Skip to content

Erstellen eines Grundimages

Ein Grundimage ist eine von SBE auf schulische und LogoDIDACT abgestimmte, optimierte Variante eines Standard-Windows 10 / Windows 11 Betriebssystemimages.

Die nachfolgenden Änderungen und Anpassungen werden von uns bei frischen Windows-Installationen empfohlen, sind jedoch kein Muss, d.h. je nach Schule und Einsatzzweck können gesetzte Optionen mehr oder weniger sinnvoll sein.

Alle Änderungen müssen im AUDIT-Modus getätigt werden. Wie Sie den Audit-Modus starten erfahren Sie hier: Image erstellen

Empfohlene Konfigurationsschritte im Windows 10/11 Grundimage

Treiber aktualisieren

Zu den wichtigsten zählen:

  • Netzwerktreiber (LAN + WLAN)
  • Grafikkartentreiber
  • Firmware bzw. Chipsatztreiber
  • Audiotreiber

Das Ziel ist es die Verbindungsqualität zu steigern, insbesondere beim LAN-Treiber Unterstützung von Wake-On-LAN über den Treiber freischalten.

Alle anderen Treiber ebenfalls im Geräte-Manager überprüfen. Es sollten möglichst keine fehlenden oder fehlerhaften Treiber übrig bleiben. Diese sind durch ein gelbes Warndreieck markiert.

treiber manager

LogoDIDACT GUI-Logon Tool

Das GUI-Logon Tool findet Verwendung um die Netzwerkfreigaben H:\, P:\ und T:\ manuell in der laufenden Sitzung einzubinden, z.B. im Audit-Modus.

Dazu im Datei-Explorer unter \\files\pgm\Programme\GUILogon\Windows\GUILogon.exe nach C:\Tools\ kopieren.

Passwort für lokalen Benutzer ändern

Kennwort für lokalen Benutzer "Station" ändern und kontrollieren ob "Kennwort läuft nie ab" aktiviert ist.

Computerverwaltung\Benutzer und Gruppen\BENUTZER : neues Kennwort festlegen

stations user

Proxy-Server Einstellungen

Proxy-Server manuell in den Internetoptionen eintragen.

1
2
Hostname: proxy.schule.local
Port: 8080

Info

Ist serverseitig eine WPAD-Konfiguration gesetzt (Standard) entfällt das Setzen des manuellen Proxys. Mit der WPAD-Technik erhalten Clients die Proxy-Einstellungen dynamisch vom LD-Server. Es kann somit die Standardeinstellung Einstellungen automatisch erkennen belassen werden.

proxy einstellungen

Die Adresse files.schule.local zur Liste der vertrauenswürdigen Intranetseiten hinzufügen.

Systemsteuerung\Internetoptionen\ Sicherheit\Lokales Intranet\Sites auswählen, dann Erweitert und die Adresse unter Diese Website zur Zone hinzufügen eintragen.

intranet ausnahme

Ordnerumleitung

Mit der Umleitung der Ordner in den Eigenen Dateien auf die persönliche H:-Netzwerkfreigabe wird verhindert, dass an Clients mit aktiver Schutzfunktion mit einem Neustart in den Ordnern lokal abgespeicherte Daten verloren gehen.

Dazu zählen im Benutzerprofilordner (C:\users\Admin) die Ordner:

  • Bilder
  • Downloads
  • Dokumente
  • Musik
  • Videos

intranet ausnahme

Info

Gegebenenfalls muss man unter H:\ die Orderstruktur nachbilden.

Windows Updates

Aktuelle Windows Updates herunterladen und installieren. Ggf. auch Produktupdates für Office-Suites mit installieren lassen, falls es verwendet wird.

Nutzungszeit anpassen

Nutzungszeit des PCs auf Zeitraum 06:00 – 24:00 Uhr festlegen, damit Windows zu dieser Zeit keine Hintergrundaufgaben durchführt. Das macht die Clients im Betrieb performanter.

Installation Standard-Software

Kostenlose, etablierte Tools und Programme wie z.B.: 7-Zip, PDF-Reader, CCleaner, Firefox, Notepad++, VLC Player usw. installieren und konfigurieren.

Microsoft Edge Anpassungen

Folgende Registry-Anpassungen sind sinnvoll, damit der MS Edge-Browser nach der Benutzeranmeldung nicht automatisch mitstartet oder den Ersteinrichtungsassistenten aufruft:

1
2
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"HideFirstRunExperience"=dword:00000001

1
2
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\Main]
"AllowPrelaunch"=dword:00000000

1
2
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\TabPreloader]
"AllowTabPreloading"=dword:00000000

XBOX-Integration deaktivieren

Xbox Spieleleiste innerhalb der Einstellungen deaktivieren.

