Hordenloop
Windows 10-clients voorbereiden voor in bedrijven
Als je Windows 10 in een professionele omgeving wilt gebruiken, moet je handmatig aan de slag: de Store, het tegeldesign, Cortana en featureupdates vergen wat Groepsbeleid om bij een bedrijf niet negatief op te vallen.
In januari 2020 houdt het op: Microsoft is vastbesloten om de Extended Support voor Windows 7 zoals gepland na tien jaar te beëindigen. Tot dat moment moeten systeembeheerders alle computers met een online verbinding overgegaan zijn op Windows 10. Maar als je wel eens een standaard geïnstalleerde Windows 10 Professional gezien hebt, vraag je je bij de geanimeerde gametegels wel af of Microsoft de zakelijke klanten wellicht helemaal vergeten is. Gelukkig is er alleen wat groepsbeleid nodig om het besturingssysteem klaar te maken voor professioneel gebruik. Voorwaarde is wel dat je een beetje bekend bent met de regels voor groepsbeleid en de huidige admxsjablonen voor Windows 10. Aan sommige bedieningselementen zullen gebruikers ondanks alle inspanningen toch gewoon moeten wennen.
Geen reclamezuil
De eerste plek waar wat aan moet gebeuren is wat meteen opvalt: de tegels van het startmenu. Wat Windows daar moet laten zien, kun je definiëren met een XMLbestand dat je eenmalig op een referentiecomputer of in een virtuele machine maakt. Dat moet met dezelfde Windowsversie (Professional, Enterprise of Education) als die van de doelcomputer. Alle programma's waar je tegels voor wilt laten zien, moeten daarop bovendien geinstalleerd zijn. Meld je aan met een lokaal gebruikersaccount en verplaats, verwijder en groepeer alle tegels tot het startmenu overeenkomt met wat je voor ogen hebt. Voor het exporteren open je PowerShell en typ je het commando export-startlayout in en geef je een bestandsnaam op met de extensie xml:
export-startlayout path
C:\users\joe\desktop\start.xml
Op de desktop van de gebruiker joe verschijnt dan een XMLbestand dat je met een teksteditor naar keuze kunt openen – want perfect is het resultaat nog niet. Heb je gangbare programma's geïnstalleerd (Microsoft noemt die desktopapps), dan duiken die in het XMLbestand op met het attribuut DesktopApplicationLinkPath, wat naar een koppeling (lnkbestand) in het startmenu verwijst. Om niet afhankelijk te zijn van het bestaan van die items, adviseert Microsoft om dat pad te vervangen door het attribuut DesktopApplicationID. Elk programma dat zich bij het installeren aan het klassieke startmenu heeft toegevoegd, krijgt een dergelijke ID. Om die te achterhalen, gebruik je het PowerShellcommando
get-startapps | f1
Je krijgt dan een lijst van alle programma's met een duidelijke naam en een ID. Kopieer de ID van het betreffende programma en vervang de padwaarde hierdoor. Een tegel voor een remotedesktopverbinding helemaal linksboven ziet er dan zo uit:
<start:DesktopApplicationTile DesktopApplicationID= “Microsoft.Windows.RemoteDesktop” Size=”2x2”
Row=”0”
Column=”2”/>
Als je die XMLdefinitie via een groepsbeleidregel verdeelt, dan heeft een gebruiker geen mogelijkheid meer om zelf tegels aan te passen. Om dat voor hem toch mogelijk te maken, is een extra attribuut in de XMLtag DefaultLayoutOverride nodig:
<DefaultLayoutOverride LayoutCustomizationRestrictionType= “OnlySpecifiedGroups”>
Als je het startmenu helemaal klaar hebt, kopieer je het XMLbestand naar een netwerkshare waar elke computer in het netwerk toegang toe heeft. De verantwoordelijke groepsbeleidregel 'Indeling van Start' staat onder Computerconfiguratie of onder Gebruikersconfiguratie in de 'Editor voor lokaal groepsbeleid' onder 'Beheersjablonen / Startmenu en Taakbalk'. Klik in het contextmenu van 'Indeling van Start' op Bewerken en selecteer de optie Ingeschakeld. Geef bij 'Bestand met de indeling van het startscherm' de naam op van het netwerkpad naar het XMLbestand, voorafgegaan door '\\'. Je kunt dat bestand ook vooraf naar de computer van de client kopiëren en dan een lokaal pad opgeven.
