Schwachstromblog.de

1. Wenn man welche der neuen Windows-Apps deprovisioniert, muss man auch die jeweilige App für den Benutzer, mit dem man das Image erstellt, deinstallieren. Macht man dieses nicht, meldet Sysprep einen Fehler und bricht ab. Mir ist es passiert, weil ich einfach alle Apps deprovisioniert habe, unter anderem den Taschenrechner, der war aber noch installiert. Einfach die Powershell öffnen, über Get-AppxPackage *APPNAME* | Remove-AppxPackage die entsprechende App entfernen und schon ist das Problem weg.

2. Niemals Edge entfernen. Wenn man Edge entfernt, weil man den Internet Explorer, Firefox oder Chrome installiert hat, bekommt man später ein Problem. Edge will nämlich immer Standardbrowser und PDF-Anzeigeprogramm sein, aber wenn man Edge wegzieht und dann die Zuordnung beheben will, stürzt die neue Systemsteuerung einfach ab und man kann nichts mehr ändern.

3. Wenn man in der Unattended-Datei den Parameter CopyProfile auf true setzt/setzen will, muss man nach dem Sysprep und vor der Verteilung den Webcache leeren. Dazu einfach im Windows RE vor der Imageaufzeichnung die Verzeichnisse C:\Users\Administrator\AppData\Local\Microsoft\Windows\Webcache und C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache leeren, sowie die Datei C:\Users\Administrator\AppData\Local\Microsoft\Windows\WebcacheLock.dat löschen. Während das System läuft kann man es nicht machen. Macht man dieses nicht, wird der Webcache einfach ins Default-Profil und dann in jeden Benutzer hineinkopiert. Da aber Referenzen auf irgendwelche Dateien im Administratorprofil vorhanden sind, der Benutzer aber nicht dort hineingreifen darf, wird man große Probleme bekommen. Das Startmenü macht Probleme, Edge und Internet Explorer starten nicht richtig und die neue Systemsteuerung bleibt leer.

4. Dateizuordnungen setzen. Seit Windows 10 versucht Microsoft ja seine eigenen Programme mit aller Gewalt in den Vordergrund zu bekommen. Wenn man den Standardbrowser setzen will, ging es früher einfach aus dem jeweiligen Browser heraus. Heute muss man es im Startmenü machen und bekommt den Hinweis, dass man sich doch mal Edge anschauen soll. Wenn man das umgehen will, kann man sich einfach die Dateizuordnungen auf einem Referenzrechner fertig bauen und dann über dism exportieren. Der Befehl dazu lautet  Dism /Online /Export-DefaultAppAssociations:pfad/datei.xml. Diese Datei kann man dann über Dism /Online /Import-DefaultAppAssociations:pfad/datei.xml wieder einlesen. Ich habe dieses z.B. als letzten Schritt in meiner MDT-Tasksequenz drinstehen. Für den Administrator gilt dieses dann zwar nicht, aber alle Benutzer, die sich danach anmelden, haben diese Dateizuordnung. Auch diese Bevorzugung von Edge wird übergangen. Diese Datei kann man auch per GPO einhängen.

5. Startmenü-Layout. Das gleiche wie für die Dateizuordnungen gilt auch für das Startmenü. Nach der Installation bastelt Microsoft da irgendwas zusammen. Wenn man die neuen Windows-Apps alle deprovisioniert hat, sieht das sehr unschön aus. Aber auch hier kann man sich auf einem Referenzrechner etwas zusammenbauen, in diesem Fall per PowerShell exportieren und dann über eine GPO wieder einhängen. Der Powershell-Befehl heißt Export-StartLayout und erzeugt ebenfalls eine XML-Datei. Eingehängt wird die Datei dann in der Gruppenrichtlinienverwaltung unter Computerkonfiguration -> Administrative Vorlagen -> Startmenü und Taskleiste -> Startlayout.

6. Hintergrund des Sperr- und Anmeldebildschirms. Im Auditmodus hat man keine Chance den Hintergrund des Sperr- und Anmeldebildschirms zu verändern. Man kann zwar von Windows-Blickpunkt auf Bild wechseln, aber kein Wunschbild einfügen. Es ist dennoch möglich. Das jeweilige Bild liegt in C:\ProgramData\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_Z aber man kann dort nicht direkt hineingreifen. Entweder muss man die Rechte für das Verzeichnis übernehmen oder die Dateien über z.B. Windows RE hineinladen. Es soll reichen, wenn man eine LockScreen.jpg hinterlegt, aber in den meisten Fällen werden hier Hintergründe für unterschiedliche Auflösungen hinterlegt. Im Regelfall liegt dort mindestens eine Datei, so dass man den Dateinamen hat und sich anpassen kann.

7. Im Audit-Modus keine Programme installieren, die Treiber beinhalten. Wenn man dieses doch macht, also einen PDF-Drucker, eine Antivirenlösung oder ein Fernwartungsprogramm installiert, werden diese Programme im besten Fall nach dem Sysprep einfach nicht mehr funktionieren. Bei Virenscannern passiert es sogar regelmäßig, dass das Image absolut unbrauchbar ist. Sysprep entfernt während der Generalisierung des Image alle Treiber und damit auch die Funktionsgrundlage der Programme. Daher solche Programme immer erst nach der Installation installieren lassen.

8. Vor dem Sysprep immer ein Backup ziehen. Sobald Sysprep einmal durchgelaufen ist, ist das Image für nachträgliche Veränderungen fast unbrauchbar. Daher immer vor dem Durchlauf von Sysprep ein Image mit Acronis True Image, Norton Ghost, Clonezilla oder was ähnlichem ziehen. Dadurch erspart man sich viel Zeitaufwand und kann bei eventuell notwendigen Veränderungen an der Stelle weitermachen.

9. Nicht zu viel Zeit lassen während der Erstellung der Referenzinstallation. Der Auditmodus ist ein Zustand, den man nicht so lange beibehalten sollte. Mir ist es beim ersten Anlauf passiert, dass ich den Referenzcomputer Freitags heruntergefahren habe und Montags drauf ließ sich das System nicht mehr anmelden. Daher zügig arbeiten.