Windows 10 instellen voor zakelijk gebruik

Marco den Teuling
0

zakelijk gebruik Windows 10 instellingen voorbereiden PowerShell Professional Enterprise Education aanpassen Store start-menu tegelsDe Extended Support voor Windows 7 wordt beëindigd, ook als bedrijf zul je toch een keer moeten overstappen naar Windows 10. Maar om Windows 10 voor zakelijk gebruik geschikt te maken, moet je handmatig aan de slag: de Store, het tegeldesign, Cortana en feature-updates vergen wat Groepsbeleid om bij een bedrijf niet negatief op te vallen.

In januari 2020 houdt het op: Microsoft is vastbesloten om de Extended Support voor Windows 7 zoals gepland na tien jaar te beëindigen. Op dat moment moeten systeembeheerders zorgen dat alle computers met een online verbinding overgegaan zijn op Windows 10. Maar als je wel eens een standaard geïnstalleerde Windows 10 Professional gezien hebt, vraag je je bij de geanimeerde game-tegels wel af of Microsoft zakelijk gebruik ook voor ogen heeft gehad.

Gelukkig is er alleen wat groepsbeleid nodig om het besturingssysteem klaar te maken voor zakelijk gebruik. Voorwaarde is wel dat je een beetje bekend bent met de regels voor groepsbeleid en de huidige admx-sjablonen voor Windows 10. Aan sommige bedieningselementen zullen gebruikers ondanks alle inspanningen toch gewoon moeten wennen.

Zakelijk gebruik zonder reclame-zuil

De eerste plek waar wat aan moet gebeuren is wat meteen opvalt: de tegels van het startmenu. Wat Windows daar moet laten zien, kun je definiëren met een XML-bestand dat je eenmalig op een referentiecomputer of in een virtuele machine maakt. Dat moet met dezelfde Windows- versie (Professional, Enterprise of Education) als die van de doelcomputer. Alle programma’s waar je tegels voor wilt laten zien, moeten daarop bovendien geïnstalleerd zijn.

Meld je aan met een lokaal gebruikersaccount en verplaats, verwijder en groepeer alle tegels tot het startmenu overeenkomt met wat je voor ogen hebt. Voor het exporteren open je PowerShell en voer je het commando export-startlayout in en geef je een bestandsnaam op met de extensie xml:

export-startlayout path C:usersjoedesktopstart.xml

Op de desktop van de gebruiker joe verschijnt dan een XML-bestand dat je met een teksteditor naar keuze kunt openen – want perfect is het resultaat nog niet. Heb je gangbare programma’s geïnstalleerd (Microsoft noemt die desktop-apps), dan duiken die in het XML-bestand op met het attribuut DesktopApplicationLinkPath, wat naar een koppeling (lnk-bestand) in het startmenu verwijst.

Om niet afhankelijk te zijn van het bestaan van die items, adviseert Microsoft om dat pad te vervangen door het attribuut DesktopApplicationID. Elk programma dat zich bij het installeren aan het klassieke startmenu heeft toegevoegd, krijgt een dergelijke ID. Om die te achterhalen, gebruik je het PowerShellcommando

get-startapps | f1

Je krijgt dan een lijst van alle programma’s met een duidelijke naam en een ID. Kopieer de ID van het betreffende programma en vervang de padwaarde hierdoor. Een tegel voor een remote-desktopverbinding helemaal linksboven ziet er dan zo uit:

<start:DesktopApplicationTile DesktopApplicationID=“Microsoft.Windows.RemoteDesktop” Size=”2x2” Row=”0” Column=”2”/>

Als je die XML-definitie via een groepsbeleidregel verdeelt, dan heeft een gebruiker geen mogelijkheid meer om zelf tegels aan te passen. Om dat voor hem toch mogelijk te maken, is een extra attribuut in de XML-tag DefaultLayoutOverride nodig:

<DefaultLayoutOverride LayoutCustomizationRestrictionType=“OnlySpecifiedGroups”>

zakelijk gebruik Windows 10 instellingen voorbereiden PowerShell Professional Enterprise Education aanpassen Store start-menu tegels tegel

Als je het startmenu helemaal klaar hebt voor zakelijk gebruik, kopieer je het XML-bestand naar een netwerkshare waar elke computer in het netwerk toegang toe heeft. De verantwoordelijke groepsbeleidregel ‘Indeling van Start’ staat onder Computerconfiguratie of onder Gebruikersconfiguratie in de ‘Editor voor lokaal groepsbeleid’ onder ‘Beheersjablonen / Startmenu en Taakbalk’.

Klik in het contextmenu van ‘Indeling van Start’ op Bewerken en selecteer de optie Ingeschakeld. Geef bij ‘Bestand met de indeling van het startscherm’ de naam op van het netwerkpad naar het XML-bestand, voorafgegaan door ‘\’. Je kunt dat bestand ook vooraf naar de computer van de client kopiëren en dan een lokaal pad opgeven.

De Microsoft Store beperken

De Store van Windows opent een deur naar de rest van de wereld: gebruikers kunnen geheel buiten de reguliere softwaredistributie en het centrale updatebeheer om naar believen films, muziek, games- en entertainment-apps downloaden. Voor zakelijk gebruik wil je dat normaliter beperken. Op het eerste gezicht lijkt de groepsbeleidregel ‘De Microsoft Store-app uitschakelen’ in ‘Computerconfiguratie / Beheersjablonen / Windows-onderdelen / Store’ daar op gericht te zijn, maar bij de beschrijving ontbreekt de belangrijke informatie dat die alleen bij Windows 10 Enterprise en Education (alleen voor educatieve doeleinden) werkzaam is. Hetzelfde geldt voor de regel ‘Alle apps uit de Microsoft Store uitschakelen’. Onder ‘Windows-onderdelen’ staat de map ‘Inhoud van de cloud’ waar voor Enterprise-administrators een regel staat om de gebruikersfeatures te deactiveren, waardoor gebruikers geen apps meer te zien krijgen. In dezelfde map kun je ook de tips voor Windows niet laten weergeven.