Vensters vastzetten
De Store van Windows opent een deur naar de rest van de wereld: gebruikers kunnen geheel buiten de reguliere softwaredistributie en het centrale updatebeheer om naar believen films, muziek, games en entertainmentapps downloaden. Op het eerste gezicht lijkt de groepsbeleidregel 'De Microsoft Storeapp uitschakelen' in 'Computerconfiguratie / Beheersjablonen / Windowsonderdelen / Store' daar op gericht te zijn, maar bij de beschrijving ontbreekt de belangrijke informatie dat die alleen bij Windows 10 Enterprise en Education (alleen voor educatieve doeleinden) werkzaam is. Hetzelfde geldt voor de regel 'Alle apps uit de Microsoft Store uitschakelen'. Onder 'Windowsonderdelen' staat de map 'Inhoud van de cloud' waar voor Enterpriseadministrators een regel staat om de gebruikersfeatures te deactiveren, waardoor gebruikers geen apps meer te zien krijgen. In dezelfde map kun je ook de tips voor Windows niet laten weergeven.
Als je Windows 10 Professional graag zonder 'Candy Crush Soda Saga' en dergelijke apps wilt uitrollen, moet je wat meer tijd investeren.
Om een overzicht van de appverzameling op een computer te krijgen, helpt het PowerShellcommando GetAppxPackage. Dat overzicht is wel beperkt tot de weergeven van de interne pakketnamen:
Get-AppXPackage |
Select-Object-Property Name
Een enkel item zoals Microsoft.WindowsStore kun je voor de aangemelde gebruiker verwijderen met Remove-Appx-Package. Je kunt alle apps laten verdwijnen met de volgende opdracht, die je bijvoorbeeld via een aanmeldscript kunt verspreiden:
Get-AppXPackage * | Remove-AppxPackage
Voordat je overgaat tot die drastische stap, moet je wel eerst goed kijken of je alle apps ook werkelijk wilt weggooien. Sommige gebruikers zullen de rekenmachine, de kaarten en het weer wel gaan missen. Als bepaalde apps om te beginnen niet voor alle gebruikers geïnstalleerd moeten worden, moet je de 'Provisioned Packages' bewerken, de lijst van standaardapps. Het commando Get-AppXProvisionedPackage -Online in een PowerShell met administratorrechten laat je zien welke apps een nieuwe gebruiker krijgt als hij zich de eerste keer aanmeldt. Als je het PowerShellcommando Out-GridView gebruikt, werkt het verwijderen van de standaardapps van de lijst heel makkelijk. Het volgende commando opent een grafische interface in een nieuw venster:
Get-AppxProvisionedPackage -Online
| Out-GridView -PassThru | Remove-AppxProvisionedPackage -Online
Selecteer in de tabel een of (met ingedrukte Ctrltoets) meerdere apps en bevestig je keuze met OK. Na een hernieuwde aanroep zijn de nietgewenste pakketten verdwenen. Je kunt ook de Store zelf (en de Xboxstore) op die manier verwijderen. Om die instellingen te distribueren, zijn er verschillende manieren om hetzelfde doel te bereiken. Werk je met de Windows Deployment Services, dan kun je een installatiekopie maken, de boven beschreven stappen uitvoeren en de image laten inpakken. Een andere weg naar zo'n image werkt met dism. Mount een Windowsimage met het commando
Dism /Mount-Image /ImageFile:<pad>\
install.wim /index:1 /MountDir:<doel>
Verwijder een app dan met
Dism /Image:<pad> /Remove- ProvisionedAppxPackage PackageName
<naam van het app-pakket>
Gebruik als naam van het pakket de volledige pakketnaam en dus niet de weergavenaam. Vervolgens unmount je de image weer voordat je hem gaat verdelen om geinstalleerd te worden:
Dism /Unmount-Image
/MountDir:<pad>/commit
Als je Windows 10 Enterprise of Education gebruikt, heb je het voordeel dat je de Store niet alleen kunt blokkeren, maar de gebruikers ook naar een eigen store kunt omleiden die alleen vrijgegeven of zelf geschreven apps bevat. Een voorwaarde daarvoor is een verbinding met een Azure Active Directory. Als het alleen om gratis apps gaat, volstaat het om het account van een verantwoordelijke administrator te koppelen. Als er centrale licenties voor betaalde apps gekocht moeten worden, moeten ook de accounts van de medewerkers met de AzureAD verbonden worden. De apps worden niet op bijvoorbeeld een lokale storeserver opgeslagen, maar komen rechtstreeks van internet – gezien het beperkte aanbod kunnen veel bedrijven ook makkelijk zonder.
