber in die Registrierung geschrieben und der Wert für die Deaktivierung von Updates sauber gesetzt. Die Infos von MS stehen hier Trotzdem wurde Copilot immer wieder als x86 Anwendung unter C:\Program Files (x86)\Microsoft\Copilot\Application installiert. Ich musste jetzt folgende Schritte durchführen um das zu unterbinden Folgende Dienste auf beendet setzen Microsoft Edge Update Service (edgeupdate) Microsoft Edge Update Service (edgeupdatem) Scheduled Tasks (muss als Admin gestartet werden, sonst sieht man die Tasks nicht) MicrosoftEdgeUpdateTaskMachineCore -> direkt unter "Aufgabenplanungsbibliothek" MicrosoftEdgeUpdateTaskMachineUA -> direkt unter "Aufgabenplanungsbibliothek" Seit dem ist Ruhe. Ich hätte eigentlich erwartet, dass die GPO die ich oben erwähne, "Update policy override default" in "Administrative Templates/Microsoft Edge Update/Applications" , genau diese Sachen deaktiviert. Aber die unterbindet wohl nur das Update von Edge und nicht andere Software die über diesen Dienst installiert werden kann. Wir werden jetzt die Edge und WebView2 Updates über unsere Softwareverteilung verteilen. Vielleicht hilft das ja noch jemand. Grüße

Also das Thema lässt mir keine Ruhe Die AppLocker Rule ermöglicht zwar das blockieren von installierten Copilot Installationen und ich schaffe es auch, dass trotzdem der Uninstall von bestehenden Installationen läuft. Aber trotzdem wird Copilot immer neu installiert. Ich habe jetzt mit Process Monitor mal geschaut was passiert wenn plötzlich Copilot wieder erscheint. Dabei sind mir folgende Punkte aufgefallen und vielleicht habt ihr eine Idee ob mir das weiterhilft um diese ungewollte Installation zu unterbinden Zum einen sehe ich, dass die Installation tatsächlich vom Edge Updater kommt. Folgender Eintrag ist zu sehen C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe PID: 5088, Command line: "C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe" --mscopilot --verbose-logging --do-not-launch-msedge --system-level --channel=stable --copilot-upgrade-only=1 ETwas später passiert dann noch das C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\EDGEMITMP_4ADE2.tmp\setup.exe PID: 12576, Command line: "C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\EDGEMITMP_4ADE2.tmp\setup.exe" --install-archive="C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe" --mscopilot --verbose-logging --do-not-launch-msedge --system-level --channel=stable --copilot-upgrade-only=1 Das wundert mich, da ich die Edge Updates per GPO deaktiviert habe und wenn ich im Edge auf "Hilfe" gehe, sehe ich die Info, dass die Updates deaktiviert sind und durch die Organisation kontrolliert werden. Gibt es noch eine weitere GPO die weitere Edge Update Thematiken deaktiviert? Eigentlich sollte hier ja nichts mehr passieren. Des Weiteren sehe ich, dass vor dem obigen Aufruf die MicrosoftEdgeUpdate.exe sehr oft folgende RegKeys prüft HKLM\SOFTWARE\Policies\Microsoft\Copilot HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Copilot Beide Reg Keys gibt es bei uns nicht. Meine Vermutung ist jetzt, dass vielleicht noch eine GPO fehlt die dem Updater mitteilt, dass er kein Copilot installieren soll Ist euch da eine GPO bekannt, die oben genannte Reg Keys erstellt und befüllt? Für Vorschläge wäre ich dankbar Schönes Wochenende.

Hat leider nichts geholfen. Erscheint nach einer Deinstallation nach ca. 1 Stunde wieder. Es geht genau um das Thema hier, was Windows Latest hier im März schon beschreibt. Auch hier wird keine Möglichkeit erwähnt das zu blocken. https://www.windowslatest.com/2026/03/18/microsoft-appears-to-be-dumping-native-copilot-for-windows-11-in-favour-of-web-wrapper-yet-again/ Ich werde das jetzt mal mit AppLocker probieren. Das ist ja das offizielle Vorgehen von MS um die APPX zu blockieren. Oder ich Frag einfach Copilot wie ich ihn blockieren kann

Hi Sunny61, danke! Ich habe jetzt mal Update policy override default auf disabled und AutoUpdateCheckPeriodMinutes auf 0 gestellt. Mal schauen ob es was bringt. Habe gerade diese Copilot Anwendung deinstalliert und keine 30 Min später war sie wieder drauf. Im Eventlog ist aber auch kein Hinweis über die Installation... einfach ein Mist was MS da treibt.

