Entfernen der Windows 10 In-Box Apps

Im Unternehmen sind die In-Box Apps von Windows 10 nicht immer erwünscht. M. Niehaus hat auf seinem Blog einen Beitrag veröffentlicht, wie die Apps vor der Image-Erstellung zu deinstallieren sind. Etwas Vorsicht ist geboten, weil in der Standardeinstellung auch der Store deinstalliert wird. Voraussetzung für die folgenden Schritte ist das Kapitel ADK / MDT / Operating System Deployment der Serie Ein einfaches Netzwerk.

RemoveApps.zip herunterladen und xml-Datei erstellen

  1. Als Administrator an MDT1 anmelden
  2. Die Datei RemoveApps.zip herunterladen, entpacken und nach E:\OSDBuild\Scripts kopieren
  3. Während der ersten Ausführung des Scripts wird die Datei RemoveApps.xml mit folgendem Inhalt erstellt und im Verzeichnis des Scripts für die Wiederverwendung gespeichert:
    Microsoft.3DBuilder
    Microsoft.Appconnector
    Microsoft.BingFinance
    Microsoft.BingNews
    Microsoft.BingSports
    Microsoft.BingWeather
    Microsoft.CommsPhone
    Microsoft.ConnectivityStore
    Microsoft.Getstarted
    Microsoft.Messaging
    Microsoft.MicrosoftOfficeHub
    Microsoft.MicrosoftSolitaireCollection
    Microsoft.Office.OneNote
    Microsoft.Office.Sway
    Microsoft.People
    Microsoft.SkypeApp
    Microsoft.Windows.Photos
    Microsoft.WindowsAlarms
    Microsoft.WindowsCalculator
    Microsoft.WindowsCamera
    microsoft.windowscommunicationsapps
    Microsoft.WindowsMaps
    Microsoft.WindowsPhone
    Microsoft.WindowsSoundRecorder
    Microsoft.WindowsStore
    Microsoft.XboxApp
    Microsoft.ZuneMusic
    Microsoft.ZuneVideo
    
    1. Optional:
      1. Diese Liste markieren > kopieren
      2. Notepad öffnen > einfügen
      3. Zeilen der Apps löschen, welche nicht deinstalliert werden sollen > z.B. Microsoft.WindowsStore und Microsoft.WindowsCalculator
      4. Speichern unter > Encoding: UTF-8 > Name: RemoveApps.xml
      5. Datei nach E:\OSDBuild\Scripts kopieren
        REMOVE_APPS-001

Die Datei powershell.exe.config erstellen

  1. Notepad starten
  2. Die Datei powershell.exe.config mit folgendem Inhalt erstellen
    <?xml version="1.0" encoding="utf-8" ?> 
    <configuration>
       <runtime>
          <loadFromRemoteSources enabled="true"/>
       </runtime>
    </configuration>
    
  3. Speichern unter > Encoding: UTF-8 > Name: powershell.exe.config
  4. Datei nach E:\OSDBuild\Scripts kopieren
    REMOVE_APPS-002

Task Sequence anpassen

  1. Deployment Workbench starten
  2. OSD Build Share\Task Sequences erweitern
  3. Die Task Sequence zum Erstellen des Windows 10-Images zum Bearbeiten öffnen
  4. Die Phase Postinstall erweitern
  5. Nach dem Schritt Inject Drivers folgende Schritte hinzufügen
    1. Type: Run Command Line
      1. Name: Copy powershell.exe.config
      2. Command line:
        xcopy "%SCRIPTROOT%\powershell.exe.config" "X:\Windows\System32\WindowsPowerShell\v1.0\" /Y

        REMOVE_APPS-003

    2. Type: Run Command Line
      1. Name: Set-ExecutionPolicy Bypass
      2. Command line:
        powershell.exe -command "Set-ExecutionPolicy Bypass"

        REMOVE_APPS-004

    3. Type: Run Command Line
      1. Name: RemoveApps
      2. Command line:
        powershell.exe -file "%SCRIPTROOT%\RemoveApps.ps1"

        REMOVE_APPS-005

  6. Task Sequence mit OK schließen

Die erforderlichen Features zu Windows PE hinzufügen

  1. OSD Build Share rechts anklicken > Properties
  2. Auf den Reiter Windows PE wechseln
  3. Platform > x64
  4. Unter Windows PE auf den Reiter Features wechseln
  5. Folgende Features zu Windows PE hinzufügen
    1. DISM Cmdlets
    2. .NET Framework
    3. Windows PowerShell
    4. Storage Management Cmdlets
      REMOVE_APPS-006
  6. Fenster mit OK schließen
  7. OSD Build Share rechts anklicken > Update Deployment Share
  8. Update Deployment Share Wizard
    1. Options: Completely regenerate the boot images > Next
      REMOVE_APPS-007
    2. Summary > Next
    3. Confirmation > Finish
      REMOVE_APPS-009

Windows 10-Image ohne In-Box Apps erstellen

  1. Die virtuelle Maschine Windows Capture von der neuen ISO-Datei starten
  2. Wizard folgen
  3. Nach der Installation des Betriebssystems werden die Apps entfernt
    REMOVE_APPS-010
  4. Startmenü ohne Apps vor Sysprep
    REMOVE_APPS-011
  5. Folgende Apps kann man nicht deinstallieren
    1. Microsoft Edge
    2. Support kontaktieren
    3. Windows Feedback

Das Script von M. Niehaus funktioniert einfach und problemlos. Leider gibt es diesen Bug mit Powershell, welchen Niehaus so kommentiert: „With any luck, there will be a permanent solution in a future ADK release.“

Local Administrator Password Management installieren und konfigurieren

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen

Update: Oracle Java 8 Update 45

Update: Oracle Java 8 Update 45

Leider sind die Probleme bei der Installation mittels System-Konto seitens Oracle nicht behoben worden. Die Anleitung Oracle Java 8 Update 40 unter System-Konto installieren und konfigurieren funktioniert aber auch mit dieser Version.

🙁