Upgraden vertragen
Bij de vernieuwingen van Windows 10 in vergelijking met Windows 7 horen naast de apps en tegels ook het service en upgrademodel met halfjaarlijkse featureupgrades (Creators Upgrade). Als het aan Microsoft ligt, hoef je je er als administrator niet om te bekommeren of en wanneer welke Windowsversies in huis uitgerold worden. Als je geen Windows 10 Enterprise LTSB gebruikt, dat slechts eens in de twee jaar updates krijgt, kun je de updates op twee manieren vertragen:
Als je niet met WSUS werkt, dan kun je de upgrades met groepsbeleidregels tegenhouden. De betreffende regels staan in de submap 'Windows Update voor Bedrijven'. Achter de regel 'Selecteren wanneer kwaliteitsupdates worden ontvangen' zit de mogelijkheid alleen updates uit de 'Current Branch for Business' te selecteren en die maximaal 180 dagen te vertragen. Bij nieuwere Windowsversies doe je dat als gebruiker bij 'Instellingen / Bijwerken en beveiliging / Windows Update / Geavanceerde opties / Kiezen wanneer updates worden uitgevoerd'.
Als je WSUS gebruikt en de featureupgrades niet vrijgeeft, kun je tegen een onaangename verrassing aanlopen: Windows 10 kan dan toch bij Windows Update naar updates zoeken – en featureupgrades vinden – ook al heb je hem het adres van een WSUS gegeven (groepsbeleid 'Computerconfiguratie / Beheersjablonen / Windowsonderdelen / Windows Update / Locatie van Microsoftupdateservice in intranet'). Dat is geen fout, maar de zogeheten feature 'dual scan'. Sinds Windows 1607 is daar de volgende regel op dezelfde plek voor: 'Uitstelbeleid voor updates niet toestaan om scans op Windows Update te veroorzaken'. Als je die activeert, worden er geen featureupgrades geïnstalleerd die door de WSUS niet vrijgegeven worden.
Goed starten
Standaard wordt Windows 10 niet meer uitgeschakeld – de zogeheten snelstart zorgt ervoor dat bij het afsluiten de actuele status naar de harde schijf wordt geschreven en bij de volgende 'boot' weer wordt ingelezen. Dat moet het starten van het systeem versnellen, maar dat heeft wel negatieve uitwerkingen op het toepassen van de groepsbeleidregels die bij het opstarten uitgevoerd moeten worden. Onder 'Computerconfiguratie / Beheersjablonen / Systeem / Afsluiten' staat de regel 'Gebruik van snel opstarten vereist'. Stel die in op 'Uitgeschakeld'. In het verleden gebeurde het wel eens dat Windows direct na het installeren van een featureupdate uitgerekend die regel negeerde – met onaangename gevolgen. Als je op safe wilt spelen, moet je na elke herstart er met een script voor zorgen dat de registerwaarde
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Session
Manager\Power\HiberbootEnabled
op 0 staat.
Sprakeloos
Als je Cortana niet wilt (laten) gebruiken, is daar de eenvoudige groepsbeleidregel 'Cortana toegestaan' voor. Die staat in 'Beheersjablonen / Windowsonderdelen / Zoeken' en hoeft alleen maar uitgezet te worden. In dezelfde map kun je ook het zoeken op internet verbannen uit het zoekvak van Windows. Onder 'Windowsonderdelen' staat in de map 'Gegevensverzameling en previewversies' de regel 'Telemetrie toestaan'. Daarmee heb je de mogelijkheid het versturen van data in te perken. Helemaal uitschakelen kan alleen met Enterprise. Voor Windows 10 Professional is 'Basis' de minst mededeelzame mogelijkheid. OneDrive kun je van het systeem verbannen met 'Beheersjablonen / Windowsonderdelen / OneDrive' en dan 'Voorkomen dat OneDrive wordt gebruikt voor bestandsopslag'.
Microsoft heeft de Professionaleditie meer beperkt dan ten tijde van Windows 7 en nodigt meer uit om over te stappen op Enterprise. Met name de omgang met de ongeliefde dubbele wereld van apps en store en de verplichte updates maken Enterprise ook voor kleinere bedrijven interessanter. Educatieve instellingen hebben geluk: zij krijgen de Educationversie tegen een zwaar gereduceerde prijs, maar die heeft wel dezelfde mogelijkheden als Enterprise. (nkr)