Sichtbarkeit einzelner Systemsteuerungsseiten

[xrated2 15]

Zwischen 10 und 11 gibt es doch einige Unterschiede und bei beiden OS lässt sich leider nicht die selbe GPO verwenden.

 

win11
hide:activation;appsforwebsites;backup;developers;emailandaccounts;optionalfeatures;recovery;
troubleshoot;network-proxy;network-dialup;remotedesktop;crossdevice;storagesense;storagepolicies;clipboard;workplace;
findmydevice;mobile-devices;
network-mobilehotspot;
signinoptions

win10
hide:activation;appsforwebsites;backup;developers;emailandaccounts;optionalfeatures;recovery;
windowsinsider;
troubleshoot;network-proxy;network-dialup;remotedesktop;crossdevice;storagesense;storagepolicies;clipboard;workplace;
otherusers;datausage;
findmydevice;mobile-devices;
network-directaccess;
network-mobilehotspot;
extras;
signinoptions

 

Habe 2 Policies erstellt und per WMI filter zugewiesen, der allerdings, so vermute ich die Ausführungszeiten massiv erhöht. Gibts da noch Alternativen ohne das manuell über Rechte (Delegierung) zu steuern?

[testperson 1.682]

Hi,

 

mit welchem WMI Filter filterst du denn? Wenn du keine Delegierung über Gruppen möchtest, könntest du die W11 Clients in eine W11 OU packen und die W10 Clients in eine W10 OU und dann die jeweilige Policy nur an die Client OU verknüpfen.

 

Ein weiterer Ansatz könnte sein, das alles per GPP Registry direkt in den Policy Zweig der Registry zu schreiben und dann per ILT zu filtern.

 

Gruß

Jan

[xrated2 15]

select * from Win32_OperatingSystem where ((Version >= "10.0.22000") and (ProductType="1"))

 

An OU dachte ich auch schon aber da müsste man auch immer jede GPO doppelt verlinken und davon gibts sehr viele weil auch u.a. WPP via GPO gesteuert ist.

 

Bei allen Policies geht auch das:

https://forsenergy.com/de-de/gpedit/html/277c2b6e-3957-4974-b150-9ba0e5a8ea12.htm

Jedoch ist da noch kein Win11 in der Liste.

 

Da bin ich nun leider darauf gestoßen:

https://www.windowspro.de/wolfgang-sommergut/admx-fuer-windows-11-windows-10-central-store

Das ist ja nachdem ich den Teams Zwang entdeckt habe, auch nicht erfreulich.

[daabm 1.357]

Ein WMI-Filter auf Win32_OperatingSystem sollte beim ersten Ausführen etwa 20 ms benötigen, bei allen weiteren Ausführungen 0 ms.

https://evilgpo.blogspot.com/2014/11/wmi-filter-queries-and-thoughts-on.html

Kannst ja mal prüfen, wie sich das bei Dir verhält.

 

Die Anforderungsfilter sind ausschließlich für die Darstellung in GPMC/GPEdit, nicht für die Verarbeitung.

 

Und die Version ist keine Zahl, sondern ein String

 

Die Verteilung auf OUs kann man auch per Skript machen, die haben ja ihre OS-Version in einem AD-Attribut stehen. Und sie befinden sich natürlich in Sub-OUs unter der "Haupt-Client-OU", an der dann alle gemeinsamen GPOs hängen.

 

Und zu guter Letzt würde ich das eh per GPP Registry erledigen: https://evilgpo.blogspot.com/2017/06/windows-10-settings-app-how-to-hide.html

[xrated2 15]

Mit 20ms könnte ich leben.

Liegt es dann an den vielen Policies? Über VPN wartet man da nach gpupdate gut 15min.

[NorbertFe 2.050]

vor 10 Minuten schrieb xrated2:

Mit 20ms könnte ich leben.

 

aber grad so. ;)

 

vor 10 Minuten schrieb xrated2:

Liegt es dann an den vielen Policies? Über VPN wartet man da nach gpupdate gut 15min.

Na dann logging anschalten und nachschauen. Ich hatte vor wenigen Wochen einen Kunden, der das auch feststellte. Ein Blick ins Log zeigte, wer natürlich bei jedem Logon zig Dateien über VPN auf alle Clients verteilen will.... wartet dann eben.

[xrated2 15]

mit gpresult? Da steht leider nicht drin wie lange jede einzelne GPO läuft. 

