Windows 10 Image Checkliste
- Empfohlene Konfigurationsschritte im Windows 10 Grundimage
- Erweitertes Grundimage
- Schritte zur Hardwarevereinheitlichung
Empfohlene Konfigurationsschritte im Windows 10 Grundimage
Netzwerktreiber aktualisieren (LAN + WLAN)
Ziel: Verbindungsqualität steigern, insbesondere beim LAN-Treiber Unterstützung von Wake-On-LAN über den Treiber freischalten
Alle anderer Treiber ebenfalls im Geräte-Manager überprüfen, es sollten möglichst keine fehlenden oder fehlerhaften Treiber übrig bleiben
GUILogon.exe aus P:\Programme\GUILogon\Windows\ nach C:\Tools\ kopieren
Kennwort für lokalen Benutzer "Station" ändern (Standardwert: muster) inkl. Einstellung "Kennwort läuft nie ab"
Proxy-Server in den Internetoptionen (unterhalb der Systemsteuerung oder im MS Edge Browser) eintragen
Hostname: proxy.schule.local
Port: 8080Benutzerordner Eigene Dokumente / Eigene Bilder / Eigene Videos / Eigene Musik / Downloads auf H:\ umbiegen
Kontrollieren Sie vorher welche Ordner unter H:\ schon von anderen Imagegruppen existieren und nutzen Sie die vorhanden Orner, um Duplikate zu vermeiden.
Windows Updates ausführen
Im ControlCenter eine Software-Konfiguration anlegen und diese global verknüpfen äquivalent zur Image-Konfiguration.
In die Software-Konfiguration die Programme LogoDIDACT Agent sowie die LogoDIDACT Console hinzufügen mit dem Modus: installieren und automatisch aktualisieren.
SBE-Tools per Installer aus P:\Install\Tools\ToolsSetup.exe installieren (danach psexec.exe unter C:\Tools\bin\ löschen)
Prüfen ob im Image GVLK Keys für Windows und eventuell Office hinterlegt sind. GLVK-Schlüssel konfigurieren den Client so um, dass dieser einen KMS-Server im Netzwerk sucht und sich darüber aktiviert. Solle kein GLVK-Key im Image hinterlegt sein, bitte aus der folgenden Liste den passenden Schlüssel installieren.
siehe: https://docs.microsoft.com/de-de/windows-server/get-started/kmsclientkeys
Kostenlose, etablierte Tools und Programme wie z.B.: 7-Zip, PDF-Reader, CCleaner, Firefox, Notepad++, VLC Player usw. installieren und konfigurieren. Gegebenenfalls auch Thunderbird, falls gewünscht.
(Optional) Um ein Thunderbird E-Mail-Profil für Benutzer zu konfigurieren, dass beim PC-Reboot nicht zurückgesetzt wird, den Profil-Pfad nach H:\Profile umbiegen (thunderbird.exe -p).
(Optional) Falls gewünscht, nach Installation des Firefox-Browsers das Firefox-Profil nach H:\Profile umbiegen (firefox.exe -p). Auf diese Weise bleibt das Browserprofil nach einem Neustart erhalten.
Absprache mit dem Kunden, ob er das möchte. Firefox-Profile enthalten viele kleine Dateien, die bei größeren Installationen das Netzwerk verlangsamen
Achtung: Bei Einsatz von Firefox mit Netzwerk-Profil sollte auch ein neues Default-Profil unter P:\Vorlage\Firefox.custom abgelegt werden. Das vorhandenen Profil ist zu alt für die neuen Firefox Versionen.
Auch bei einer späteren Aktualisierung des Browsers oder unterschiedlichen Programmversionen von Firefox (in verschiedenen Imagegruppen) kann dies zu Problemen hinsichtlich Browser-Profil führen.(Optional) Firefox Updates per Gruppenrichtlinie blockieren. Zusätzlich Überprüfung deaktivieren, ob Internet am Client zur Verfügung steht (um Zugriffe auf lokal gehostete Webdienste zu ermöglichen).
Dies ist per Windows-Registry möglich über folgende Einträge:[HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox]
"DisableAppUpdate"=dword:00000001
"CaptivePortal"=dword:00000000kostenloses Tool ShutUp10 herunterladen und ausführen (empfohlene Einstellungen), um eine datenschutzarme Konfiguration von Windows 10 zu erreichen
Xbox Spieleleiste innerhalb der Windows-Systemeinstellungen deaktivieren
EnableLinkedConnections als Registry-Einstellung zum Image hinzufügen, damit Netzlaufwerke des angemeldeten Benutzers auch im administrativen Kontext zur Verfügung stehen
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLinkedConnections"=dword:00000001Start -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / System / Anmeldung
„Bei Neustart immer aufs Netzwerk warten“ aktivieren
„Einstiegspunkt für schnelle Benutzerumschaltung ausblenden“ aktivierenStart -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / System / Skripts
„Anmeldeskripts gleichzeitig ausführen“ aktivierenStart -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkanbieter
Gehärtete UNC-Pfade (kann alternativ auch per Reg-File importiert werden):
„\\*\SYSVOL“ : „RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0“
„\\*\NETLOGON“ : „RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0“Start -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Store
„Automatisches Herunterladen und Installieren von Updates deaktivieren“ aktivierenStart -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten
„Ändern der Systemzeit“: Benutzer Jeder hinzufügen
„Erzwingen des Herunterfahrens von einem Remotesystem aus“: alle Benutzer entfernen(Optional) Start -> Ausführen -> gpedit.msc
Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / System / Benutzerprofile
„Eigentümer von servergespeicherten Profilen nicht prüfen“ aktivieren (zur Unterstützung von Benutzer-Netzwerkprofilen)Programm USBDLM (Download: https://www.uwe-sieber.de/files/usbdlm_x64.msi) + geeignete Config ins Image installieren, d.h. Laufwerksbuchstaben H: / P: / T: für USB-Geräte und optische Laufwerke sperren, damit die Buchstaben für die Netzlaufwerke des Servers frei bleiben.
