Windows Enterprise E3 in CSP

Windows Enterprise E3 in CSP bietet nach Abonnement exklusive Features, die für Windows Enterprise-Editionen reserviert sind. Dieses Angebot ist über den CSP-Kanal im Partner Center als Onlinedienst verfügbar. Windows Enterprise E3 in CSP bietet ein flexibles Abonnement pro Benutzer für kleine und mittlere Organisationen (von einem bis zu Hunderten von Benutzern). Um dieses Angebot nutzen zu können, müssen die folgenden Voraussetzungen erfüllt sein:

  • Eine derzeit unterstützte Version von Windows, die auf den Geräten installiert und aktiviert wird, die aktualisiert werden sollen.
  • Microsoft Entra für die Identitätsverwaltung verfügbar.

Der Wechsel von Windows Pro zu Windows Enterprise ist ohne Schlüssel und Neustarts einfacher als je zuvor. Nachdem ein Benutzer die Microsoft Entra Anmeldeinformationen eingegeben hat, die einer Windows Enterprise E3-Lizenz zugeordnet sind, wechselt das Betriebssystem von Windows Pro zu Windows Enterprise, und alle entsprechenden Enterprise-Features werden entsperrt. Wenn eine Abonnementlizenz abläuft oder an einen anderen Benutzer übertragen wird, wechselt das Enterprise-Gerät nahtlos zurück zu Windows Pro.

Bisher konnten nur Organisationen mit einem Microsoft-Volumenlizenzvertrag Windows Enterprise für ihre Benutzer bereitstellen. Mit Windows Enterprise E3 in CSP können kleine und mittlere Organisationen jetzt einfacher die Features der Enterprise Edition nutzen.

Wenn Windows Enterprise E3 über einen Partner erworben wird, sind die folgenden Vorteile enthalten:

  • Windows Enterprise-Edition. Geräte, auf denen derzeit Windows Pro ausgeführt wird, können Windows Enterprise Current Branch (CB) oder Current Branch for Business (CBB) abrufen. Dieser Vorteil schließt ltsb (Long Term Service Branch) nicht ein.
  • Unterstützung von einzelnen bis hin zu mehreren hundert Benutzern. Obwohl das Windows Enterprise E3 in CSP-Programm keine Beschränkung der Anzahl von Lizenzen hat, die ein organization haben kann, ist das Programm für kleine und mittlere Organisationen konzipiert.
  • Bereitstellung auf bis zu fünf Geräten. Für jeden Benutzer, der von der Lizenz abgedeckt wird, kann die Windows Enterprise Edition auf bis zu fünf Geräten bereitgestellt werden.
  • Jederzeit ein Rollback zu Windows Pro ausführen. Wenn das Abonnement eines Benutzers abläuft oder auf einen anderen Benutzer übertragen wird, wird das Windows Enterprise-Gerät nahtlos auf die Windows Pro Edition zurückgesetzt (nach einer Toleranzperiode von bis zu 90 Tagen).
  • Monatliches, benutzerbasiertes Preismodell. Dieses Modell macht Windows Enterprise E3 für Organisationen erschwinglich.
  • Verschieben von Lizenzen zwischen Benutzern. Lizenzen können schnell und einfach von einem Benutzer zu einem anderen Benutzer neu zugewiesen werden, sodass die Lizenzierungsinvestitionen bei sich ändernden Anforderungen optimiert werden können.

Wie ist das Programm Windows Enterprise E3 in CSP im Vergleich zu Microsoft-Volumenlizenzverträgen und Software Assurance?

  • Programme für die Microsoft-Volumenlizenzierung decken ein größeres Spektrum ab und ermöglichen Organisationen den Zugriff auf Lizenzen für alle Microsoft-Produkte.

  • Software Assurance bietet Organisationen die folgenden Vorteile:

    • Bereitstellung und Wartung. Zu diesen Vorteilen gehören Planungsleistungen:

      • Microsoft Desktop-Optimierung (MDOP).
      • Zugriffsrechte für Windows Virtual Desktop.
      • Windows-Roaming-Nutzungsrechte.
      • Weitere Vorteile.

