none
Partielles Startlayout (OnlySpecifiedGroups) kann trotzdem angepasst werden

    Frage

  • Hallo zusammen

    Bei uns in der Domäne soll für Windows 10 ein partielles Start Layout mit den Basis Programmen eingesetzt werden.

    Dabei ist mir aufgefallen, dass ein Nutzer ohne Administrative Berechtigungen immer noch das Recht hat, dieses Start Menü anzupassen.

    Die XML Datei um das Layout anzupassen sieht so aus:

    <LayoutModificationTemplate 
    	xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" 
    	xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"  
    	xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification" 
    	xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
    	Version="1">
    	<DefaultLayoutOverride LayoutCustomizationRestrictionType="OnlySpecifiedGroups">
    	    <StartLayoutCollection>
    			<defaultlayout:StartLayout>
    				<start:Group Name="Basis">
    					<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
    					<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" />
    				</start:Group>
    			</defaultlayout:StartLayout>
    		</StartLayoutCollection>
    	</DefaultLayoutOverride>
    	<CustomTaskbarLayoutCollection PinListPlacement="Replace">
    		<defaultlayout:TaskbarLayout>
    			<taskbar:TaskbarPinList>
    				<taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
    				<taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" />
    			</taskbar:TaskbarPinList>
    		</defaultlayout:TaskbarLayout>
    	</CustomTaskbarLayoutCollection>
    </LayoutModificationTemplate>

    Die Datei liegt unter \\domain.name\SYSVOL\domain.name\Policies\{ID}\User\StartLayout.xml und wird per GPO verteilt:

    GPO Settings

    Wie zu erwarten lassen sich die angepinnten Programme nicht über einen Rechtsklick entfernen.

    Wenn man allerdings über Start -> Suchen nach dem Programm sucht und dann auf "Von Start lösen" klickt wird das Programm trotzdem entfernt.

    Nach einem Neustart ist das Layout nicht wiederhergestellt und auch ein "gpupdate /force" + Neustart stellt das Layout nicht wieder her.

    Die Schritte zum Aufzeichnen des Problems sind hier zu finden:

    Schritte Virustotal (URL) Virustotal (File)

    Kann mir jemand sagen, wie ich:

    • verhindere das Nutzer das erzwungene Layout ändern
    • das Layout wieder erzwungen wird wenn das ändern nicht verhindert werden kann

    Grüße

    Johannes

    Donnerstag, 12. Oktober 2017 11:00

Alle Antworten

  • Hallo Johannes,

    Zu deiner ersten Frage - es gibt ja einige Richtlinien, die die Änderungen vom Layout hindern, helfen dir Diese?:

    https://docs.microsoft.com/de-de/windows/configuration/changes-to-start-policies-in-windows-10

    Grüße,

    Yavor

    Freitag, 13. Oktober 2017 08:09
    Moderator
  • Hallo Yavor

    Ich habe mir die Richtlinien durchgelesen und die Richtlinie die ich verwende ist bei dienem Link aufgeführt mit der Beschreibung:

    Dadurch wird ein spezifisches Startlayout angewendet; weiterhin wird dadurch verhindert, dass das Layout geändert wird. Diese Richtlinie kann unter Benutzerkonfiguration oder Computerkonfigurationkonfiguriert werden.

    Laut der Beschreibung sollte dieser Fehler eigentlich gar nicht auftreten.

    Ich bin mir eben nur nicht sicher ob ich einen Bug gefunden habe oder ob ich eine Einstellung übersehen habe.

    Gruß

    Johannes

    Montag, 16. Oktober 2017 10:40