Einstellungen\Spielen: Game Bar

Registry-Anpassungen und Lokale Gruppenrichtlinien

Die Registry über die Einstellungen aufrufen oder Start -> Ausführen -> regedit.

EnableLinkedConnections als Registry-Einstellung zum Image hinzufügen, damit Netzlaufwerke des angemeldeten Benutzers auch im administrativen Kontext zur Verfügung stehen.

1
2
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLinkedConnections"=dword:00000001

Den lokalen Gruppenrichtlinieneditor über die Einstellungen aufrufen oder Start -> Ausführen -> gpedit.msc.

Lokale Gruppenrichtlinie \ Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung

  • "Bei Neustart immer aufs Netzwerk warten“ aktivieren
  • „Einstiegspunkt für schnelle Benutzerumschaltung ausblenden“ aktivieren

Lokale Gruppenrichtlinie \ Computerkonfiguration \ Administrative Vorlagen \ System \ Skripts:

  • „Anmeldeskripts gleichzeitig ausführen“ aktivieren

Lokale Gruppenrichtlinie \ Computerkonfiguration \ Administrative Vorlagen \ Netzwerk \ Netzwerkanbieter

  • Gehärtete UNC-Pfade
1
2
„\\*\SYSVOL“ : „RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0“
„\\*\NETLOGON“ : „RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0“

Lokale Gruppenrichtlinie \ Computerkonfiguration \ Administrative Vorlagen \ Windows-Komponenten \ Store

  • „Automatisches Herunterladen und Installieren von Updates deaktivieren“ aktivieren

Lokale Gruppenrichtlinie / Computerkonfiguration / Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten

  • „Ändern der Systemzeit“: Benutzer Jeder hinzufügen
  • „Erzwingen des Herunterfahrens von einem Remotesystem aus“: alle Benutzer entfernen

(Optional) zur Unterstützung von Benutzer-Netzwerkprofilen

Lokale Gruppenrichtlinie / Computerkonfiguration / Administrative Vorlagen / System / Benutzerprofile

  • „Eigentümer von servergespeicherten Profilen nicht prüfen“ aktivieren

Laufwerksbuchstaben verwalten

Das Programm USBDLM herunterladen und installieren, sowie untenstehende Config importieren. Dies reserviert die Laufwerksbuchstaben H:\, P:\, T:\ für die Netzwerkfreigaben statisch im Image vor, sodass optische Laufwerke oder USB-Datenträger diese nicht belegen können.

Download: https://www.uwe-sieber.de/files/usbdlm_x64.msi

Nach der Installation das Verzeichnis C:\Programme\USBDLM\ öffnen, dort das Skript _edit-ini.cmd ausführen und den Inhalt der Konfigurationsdatei mit folgendem ersetzen:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
[Settings]
WriteLogFile=0
LogFile=
LogLevel=3
AutoRunOnLogon=0
NoMediaNoLetter=3
SafeCommandLines=1
BadUsbWatchKbd=0
BadUsbWatchNet=0

[BadUsbWhiteList]
PortName=

[BalloonTips]
Enabled=1
EnabledOnRemoval=1
Timeout=6000
Delay=500
DelayOnRemoval=500
SuppressWindowsBalloons=1

[DriveLetters]
BusType=ATAPI,SCSI
DriveType=CDROM
Letters=M,N,O

[DriveLetters]
Letters=

[NetworkLetters]
Letters=H,L,P,Q,S,T,X,Z

Energieoptionen optimieren

In der Systemsteuerung unter Energieoptionen:

  • kein Standby
  • kein Monitor ausschalten oder erst stark verzögert, z.B. nach 1 Stunde
  • Ruhemodus deaktivieren: Eingabeaufforderung als Administrator starten, danach Befehl powercfg -h off absenden

Tipp

Diese Einstellungen können Sie alternativ mit der Autoconf-Regel Windows Systemanpassungen im LD ControlCenter setzen.

Autostart-Programme aufräumen

Mit der Installation von zusätzlicher Software registrieren sich einige davon im Autostart, d.h. diese Programme werden direkt nach der Benutzeranmeldung automatisch gestartet und machen das System langsamer.