    • Schulungen. Hierzu zählen Schulungsgutscheine, Online-E-Learning und ein Programm für die Verwendung zu Hause.

    • Support. Zu diesen Vorteilen gehören:

      • 24x7-Unterstützung für die Problemauflösung.
      • Sicherungsfunktionen für die Notfallwiederherstellung.
      • System Center Global Service Monitor.
      • Eine passive sekundäre instance von SQL Server.

    • Spezielle Vorteile. Zu diesen Vorteilen gehört die schrittweise Lizenzierungsverfügbarkeit, die die Migration von Software von einer früheren Edition zu einer höheren Edition ermöglicht. Außerdem werden Lizenz- und Software Assurance-Zahlungen auf drei gleiche jährliche Summen verteilt.

      Darüber hinaus kann ein Partner in Windows Enterprise E3 in CSP die Lizenzen für eine organization verwalten. Mit Software Assurance müssen die organization ihre eigenen Lizenzen verwalten.

Zusammenfassend ist das Windows Enterprise E3 in CSP-Programm ein Upgradeangebot, das kleinen und mittleren Organisationen einen einfacheren und flexibleren Zugriff auf die Vorteile der Windows Enterprise Edition bietet. Microsoft-Volumenlizenzprogramme und Software Assurance sind dagegen umfassender und bieten Vorteile, die über den Zugriff auf die Enterprise Edition von Windows hinausgehen.

Vergleichen von Windows Pro- und Enterprise-Editionen

Windows Enterprise Edition verfügt über viele Features, die in Windows Pro nicht verfügbar sind. In Tabelle 1 sind einige der Windows Enterprise-Features aufgeführt, die in Windows Pro nicht gefunden wurden. Viele dieser Features beziehen sich auf die Sicherheit, während andere eine differenziertere Geräteverwaltung ermöglichen.

Tabelle 1 Windows Enterprise-Features, die in Windows Pro nicht gefunden wurden

Feature Beschreibung
Credential Guard Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Sicherheitsgeheimnisse zu schützen, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Beispiele für Sicherheitsgeheimnisse, die geschützt werden können, sind NTLM-Kennworthashes und Kerberos Ticket Granting Tickets. Dieser Schutz trägt dazu bei, Pass-the-Hash- oder Pass-the-Ticket-Angriffe zu verhindern.

Credential Guard bietet die folgenden Features:
  • Sicherheit auf Hardwareebene : Credential Guard verwendet Sicherheitsfeatures der Hardwareplattform (z. B. sicherer Start und Virtualisierung), um abgeleitete Domänenanmeldeinformationen und andere Geheimnisse zu schützen.
  • Virtualisierungsbasierte Sicherheit: Windows-Dienste , die auf abgeleitete Domänenanmeldeinformationen und andere Geheimnisse zugreifen, werden in einer virtualisierten, geschützten Umgebung ausgeführt, die isoliert ist.
  • Verbesserter Schutz vor persistenten Bedrohungen : Credential Guard arbeitet mit anderen Technologien (z. B. Device Guard) zusammen, um weiteren Schutz vor Angriffen zu bieten, unabhängig davon, wie persistent sie sind.
  • Verbesserte Verwaltbarkeit: Credential Guard kann über Gruppenrichtlinie, Windows Management Instrumentation (WMI) oder Windows PowerShell verwaltet werden.

    Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.

    Credential Guard erfordert
    • UEFI 2.3.1 oder höher mit vertrauenswürdigem Start
    • Virtualisierungserweiterungen wie Intel VT-x, AMD-V und SLAT müssen aktiviert sein.
    • x64-Version von Windows
    • IOMMU, z. B. Intel VT-d, AMD-Vi
    • BIOS-Sperrmodus
    • TPM 2.0 wird für den Nachweis der Geräteintegrität empfohlen (verwendet Software, wenn TPM 2.0 nicht vorhanden ist)
    		•
    Device Guard Device Guard vereint Hardware- und Softwaresicherheitsfeatures und lässt nur die Ausführung von vertrauenswürdigen Anwendungen auf einem Gerät zu. Selbst wenn es einem Angreifer gelingt, die Kontrolle über den Windows-Kernel zu erhalten, ist es viel unwahrscheinlicher, dass er ausführbaren Code ausführen wird. Device Guard kann virtualisierungsbasierte Sicherheit (VBS) in Windows Enterprise Edition verwenden, um den Codeintegritätsdienst vom Windows-Kernel selbst zu isolieren. Auch wenn Schadsoftware Zugriff auf den Kernel erhält, können die Auswirkungen mithilfe der VBS stark eingeschränkt werden, da der Hypervisor die Schadsoftware am Ausführen von Code hindern kann.