Großartig kopiert wird da auch nichts aber es sind an die 100 GPOs, hauptsächlich Beschränkungen in Windows und für jedes Programm das via WPP verteilt wird.

[NorbertFe 2.050]

vor 8 Minuten schrieb xrated2:

mit gpresult? Da steht leider nicht drin wie lange jede einzelne GPO läuft. 

 

nein mit dem GPO Logging.

[xrated2 15]

über gpsvc?

das dauert im LAN 4,5min, ist nicht ganz so einfach zu entziffern das Log

Ist das ein Problem mit einer CSE?

Hier ein Auszug wo eine Lücke zwischen 13:39 und 13:41 ist:

 

GPSVC(2ca8.778) 13:39:33:359 ProcessGPOs(User): Processing extension {FC491EF1-C4AA-4CE1-B329-414B101DB823}
GPSVC(2ca8.778) 13:39:33:360 ReadGPOList:++
GPSVC(2ca8.778) 13:39:33:360 CheckGPOs: ReadGPOList count = 0
GPSVC(2ca8.778) 13:39:33:361 CompareGPOLists:  The lists are the same.
GPSVC(2ca8.778) 13:39:33:361 CheckGPOs: No GPO changes but couldn't read extension {FC491EF1-C4AA-4CE1-B329-414B101DB823}'s status or policy time.
GPSVC(2ca8.778) 13:39:33:361 ProcessGPOs(User): Extension {FC491EF1-C4AA-4CE1-B329-414B101DB823} skipped with flags 0x110056.
GPSVC(2ca8.778) 13:39:33:362 GetFgPolicySettingImpl (bSync: 0)
GPSVC(2ca8.778) 13:39:33:362 ProcessGPOs(User): Policies changed - checking if UBPM trigger events need to be fired
GPSVC(2ca8.778) 13:39:33:363 CheckAndFireGPTriggerEvent: Fired Policy present UBPM trigger event for User.
GPSVC(2ca8.778) 13:39:33:368 OnPolicyApplicationComplete: Application complete with bConnectivityFailure = 0.
GPSVC(2ca8.778) 13:39:33:369 OnPolicyApplicationComplete: Signalling 1 Refresh Policy callers
GPSVC(2ca8.2b28) 13:39:33:369 CGroupPolicySession::RefreshGroupPolicyForPrincipal: Completed WaitForSingleObject.
GPSVC(2ca8.32c0) 13:39:33:369 Launching user process : CommandLine is <gpscript.exe /RefreshSystemParam> in session 2
GPSVC(2ca8.778) 13:39:33:370 Passive Network deactivated.
GPSVC(2ca8.32c0) 13:39:33:370 IsSecureCachingDisabled: secureCachingState = 2.
GPSVC(2ca8.778) 13:39:33:371 UpdateWNFTrigger called : bMachine = 0, bEnableWNFTRigger = 0
GPSVC(2ca8.778) 13:39:33:372 StartTaskScheduler status: 0x0
GPSVC(2ca8.778) 13:39:33:377 UpdateWNFTrigger has 2 triggers to process.
GPSVC(2ca8.778) 13:39:33:384 UpdateWNFTrigger succeeded.
GPSVC(2ca8.778) 13:39:33:385 GPOThread(User): Waiting 0.
GPSVC(2644.3180) 13:39:33:392 UpdateUser found no desktop changes.
GPSVC(2ca8.32c0) 13:39:33:376 Broadcast message for 0.
GPSVC(2ca8.32c0) 13:39:33:591 User Broadcast Sent successfully to session 2
GPSVC(2ca8.32c0) 13:39:33:592 PolicyChangedThread: Leaving
GPSVC(2ca8.2b28) 13:41:32:944 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:945 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:946 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:946 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:947 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:947 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:948 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:948 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:950 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:950 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:951 Deleting machine
GPSVC(2ca8.2b28) 13:41:32:953 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:954 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:954 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:955 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:955 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:955 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:956 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:956 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:958 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:959 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:959 Deleting machine
GPSVC(2ca8.2b28) 13:41:32:963 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:963 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:964 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:964 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:964 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:965 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:965 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:966 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:968 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:968 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:969 Deleting machine
GPSVC(2ca8.2b28) 13:41:32:971 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:972 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:972 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:973 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:973 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:974 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:974 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:974 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:976 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:977 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:977 Deleting machine
GPSVC(2ca8.2b28) 13:41:32:981 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:981 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:982 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:982 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:983 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:983 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:983 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:984 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:986 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:986 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:987 Deleting machine
GPSVC(2ca8.2b28) 13:41:32:989 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.2b28) 13:41:32:990 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.2b28) 13:41:32:990 Number of readers in the list = 1
GPSVC(2ca8.2b28) 13:41:32:990 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.2b28) 13:41:32:991 CGPUserCollection::RWUnlock called
GPSVC(2ca8.2b28) 13:41:32:991 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:992 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.2b28) 13:41:32:992 bMachine = 1 
GPSVC(2ca8.2b28) 13:41:32:994 Setting lock state as notLocked
GPSVC(2ca8.2b28) 13:41:32:995 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)>
GPSVC(2ca8.2b28) 13:41:32:995 Deleting machine
GPSVC(2ca8.1c48) 13:42:25:660 CGPApplicationService::IsALockInPlace.
GPSVC(2ca8.1c48) 13:42:25:661 CPolicyCriticalSectionCollection: Calling IsALockInPlace
GPSVC(2ca8.1c48) 13:42:25:662 CGPApplicationService::IsPolicyProcessingOnAnyThread.
GPSVC(2ca8.1c48) 13:42:25:663 CGPUserCollection::RWLock Lock Called to acquire READ Lock
GPSVC(2ca8.1c48) 13:42:25:664 CGPUserCollection::Adding reader to Reader list
GPSVC(2ca8.1c48) 13:42:25:665 Number of readers in the list = 1
GPSVC(2ca8.1c48) 13:42:25:666 CGPUserCollection::RWLock Lock taken successfully with status 0x0 
GPSVC(2ca8.1c48) 13:42:25:667 PolicyApplicationState is False.
GPSVC(2ca8.1c48) 13:42:25:668 AsyncThreadsProcessing is False.
GPSVC(2ca8.1c48) 13:42:25:669 PolicyApplicationState is False.
GPSVC(2ca8.1c48) 13:42:25:670 AsyncThreadsProcessing is False.
GPSVC(2ca8.1c48) 13:42:25:671 CGPUserCollection::RWUnlock called
GPSVC(2ca8.1c48) 13:42:25:672 Setting lock state as notLocked
GPSVC(2ca8.1c48) 13:42:25:673 CGPUserCollection::RWUnlock exited with 0x0
GPSVC(2ca8.1c48) 13:42:25:674 CGPApplicationService::IsAnEventProcessing.
GPSVC(2ca8.1c48) 13:42:25:675 CGPRPCServerBase::TryIdleStop trying to stop RPC server
GPSVC(2ca8.1c48) 13:42:25:676 CGPService::IsServiceIdle: RPC Server not idle or no RPC calls have been handled yet.
GPSVC(2ca8.1c48) 13:42:25:679 ServiceIdleTimerCallback: Service is busy; not stopping.
 