Programme können gezielt via Task-Manager deaktiviert werden.

autostart

Druckereinstellungen

Einstellungen \ Bluetooth und Geräte: Windows verwaltet Standarddrucker deaktivieren

(Optional) Windows und Office GVLK-Keys

GVLK Keys im Image hinterlegen, um eine Lizenzierung von Windows und ggf. Office per KMS-Aktivierung umzusetzen.

Für Windows siehe: https://docs.microsoft.com/de-de/windows-server/get-started/kmsclientkeys

Für Office siehe: https://learn.microsoft.com/de-de/office/volume-license-activation/activate-office-by-using-kms

(Optional) Firefox-Updates deaktivieren

Firefox Updates blockieren. Zusätzlich Überprüfung deaktivieren, ob Internet am Client zur Verfügung steht, unter anderem um Zugriffe auf lokal gehostete Webdienste zu ermöglichen.

Dies ist per Windows-Registry möglich über folgende Einträge:

1
2
3
[HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox]
"DisableAppUpdate"=dword:00000001
"CaptivePortal"=dword:00000000

(Optional) Browser-Profile auf H:\ umleiten

Falls gewünscht, nach Installation des Thunderbird Mail-Clients dessen Thunderbird-Profil nach H:\Profile umbiegen. Befehl in der Eingabeaufforderung: thunderbird.exe -p

Falls gewünscht, nach Installation des Firefox-Browsers das Firefox-Profil nach H:\Profile umbiegen. Befehl in der Eingabeaufforderung: firefox.exe -p

Info

Firefox-Profile enthalten viele kleine Dateien, die bei größeren Installationen und vielen parallelen Benutzern das Netzwerk verlangsamen können.

Achtung

Achtung: bei Einsatz von Firefox mit Netzwerk-Profil sollte auch ein neues Default-Profil unter P:\Vorlage\Firefox.custom abgelegt werden. Das vorhandenene Profil ist zu alt für die neuen Firefox Versionen. Auch bei einer späteren Aktualisierung des Browsers oder unterschiedlichen Programmversionen von Firefox (in verschiedenen Imagegruppen) kann dies zu Problemen hinsichtlich Browser-Profil führen.

(Optional) Datenschutzeinstellungen setzen

Kostenloses Tool ShutUp10 herunterladen und ausführen mit den empfohlene Einstellungen, um eine datenschutzarme Konfiguration von Windows 10 bzw. Windows 11zu erreichen.

Download: https://www.oo-software.com/de/shutup10

(Optional) Dateiexplorer anpassen

  • Dateinamenerweiterung im Windows-Dateiexplorer nicht ausblenden
  • angewählte Ordner sollen sich links im Dateiexplorer automatisch erweitern / aufklappen
  • Order aus Schnellzugriff (Windows-Dateiexplorer) entfernen, da doppelt vorhanden

Image bereinigen

Nachdem alle gewünschten Anpassungen im Image vorgenommen wurden, wird empfohlen dieses mit Windows Bordmitteln und alternativ mit kleiner Zusatzsoftware zu bereinigen. So landen keine gecachten Dateien oder Sicherungen von Windows Update im Image.

Hierzu ist das Vorgehen in folgendem Artikel beschrieben: Image erstellen

Erweitertes Grundimage

Hardwarevereinheitlichung

Die Hardwarevereinheitlichung schließt die Schritte des Ausrollens des Grundimages auf jedem Hardware-Typ und der Installation der hardwarespezfifischen Treiber ein. Grob kann man sich an folgendem Ablauf orientieren:

  1. Image auf andere Hardware verteilen

  2. Kontrollieren, ob alle Treiber installiert wurden (ggf. nachinstallieren und in den Nexus hochladen)

  3. Netzwerktreiber aktualisieren (pro Hardwaregruppe)

    Tipp

    Bei Treiberkonflikten: über eine Treiber-Konfiguration innerhalb des ControlCenters den betroffenen Treiber an gerätespezifische Fakten binden und den Treiber in diesem Zuge in das Nexus-Repository hochladen. Dadurch wird erreicht, dass ein spezieller Treiber während der Setup-Phase an den verknüpften PCs aktiv installiert wird, statt auf die Plug 'n' Play Treiberinstallation von Windows 10 aufzubauen.

(Optional) kundenspezifische Software installieren

Kundenspezifische Programme installieren. Dazu muss man sich ggf. mit Lizenzierungstechniken der Software auseinandersetzen.

Optimal: Lizenzierung nach dem Client-Server-Modell mit Netzwerk-Lizenzmanager

(Optional) Druckerinstallation

Netzwerkdrucker lokal ins Image installieren.