    Device Guard schützt auf folgende Weise:
  • Trägt zum Schutz vor Malware bei.
  • Trägt zum Schutz des Windows-Systemkerns vor Exploits in Bezug auf Sicherheitsrisiken und Zero-Day-Angriffen bei.
  • Lässt nur die Ausführung vertrauenswürdiger Apps zu.

    Weitere Informationen finden Sie unter Einführung in Device Guard.
    		•
    AppLocker-Verwaltung Dieses Feature hilft IT-Experten zu ermitteln, welche Anwendungen und Dateien Benutzer auf einem Gerät ausführen können. Zu den verwaltbaren Anwendungen und Dateien zählen ausführbare Dateien, Skripts, Windows Installer-Dateien, Dynamic Link Libraries (DLL-Dateien), App-Pakete und App-Installer-Pakete.

    Weitere Informationen finden Sie unter AppLocker.
    Application Virtualization (App-V) Dieses Feature stellt Anwendungen für Endbenutzer zur Verfügung, ohne die Anwendungen direkt auf den Geräten der Benutzer zu installieren. App-V wandelt Anwendungen in zentral verwaltete Dienste um, die nie installiert werden und keine Konflikte mit anderen Anwendungen verursachen. Mit diesem Feature kann auch sichergestellt werden, dass für Anwendungen die neuesten Sicherheitsupdates installiert werden.

    Weitere Informationen finden Sie unter Erste Schritte mit dem App-V für Windows-Client.
    Benutzererfahrungsvirtualisierung (User Experience Virtualization, UE-V) Mit diesem Feature können benutzerspezifische Windows- und Anwendungseinstellungen erfasst und in einer zentral verwalteten Netzwerkdateifreigabe gespeichert werden.

    Wenn sich Benutzer anmelden, werden ihre personalisierten Einstellungen auf ihre Arbeitssitzung angewendet, unabhängig davon, bei welchem Gerät oder bei welchen VDI-Sitzungen sie sich anmelden.

    UE-V bietet die folgenden Features:
  • Angeben, welche Anwendungs- und Windows-Einstellungen auf Benutzergeräten synchronisiert werden
  • Orts- und zeitunabhängige Bereitstellung der Einstellungen im Unternehmen
  • Erstellen benutzerdefinierter Vorlagen für Branchenanwendungen
  • Wiederherstellen von Einstellungen nach dem Austausch oder Upgrade der Hardware oder nach dem Reimagieren eines virtuellen Computers in den ursprünglichen Zustand

    Weitere Informationen finden Sie unter User Experience Virtualization (UE-V) – Übersicht.
    		•
    Verwaltete Benutzeroberfläche Dieses Feature hilft beim Anpassen und Sperren der Benutzeroberfläche eines Windows-Geräts, um es auf eine bestimmte Aufgabe zu beschränken. Beispielsweise kann ein Gerät für ein kontrolliertes Szenario wie ein Kiosk- oder Classroom-Gerät konfiguriert werden. Die Benutzeroberfläche würde automatisch zurückgesetzt werden, sobald sich ein Benutzer abmeldet. Der Zugriff auf Dienste wie den Windows Store kann ebenfalls eingeschränkt werden. Für Windows 10 können auch Startlayoutoptionen verwaltet werden, z. B.:
  • Entfernen der Befehle „Herunterfahren“, „Neu starten“, „Energie sparen“ und „Ruhezustand“ und Verweigern des Zugriffs auf diese Befehle
  • Entfernen von „Abmelden“ (Benutzerkachel) aus dem Startmenü
  • Entfernen häufig verwendeter Programme aus dem Startmenü
  • Entfernen der Liste „Alle Programme“ aus dem Startmenü
  • Hindern der Benutzer am Anpassen ihres Startbildschirms
  • Erzwingen des Startmenüs in Vollbild- oder Menügröße
  • Verhindern der Änderung von Einstellungen für die Taskleiste und das Startmenü
    		•

    Bereitstellung von Windows Enterprise E3-Lizenzen

    Weitere Informationen finden Sie unter Bereitstellen von Windows Enterprise-Lizenzen.