[daabm 1.357]

Recommended für die Analyse von gpsvc.log und auch den GPPs: http://sysprosoft.com/policyreporter.shtml

Der klambüsert das auseinander und zeigt Dir auf einen Blick, was wie lange dauert.

Edit: Du hast das gpsvc.log mit 0x00030002 konfiguriert? Alles andere ist nicht hilfreich. https://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx

bearbeitet 5. Juli 2022 von daabm

[MurdocX 952]

Irgendwie ist das entfernen von Systemsteuerungseintägen so 2000er  Den Mehrwert konnte ich noch nie verstehen. 

[xrated2 15]

Ist 3min über VPN normal mit 100 Policies? 

Internet schwankt mal wieder stark.

[daabm 1.357]

Ja mei - wenn es für ihn halt das Himmelreich ist Mehrwert gibt es keinen.

Gerade eben schrieb xrated2:

Ist 3min über VPN normal mit 100 Policies? 

Internet schwankt mal wieder stark.

 

Kommt drauf an, welches Datenvolumen in deinen GPOs steckt. 100 Stück, da würde ich mal über ein Redesign nachdenken...

[xrated2 15]

Auf die OU beim Computer sind 45 verlinkt, davon ca. die Hälfte nur für Softwareverteilung über WPP. Kopiert wird so gut wie gar nichts, viele Restriktionen für Windows und Programme. Druckerverteilung.

 

dann noch 21 Policies für User, die sind aber wesentlich flotter

[Sunny61 807]

Was wird denn in den GPOs für den WPP konfiguriert/eingestellt?