Hallo zusammen, wir haben schon länger bei uns die Installation von Copilot auf allen Clients unterbunden. Dazu haben wir die AppLocker Richtlinie von MS ausgerollt (https://learn.microsoft.com/en-us/windows/client-management/manage-windows-copilot) und im Base Image die APPX für alle User entfernt. Das hat bisher ohne Problem funktioniert. Seit ein paar Tagen wird nun plötzlich auf allen Clients eine Copilot App unter "C:\Program Files (x86)\Microsoft\Copilot\Application" installiert. Also keine APPX. Laut WindowsLatest scheint es wohl diese Copilot App zu sein -> https://www.windowslatest.com/2026/04/05/new-copilot-for-windows-11-includes-a-full-microsoft-edge-package-uses-more-ram/ Aber wie kann ich diese Installation verhindern? Ich habe es testweise mal deinstalliert und nach ca. 1 Stunde war es wieder installiert. Ein schöner Spaß mit dieser Zwangsbeglückung Hat jemand die gleichen Erfahrungen in den letzten Tagen gemacht? Es scheint in Wellen ausgerollt zu werden, da von unseren 250 Clients rund 50 die Installation durchgeführt haben. Updates werden über WSUS installiert, Dual Scan ist deaktiviert. Nur der Edge macht selbstständige Updates und ich vermute das es daher kommt. Vielen Dank.

Laut unseren Ansprechpartner für ms Lizenzen ist in den ms business Paketen keine User cal für exchange se enthalten. Man bräuchte also eine extra exchange se User cal. Bei einer exchange online Plan 1 Lizenz ist aber die Nutzung eines exchange se pro User aber mit dabei. Ich glaube das war das extended User right oder so. Für uns war es günstiger den exchange online pan 1 zu kaufen als die exchange se User cal. Bezieht sich auf den exchange se standard und man muss aufpassen das man nicht enterprise Funktionen nutzt. Hofge ich hatte alles noch right in Kopf. Edit: sorry hatte die Antwort von dukel übersehen

Wohl wahr Ich habe aber doch noch mal eine Frage zum Ablauf der Zertifikate. Laut MS laufen die Zertifikate wie folgt ab Bedeutet das jetzt, das man bis Juni 2026 alle Clients aktualisiert haben muss, da das Zertifikat danach nicht mehr getauscht/installiert werden kann (da das alte Zertifikat abgelaufen ist und ihm nicht mehr vertraut wird) oder hat das mit dem Austausch/Installation des 2023er Zertifikats erstmal weniger zu tun? Wir haben zwar den Prozess definiert und er funktioniert, trotzdem ist es viel Arbeit und ich bezweifele gerade etwas, dass wir den Juni halten können. Stehen wir dann im Juli vor dem Problem, dass der Austausch der Zertifikate nicht mehr geht oder geht das auch nach dem Juni, nur sind die entsprechenden Geräte eben durch MS nicht mehr aktualisierbar (Boot Manager), wenn die Zertifikate zum tragen kommen. Danke euch schon mal.

Genau, die Frage die für mich aktuell nur noch offen ist - wie geht das efi auf default, wenn ich es nicht manuell auf default setze? Wird der current store z.b. bei einer Neuinstallation von Windows neu aus dem default store erzeugt?

Ah ok, macht ja auch irgendwie Sinn😅 Aber wenn ich es richtig verstanden habe ist der default ja "nur" wichtig, wenn das BIOS/uefi auf default zurückgesetzt wird oder ein andere Prozess das zurückspielen der Zertifikate vom default store triggered. Ist es dann so tragisch, wenn der default nicht das 2023er enthält? Oder würde auch schon eine Neuinstallation von Windows zu Problemen führen, da der default store genommen wird?