    Bereitstellen von Windows Enterprise-Features

    Wie werden nun die Features und Funktionen der Enterprise Edition genutzt, da die Windows Enterprise Edition auf Geräten ausgeführt wird? Welche Schritte müssen als Nächstes für die einzelnen in Tabelle 1 aufgeführten Features ausgeführt werden?

    Die folgenden Abschnitte enthalten die allgemeinen Aufgaben, die in einer Umgebung ausgeführt werden müssen, damit Benutzer die Features der Windows Enterprise Edition nutzen können.

    Credential Guard

    Hinweis

    Erfordert UEFI 2.3.1 oder höher mit vertrauenswürdigem Start; Virtualisierungserweiterungen wie Intel VT-x, AMD-V und SLAT müssen aktiviert sein. x64-Version von Windows; IOMMU, wie Intel VT-d, AMD-Vi; BIOS-Sperrmodus; TPM 2.0 wird für den Nachweis der Geräteintegrität empfohlen (verwendet Software, wenn TPM 2.0 nicht vorhanden ist).

    Credential Guard kann auf Windows Enterprise-Geräten implementiert werden, indem Credential Guard auf diesen Geräten aktiviert wird. Credential Guard verwendet virtualisierungsbasierte Windows-Sicherheitsfeatures (Hyper-V), die auf jedem Gerät aktiviert werden müssen, bevor Credential Guard aktiviert werden kann. Credential Guard kann mit einer der folgenden Methoden aktiviert werden:

    • Automatisch. Credential Guard kann für ein oder mehrere Geräte mithilfe von Gruppenrichtlinie aktiviert werden. Die Gruppenrichtlinieneinstellungen fügen die virtualisierungsbasierten Sicherheitsfunktionen automatisch hinzu und konfigurieren die Credential Guard-Registrierungseinstellungen auf verwalteten Geräten.

    • Manuell. Credential Guard kann manuell aktiviert werden, indem Sie eine der folgenden Aktionen ausführen:

      • Fügen Sie die virtualisierungsbasierten Sicherheitsfunktionen über „Programme und Funktionen” oder mit der Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) hinzu.

      • Konfigurieren Sie Credential Guard-Registrierungseinstellungen mithilfe des Registrierungs-Editors oder des Device Guard- und Credential Guard-Hardware-Vorbereitungstools.

        Diese manuellen Schritte können mithilfe eines Verwaltungstools wie Microsoft Configuration Manager automatisiert werden.

    Weitere Informationen zur Implementierung von Credential Guard finden Sie in den folgenden Ressourcen:

    Device Guard

    Da die Geräte nun über Windows Enterprise verfügen, kann Device Guard auf den Windows Enterprise-Geräten implementiert werden, indem Sie die folgenden Schritte ausführen:

    1. Optional ein Signaturzertifikat für Codeintegritätsrichtlinien erstellen. Wenn Codeintegritätsrichtlinien bereitgestellt werden, müssen Katalogdateien oder Codeintegritätsrichtlinien möglicherweise intern signiert werden. Um Katalogdateien oder Codeintegritätsrichtlinien intern zu signieren, ist entweder ein öffentlich ausgestelltes Codesignaturzertifikat (normalerweise kaufen) oder eine interne Zertifizierungsstelle (CA) erforderlich. Wenn eine interne Zertifizierungsstelle ausgewählt wird, muss ein Codesignaturzertifikat erstellt werden.