Verzeichnis C:\Programme\USBDLM\ öffnen, dort das Skript "_edit-ini.cmd" ausführen und den Inhalt der Konfigurationsdatei mit folgendem ersetzen:
[Settings]
WriteLogFile=0
LogFile=
LogLevel=3
AutoRunOnLogon=0
NoMediaNoLetter=3
SafeCommandLines=1
BadUsbWatchKbd=0
BadUsbWatchNet=0
[BadUsbWhiteList]
PortName=
[BalloonTips]
Enabled=1
EnabledOnRemoval=1
Timeout=6000
Delay=500
DelayOnRemoval=500
SuppressWindowsBalloons=1
[DriveLetters]
BusType=ATAPI,SCSI
DriveType=CDROM
Letters=M,N,O
[DriveLetters]
Letters=
[NetworkLetters]
Letters=H,L,P,Q,S,T,X,ZNach Speichern der Konfigurationsdatei die Skripte _service_register.cmd sowie _service_start.cmd im Verzeichnis C:\Programme\USBDLM\ nacheinander starten, um den USBDLM-Dienst zu registrieren.
Adresse files.schule.local zur Liste der vertrauenswürdigen Intranetseiten hinzufügen (unter "alter Systemsteuerung -> Internetoptionen -> Sicherheit -> Lokales Intranet", Button "Sites" auswählen, dann "Erweitert" und die Adresse unter "Diese Website zur Zone hinzufügen" eintragen)
In der Systemsteuerung unter Energieoptionen
- kein Standby
- kein Monitor ausschalten oder erst stark verzögert, z.B. nach 1 Stunde
Alternativ: per Autoconf-Regel im ControlCenter innerhalb der Windows-Systemanpassungen diese Energieeinstellungen konfigurieren
Ruhemodus deaktivieren (Eingabeaufforderung als Administrator starten, danach Befehl 'powercfg -h off' absenden)
Systemeinstellung "Windows verwaltet Standarddrucker" unterhalb der Druckereinstellungen deaktivieren
Microsoft Produktupdates im Zuge von Windows-Updates installieren lassen (i.d.R. zum Herunterladen von MS Office Updates sinnvoll)
Nutzungszeit des PCs auf Zeitraum 06:00 – 24:00 Uhr festlegen, damit Windows zu dieser Zeit keine Hintergrundaufgaben durchführt
(Optional) Dateinamenerweiterung im Windows-Dateiexplorer nicht ausblendet
(Optional) angewählte Ordner sollen sich links im Dateiexplorer automatisch erweitern / aufklappen
(Optional) Links aus dem Schnellzugriff (Windows-Dateiexplorer) entfernen, da doppelt vorhanden
Falls im Image installiert: CCleaner ausführen zur Bereinigung des Images und zur Reduktion des Default-Profils während des Audit-Modus (Löschen von temporären Dateien, ggf. Kompression der Browser-Profile)
Alternativ: Windows-Bereinigung für System-Laufwerk C:\ ausführen, damit das Image vor dem Hochladen im Audit-Modus kleiner wird (Windows-Update Bereinigung hier anwählen und PC danach 2x neustarten)
Vorlage-Profilgröße von C:\Users\Administrator im Audit-Modus prüfen, ggf. aufräumen unter Zuhilfenahme des kostenlosen Tools „TreeSize Free Portable“-
Dieses wird beim Sysprep-Aufruf zum Default-Profil kopiert.Ab Build 2004 sind folgende Registry-Anpassungen sinnvoll, damit der MS Edge-Browser nach der Benutzeranmeldung nicht automatisch mit startet:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"HideFirstRunExperience"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\Main]
"AllowPrelaunch"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\TabPreloader]
"AllowTabPreloading"=dword:00000000
Erweitertes Grundimage
Netzwerkdrucker installieren
Kundenspezifische Programme installieren
Komplexere Software mit z.b. Lizensierungsmechanismen überprüfen
Optimal: Aktivierung nach dem Client-Server-Modell mit Netzwerk-Lizenzmanager
Schritte zur Hardwarevereinheitlichung
Image auf andere Hardware verteilen
Kontrollieren, ob alle Treiber installiert wurden
Netzwerktreiber aktualisieren (pro Hardwaregruppe)
Bei Treiberkonflikten: über eine Treiber-Konfiguration innerhalb des ControlCenter den betroffenen Treiber an gerätespezifische Fakten binden und den Treiber in diesem Zuge in das Nexus-Repository hochladen
- dadurch wird erreicht, dass ein spezieller Treiber während der Setup-Phase an den verknüpften PCs aktiv installiert wird, statt auf die Plug 'n' Play Treiberinstallation von Windows 10 aufzubauen
Seit ControlCenter Version 44 bzw. Puppet-Version 1.4.x kann bei Treiberkonflikten stattdessen die Treiberlisten-Option "Windows-Treiber explizit installieren" aktiviert werden, was in vielen Fällen Treiberkonflikte löst und einfacher in der Bedienung ist.