Möglicherweise hilft dir das hier (am Ende -> Erfahrungen mit der Secure Boot Aktualisierung von Dell PC's). Habe ich bei uns noch nicht gemacht, da die alten dell clients ohne secure boot laufen und die fassen wir jetzt nicht mehr an. Die werden in den nächsten Monaten getauscht. https://tech-support.koeln/de/blog/uefi-secure-boot-zertifikate-fuer-windows-laufen-ab

Soweit sind bei uns alle default stores auch aktualisiert. Wenn ich mich richtig erinnere, werden diese durch die Firmware Updates aktualisiert (geht das überhaupt anders? Das weiß ich nicht genau)

Geht über einen vorgefertigten Bericht. Siehe hier wir inventarisieren die clients mit docusnap script oder mit windows discovery wie es jetzt heißt. Hier muss man noch den Parameter mitgeben, damit die Zertifikate inventarisiert werden. Wenn man es über die "integrierte" Inventarisierung macht, kann man das wohl im Assistenten auswählen. Soweit ich das aber verstehe, wird hier nur geprüft ob die Zertifikate vorhanden sind und nicht ob der boot manager auch das neue Zertifikaten gebunden hat. Deshalb werten wir noch zusätzlich den regkey aus.

Falls sich hier noch jemand mit dem Thema beschäftigt. Folgendes Vorgehen klappt nun bei uns problemlos. Wir setzen nur DELL Hardware ein und updaten die BIOS/Treiber automatisiert. Diagnose Daten sind bei uns deaktiviert und Clients erhalten Updates über den WSUS. 1. BIOS Update durchführen 2. Secure Boot Update über GPO aktivieren 3. Client installiert die notwendigen Zertifikate und nach 2 Reboots bzw. 2 Läufen des Schedule Tasks ist das Boot Manager Zertifikat und alle notwenigen anderen Zertifikate gesetzt. Alle wichtigen RegKeys sind hier zu finden HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot Der Schedule Task ist hier zu finden \Microsoft\Windows\PI -> Secure-Boot-Update Geholfen hat dieses Script zum auswerten und um mögliche DBX Aktualisierungen vorzunehmen. Check UEFI PK, KEK, DB and DBX.cmd Check Windows state.cmd Apply DBX update.cmd Infos zu den Reg Werte, GPOs und EventLogs Die Auswertung welche Clients alle erfolgreich aktualisiert sind erfolgt dann per Docusnap und über unser Client Management System, in dem wir die entsprechenden RegKeys auswerten. Viel Erfolg

Ich hake hier noch mal ein, da ich den ersten Beitrag nicht mehr ändern kann. Kann es sein, dass es gar nicht zwingend notwendig ist, dass man die BIOS/UEFI Updates einspielen muss um das neue Zertifikat im UEFI zu erhalten? Ich habe auch gelesen, dass dies von MS (wenn genügend Telemetriedaten vorliegen) gemacht wird. Ich dachte das bezieht sich immer nur auf die Zertifikate in Windows. Hat niemand bisher Erfahrung mit dem Workflow bzw. den Prozess vielleicht etwas besser verstanden als ich?

Hallo zusammen, Im Juni bzw. Oktober 2026 laufen ja die Secure Boot Zertifikate aus. Microsoft hat dazu ja einige Informationen bereitgestellt. Unter anderem hier, hier und hier. Das Vorgehen ist mir aber irgendwie immer noch nicht wirklich klar. Zum einen muss ich sicherstellen, dass der OEM Hersteller der Clients ein BIOS Update bereitstellt, in dem das notwendige Zertifikat enthalten ist, richtig? Zu anderen muss ich in Windows Zertifikate tauschen. Das kann entweder per Windows Update passieren (wenn die Diagnosedaten eingeschaltet sind) oder muss manuell (per GPO/RegKey) durchgeführt werden, richtig? Vielleicht habt ihr das Thema bei euch schon durch oder schon eigene Erfahrungen gemacht und könnt mir Tipps zum Vorgehen geben bzw. mein Vorgehen kurz bestätigen. Das wäre sehr hilfreich. Mein Vorgehen wäre jetzt erstmal, dass ich per Script auf allen Geräten prüfen lassen ob der Secure Boot eingeschaltet ist und ob das neue Zertifikat im BIOS/UEFI schon enthalten ist. Habt ihr da ein Script was mir z.B. in ein Log File diese Info schreibt? Ich habe folgendes Script gefunden, aber das schreibt kein Log. Oder wie könnte ich den Output des Scripts in ein File schreiben lassen? https://github.com/cjee21/Check-UEFISecureBootVariables Wenn das erledigt ist, muss ich doch nur noch in Windows die Zertifikate aktualisieren lassen. Dies kann ich mit diesen GPO Einstellungen regeln, richtig? Für Hilfe wäre ich sehr dankbar. Grüße