    2. Erstellen Sie Codeintegritätsrichtlinien auf "goldenen" Computern. Abteilungen oder Rollen verwenden manchmal unterschiedliche oder teilweise unterschiedliche Hardware- und Softwaresätze. In diesen Fällen können "goldene" Computer eingerichtet werden, die die Software und Hardware für diese Abteilungen oder Rollen enthalten. Das Erstellen und Verwalten von Codeintegritätsrichtlinien gemäß den Anforderungen von Rollen oder Abteilungen kann ähnlich erfolgen wie die Verwaltung von Unternehmensimages. Auf jedem "goldenen" Computer kann eine Codeintegritätsrichtlinie erstellt und dann entschieden werden, wie diese Richtlinie verwaltet werden soll. Codeintegritätsrichtlinien können zusammengeführt werden, um eine umfassendere Richtlinie oder eine primäre Richtlinie zu erstellen, oder jede Richtlinie kann einzeln verwaltet und bereitgestellt werden.

    3. Codeintegritätsrichtlinie überwachen und Informationen über Anwendungen sammeln, die nicht von der Richtlinie abgedeckt sind. Microsoft empfiehlt die Verwendung des Überwachungsmodus, um jede Codeintegritätsrichtlinie sorgfältig zu testen, bevor sie erzwungen wird. Im Überwachungsmodus wird keine Anwendung blockiert. Die Richtlinie protokolliert nur ein Ereignis, wenn eine Anwendung außerhalb der Richtlinie gestartet wird. Später kann die Richtlinie erweitert werden, um diese Anwendungen bei Bedarf zuzulassen.

    4. Erstellen Sie eine "Katalogdatei" für branchenspezifische Anwendungen ohne Vorzeichen. Verwenden Sie das Paketprüfungstool, um eine Katalogdatei für die nicht signierten BRANCHENanwendungen zu erstellen und zu signieren. In späteren Schritten kann die Signatur der Katalogdatei mit der Codeintegritätsrichtlinie zusammengeführt werden, sodass die Richtlinie Anwendungen im Katalog zulässt.

    5. Erforderliche Richtlinieninformationen aus dem Ereignisprotokoll erfassen und die Informationen nach Bedarf in der vorhandenen Richtlinie zusammenführen. Nachdem eine Codeintegritätsrichtlinie eine Zeit lang im Überwachungsmodus ausgeführt wurde, enthält das Ereignisprotokoll Informationen zu den Anwendungen, die nicht von der Richtlinie abgedeckt sind. Um die Richtlinie so zu erweitern, dass sie diese Anwendungen ermöglicht, verwenden Sie Windows PowerShell Befehle, um die erforderlichen Richtlinieninformationen aus dem Ereignisprotokoll zu erfassen. Nachdem die Informationen erfasst wurden, führen Sie diese Informationen mit der vorhandenen Richtlinie zusammen. Codeintegritätsrichtlinien können auch aus anderen Quellen zusammengeführt werden, sodass die endgültigen Codeintegritätsrichtlinien flexibel erstellt werden können.

    6. Codeintegritätsrichtlinien und Katalogdateien bereitstellen. Nachdem Bestätigt wurde, dass alle vorherigen Schritte abgeschlossen wurden, können Katalogdateien bereitgestellt und die Codeintegritätsrichtlinien aus dem Überwachungsmodus genommen werden. Microsoft empfiehlt dringend, diesen Prozess mit einer Testgruppe von Benutzern zu beginnen. Tests bieten eine abschließende Überprüfung der Qualitätskontrolle, bevor die Katalogdateien und Codeintegritätsrichtlinien umfassender bereitgestellt werden.

    7. Die gewünschten Hardwaresicherheitsfeatures aktivieren. Hardwarebasierte Sicherheitsfeatures – auch als virtualisierungsbasierte Sicherheitsfeatures bezeichnet – erhöhen den durch Codeintegritätsrichtlinien bereitgestellten Schutz.

    Weitere Informationen zur Implementierung von Device Guard finden Sie in den folgenden Ressourcen:

    AppLocker-Verwaltung

    AppLocker in Windows Enterprise kann mithilfe von Gruppenrichtlinie verwaltet werden. Gruppenrichtlinie erfordert AD DS und dass die Windows Enterprise-Geräte mit einer AD DS-Domäne verknüpft sind. AppLocker-Regeln können mithilfe von Gruppenrichtlinie erstellt werden. Die AppLocker-Regeln können dann auf die entsprechenden Geräte ausgerichtet werden.