Als je Windows 10 Professional graag zonder ‘Candy Crush Soda Saga’ en dergelijke apps wilt uitrollen, moet je wat meer tijd investeren. Om een overzicht van de app-verzameling op een computer te krijgen, helpt het PowerShell-commando GetAppxPackage. Dat overzicht is wel beperkt tot de weergeven van de interne pakketnamen:

Get-AppXPackage | Select-Object-Property Name

Een enkel item zoals Microsoft.WindowsStore kun je voor de aangemelde gebruiker verwijderen met Remove-Appx-Package. Je kunt alle apps laten verdwijnen met de volgende opdracht, die je bijvoorbeeld via een aanmeldscript kunt verspreiden:

Get-AppXPackage * | Remove-AppxPackage

Voordat je overgaat tot die drastische stap, moet je wel eerst goed kijken of je alle apps ook werkelijk wilt weggooien. Sommige gebruikers zullen de rekenmachine, de kaarten en het weer wel gaan missen. Als bepaalde apps om te beginnen niet voor alle gebruikers geïnstalleerd moeten worden, moet je de ‘Provisioned Packages’ bewerken, de lijst van standaard-apps. Het commando Get-AppXProvisionedPackage -Online in een PowerShell met administratorrechten laat je zien welke apps een nieuwe gebruiker krijgt als hij zich de eerste keer aanmeldt.

Als je het PowerShell-commando Out-GridView gebruikt, werkt het verwijderen van de standaard-apps van de lijst heel makkelijk. Het volgende commando opent een grafische interface in een nieuw venster:

Get-AppxProvisionedPackage -Online | Out-GridView -PassThru | Remove-AppxProvisionedPackage -Online

zakelijk gebruik Windows 10 instellingen voorbereiden PowerShell Professional Enterprise Education aanpassen standaard apps grafische interface

Selecteer in de tabel een of (met ingedrukte Ctrl-toets) meerdere apps en bevestig je keuze met OK. Na een hernieuwde aanroep zijn de niet-gewenste pakketten verdwenen. Je kunt ook de Store zelf (en de Xbox-store) op die manier verwijderen. Om die instellingen te distribueren, zijn er verschillende manieren om hetzelfde doel te bereiken. Werk je met de Windows Deployment Services, dan kun je een installatiekopie maken, de boven beschreven stappen uitvoeren en de image laten inpakken. Een andere weg naar zo’n image werkt met dism. Mount een Windows-image met het commando

Dism /Mount-Image /ImageFile:<pad>install.wim /index:1 /MountDir:<doel>

Verwijder een app dan met

Dism /Image:<pad> /Remove-ProvisionedAppxPackage PackageName <naam van het app-pakket>

Gebruik als naam van het pakket de volledige pakketnaam en dus niet de weergavenaam. Vervolgens unmount je de image weer voordat je hem gaat verdelen om geïnstalleerd te worden:

Dism /Unmount-Image /MountDir:<pad>/commit

Als je Windows 10 Enterprise of Education gebruikt, heb je het voordeel dat je de Store niet alleen kunt blokkeren, maar de gebruikers ook naar een eigen store kunt omleiden die alleen vrijgegeven of zelf geschreven apps bevat. Een voorwaarde daarvoor is een verbinding met een Azure Active Directory. Als het alleen om gratis apps gaat, volstaat het om het account van een verantwoordelijke administrator te koppelen. Als er centrale licenties voor betaalde apps gekocht moeten worden, moeten ook de accounts van de medewerkers met de AzureAD verbonden worden. De apps worden niet op bijvoorbeeld een lokale store-server opgeslagen, maar komen rechtstreeks van internet – gezien het beperkte aanbod kunnen veel bedrijven ook makkelijk zonder.

Meer instellingen

Er zijn nog meer punten waarop je Windows 10 misschien wilt aanpassen voor zakelijk gebruik. Zo krijg je (behalve met Windows 10 Enterprise LTSB) halfjaarlijkse updates, die standaard meteen geïnstalleerd worden.  Ook kan het snel opstarten negatieve uitwerking hebben op het toepassen van groepsbeleidregels of wil je Cortana misschien uitschakelen. Meer hierover en over het configureren van Windows 10 lees je in c’t magazine 5/2018 en andere nummers.

(Jan Mahn / Noud van Kruysbergen, c’t magazine 5/2018)

Uitgebreide achtergrondinfo lees je in c’t 11/2024

Deel dit artikel

Marco den Teuling
Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Lees ook

Met Raspberry Pi port knocking de computers in je netwerk beveiligen

Iedereen die een computer of server met het openbare internet verbindt, wordt al snel het doelwit van hackers. Sommige wetenschappers gaan ervan uit d...

TeamViewer op Ubuntu installeren & gebruiken: zo werkt het

In dit artikel tonen we hoe je op afstand je Linux-computer met Ubuntu kunt beheren door TeamViewer te gebruiken. Voor degenen die niet bekend zijn me...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er