Ich hatte vor kurzem ein Problem mit einem win 10 Client. Update ließ sich nicht installieren. Viele Fehler im cbs.log usw. Mir wurde hier geholfen. Die brauchen bestimmte logs und oft kann dann eine Lösung gefunden werden. https://www.sysnative.com/forums/threads/windows-update-forum-posting-instructions.4736/

Na zum Glück bist du nicht mein Chef, da wir dann wohl etwas diskutieren würden😉 Ich habe nirgends geschrieben, dass ich es nur mache, weil ich es schöner finde. Es geht darum, dass es nicht dem definierten Namensschema entspricht. Es macht für mich schon Sinn, dass die Server nach einem einheitlichen Namensschema benannt werden und wenn das innerhalb eines Standortes dann komplett abweicht, wird es angepasst. Der Aufwand hält sich ja total in Grenzen. Ist ja nicht so, dass man jetzt 2 Stunden damit beschäftigt ist. Aber so hat jeder seine Vorstellungen / Meinungen und das ist ja auch gut so👍🏻 Danke euch und einen schönen Abend noch.

Hallo zusammen, Danke für eure Antworten. Es geht um das Namensschema eines neuen Standortes. Leider wurde bei dem Namen der neuen DCs ein Fehler gemacht und diesen würde ich gerne korrigieren. Es stimmt schon, den Namen sieht sonst keiner, aber da kommt mein kleiner Monk durch😅 Dann werden wir wohl auf Nummer sicher gehen und herunterstufen, umbenennen und wieder hochstufen. Geht ja schnell. Das mit dem warten nach dem herunterstufen war noch ein guter Hinweis. Danke! 2 Punkte würden mich noch interessieren 1. Wäre der rename-compuer command oder der netdom computername command der bessere Weg, wenn man den dc nicht herunterstufen könnte? 2.Wenn der dc heruntergestuft wurde kann der member Server über die gui umbenannt werden oder sollte der auch mit rename-computer/netdom computername passieren? VG

Hallo zusammen, wir planen demnächst unsere beiden DCs umzubenennen. Unser Vorgehen wäre eigentlich gewesen, einen der beiden DCs herabzustufen. Danach den normalen Member Server in der GUI umbenennen und dann wieder als DC hochstufen. Danach das gleiche mit dem zweiten DC. Jetzt hatte ich bei Born folgenden aktuellen Artikel gesehen https://www.borncity.com/blog/2025/11/22/domain-controller-in-windows-umbenennen-ohne-alles-kaputt-zu-machen/ Hier geht es ja um das umbenennen eines DCs ohne das man ihn herabstuft. Mich würde jetzt eure Meinung zu folgenden Punkten interessieren Ist es tatsächlich problemlos möglich einen DC umzubenennen (wenn man es richtig macht) oder würdet ihr davon abraten? Wenn man es richtig machen würde, wäre dann dieser Powershell Befehl der richtige? Rename-Computer -NewName <NEUER DC NAME> -Restart oder würde man eher mit NetDom arbeiten, erst einen 2. Namen für das Computerobjekt hinterlegen, neu starten und dann den alten entfernen, wie hier beschrieben https://www.dell.com/support/kbdoc/en-us/000226230/windows-server-how-to-properly-rename-an-active-directory-domain-controller Wäre das Vorgehen mit "herabstufen", umbenennen über GUI, "heraufstufen" auch problemlos möglich oder ist auch kritisch, weil möglicherweise "Leichen" bestehen bleiben die dann Probleme machen? Danke euch und ein schönes restliches Wochenende. VG

Ok, danke euch. So hatte ich das jetzt gar nicht gesehen, macht aber Sinn. Anders wäre es auch irgendwie komisch gewesen, aber bei MS weiß man ja nie

Hallo zusammen, es gibt eine schwerwiegende Sicherheitslücke im WSUS https://www.heise.de/news/Microsoft-WSUS-Notfallupdate-stopft-kritische-Codeschmuggel-Luecke-10845666.html https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287 Was mich wundert ist folgende Aussage von MS Heißt das jezt, dass ich die WSUS Rolle vorher deinstallieren muss, dann fix installieren und dann wieder die Rolle installieren? Oder verstehe ich das falsch?