Hallo,
bzgl. der Windows Version solltest du überlegen ob ggf. LTSB in Frage kommt. Da brauchst du nicht soviel abzuschalten. Ich habe bei Kunden aber auch schon die "normale" Version eingeschränkt - etwas aufwendiger und ggf. ist nach einem Upgrade wieder
alles da ;).
Bei einem Inplaceupgrade kannst du meines Wissens die Bootoption nicht änden. Wenn du bei 0 anfängst und eine Neuinstallation machst, könnte man zuvor auf UEFI umstellen. Hier sollte man die Vor oder Nachteile aber nochmal prüfen.
Um das vorinstallierten Zeugs zu entfernen, kannst du z.B. die "install.wim" (welche später verteilt wird) anpassen. das Ganze geht per per DISM (Windows ADK). Hier ist ein Script dazu:
https://gallery.technet.microsoft.com/Removing-Built-in-apps-65dc387b. Dann gibt es ein paar weitere Apps,
welche nach Erstanmeldung pro Benutzer im Startmenü auftauchen. Die bekommst du per Registry (welcher beim Rollout über die TS angewendet wird) weg:
REG ADD "HKLM\Software\Policies\Microsoft\Windows\CloudContent" /v DisableWindowsConsumerFeatures /t REG_DWORD /d 1 /f
Dann habe ich noch folgende Richtlinien oft angepasst (es gibt sicherlich noch weitere):
Benutzerrichtlinien:
Datenschutz - Informationen zum Schreibverhalten nicht senden
HKEY_CURRENT_USER\Software\Microsoft\Input\TIPC
REG_DWORD
Enabled = 0
Datenschutz - Zugriff auf Sprachliste verweigern
HKEY_CURRENT_USER\Control Panel\International\User Profile
REG_DWORD
HttpAcceptLanguageOptOut = 1
Tabletmodus ausschalten (Benutzer kann diesen zwar aktivieren - Einstellung wird aber bei Anwendung der GPO zurückgesetzt)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\
REG_DWORD
TabletMode = 0
Computerrichtlinien:
• Netzwerk/WLAN-Dienst/WLAN-Einstellungen - Zulassen, dass Windows automatisch eine Verbindung mit vorgeschlagenen öffentlichen Hotspots, von Kontakten freigegebenen Netzwerken und kostenpflichtigen Hotspots herstellt: Deaktiviert
• System/Benutzerprofile - Werbe-ID deaktivieren: Aktiviert
• Systemsteuerung/Regions- und SprachoptionenEingabeanpassung zulassen: Deaktiviert
• Windows-Komponenten/AnwendungskompatibilitätAnwendungstelemetrie deaktivieren: Aktiviert
• Windows-Komponenten/AnwendungskompatibilitätInventory Collector deaktivieren: Aktiviert
• Windows-Komponenten/AnwendungskompatibilitätProblemaufzeichnung deaktivieren: Aktiviert
• Windows-Komponenten/App PrivacyLet Windows apps access account information: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access call history: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access contacts: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access email: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access location: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access messaging: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access motion: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access the calendar: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access the camera: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access the microphone: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps access trusted devices: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps control radios: Aktiviert - Force Deny
• Windows-Komponenten/App PrivacyLet Windows apps sync with devices: Aktiviert - Force Deny
• Windows-Komponenten/CloudinhaltMicrosoft-Anwenderfeatures deaktivieren: Aktiviert
• Windows-Komponenten/Datensammlung und Vorabversionen - Benutzersteuerung für Insider-Builds ein-/ausschalten: Deaktiviert
• Windows-Komponenten/Datensammlung und Vorabversionen - Features oder Einstellungen der Vorabversion deaktivieren: Deaktiviert
• Windows-Komponenten/Datensammlung und Vorabversionen - Feedbackbenachrichtigungen nicht mehr anzeigen: Aktiviert
• Windows-Komponenten/Datensammlung und Vorabversionen - Telemetrie zulassen: Aktiviert - 0 – Sicherheit [Nur Enterprise]
• Windows-Komponenten/Delivery OptimizationDownload Mode: Aktiviert - Download Mode: None
• Windows-Komponenten/Microsoft EdgeAlle Intranetsites an Internet Explorer 11 senden: Aktiviert
• Windows-Komponenten/OneDriveVerwendung von OneDrive für die Dateispeicherung verhindern: Aktiviert
• Windows-Komponenten/Position und SensorenPositionskripting deaktivieren: Aktiviert
• Windows-Komponenten/Position und SensorenSensoren deaktivieren: Aktiviert
• Windows-Komponenten/Position und SensorenSpeicherort deaktivieren: Aktiviert
• Windows-Komponenten/Store - Store-Anwendung deaktivieren: Aktiviert
• Windows-Komponenten/Suche - Cortana zulassen: Deaktiviert
• Windows-Komponenten/Suche - Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen: Aktiviert
• Windows-Komponenten/Windows Game Recording and Broadcasting - Enables or disables Windows Game Recording and Broadcasting: Deaktiviert
• Windows-Komponenten/Windows-Fehlerberichterstattung - Windows-Fehlerberichterstattung deaktivieren: Aktiviert
• Deaktivierte Dienste: DiagTrack und dmwappushservice
Viel Spass ;)
Gruß Markus