    Weitere Informationen zur AppLocker-Verwaltung mithilfe von Gruppenrichtlinien finden Sie unter AppLocker-Bereitstellungsanleitung.

    App-V

    App-V erfordert für die Unterstützung von App-V-Clients eine App-V-Serverinfrastruktur. Die primären App-V-Komponenten, die erforderlich sind, sind:

    • App-V-Server. Der App-V-Server stellt Funktionen zur App-V-Verwaltung und zur Veröffentlichung virtualisierter Apps sowie App-Streaming und Dienste zur Berichterstellung bereit. Alle diese Dienste können auf einem Server oder einzeln auf mehreren Servern ausgeführt werden. Beispielsweise können mehrere Streamingserver vorhanden sein. App-V-Clients kontaktieren App-V-Server, um zu ermitteln, welche Apps für den Benutzer oder das Gerät veröffentlicht werden. Anschließend führen sie vom Server aus die virtualisierte App aus.

    • App-V-Sequencer. Beim App-V-Sequencer handelt es sich um ein typisches Clientgerät, das zum Sequenzieren (Erfassen) von Apps und ihrer Vorbereitung für das Hosten vom App-V-Server verwendet wird. Apps werden auf dem App-V-Sequencer installiert, und die App-V Sequencer-Software bestimmt die Dateien und Registrierungseinstellungen, die während der App-Installation geändert werden. Der Sequencer erfasst dann diese Einstellungen, um eine virtualisierte App zu erstellen.

    • App-V-Client. Der App-V-Client muss auf jedem Windows Enterprise E3-Clientgerät aktiviert sein, auf dem Apps vom App-V-Server ausgeführt werden müssen.

    Weitere Informationen zum Implementieren des App-V-Servers, App-V-Sequencers und App-V-Clients finden Sie in den folgenden Ressourcen:

    UE-V

    UE-V erfordert server- und clientseitige Komponenten, die heruntergeladen, aktiviert und installiert werden müssen. Zu diesen Komponenten zählen Folgende:

    • UE-V-Dienst. Der UE-V-Dienst überwacht (bei Aktivierung auf Geräten) registrierte Anwendungen und Windows für alle Einstellungsänderungen und synchronisiert anschließend diese Einstellungen zwischen Geräten.

    • Einstellungspakete. Vom UE-V-Dienst erstellte Einstellungen speichern Anwendungseinstellungen und Windows-Einstellungen. Einstellungspakete werden erstellt, lokal gespeichert und an den Speicherort für die Einstellungen kopiert.

    • Speicherort für die Einstellungen. Dieser Speicherort ist eine Standardnetzwerkfreigabe, auf die Benutzer zugreifen können. Der UE-V-Dienst überprüft den Speicherort und erstellt einen versteckten Systemordner zum Speichern und Abrufen von Benutzereinstellungen.

    • Einstellungsortvorlagen. Bei Einstellungsortvorlagen handelt es sich um XML-Dateien, mit denen UE-V Desktopanwendungseinstellungen und Windows-Desktopeinstellungen überwachen und zwischen Benutzercomputern synchronisieren. In UE-V sind standardmäßig einige Einstellungsortvorlagen enthalten. Benutzerdefinierte Einstellungsspeicherortvorlagen können auch mithilfe des UE-V-Vorlagengenerators erstellt, bearbeitet oder überprüft werden. Einstellungsspeicherortvorlagen sind für Windows-Anwendungen nicht erforderlich.

    • Liste der universellen Windows-Anwendungen. UE-V ermittelt mithilfe einer verwalteten Anwendungsliste, welche Windows-Anwendungen für die Einstellungssynchronisierung aktiviert sind. Diese Liste enthält standardmäßig den Großteil der Windows-Anwendungen.

    Weitere Informationen zum Bereitstellen von UE-V finden Sie in den folgenden Ressourcen:

    Verwaltete Benutzeroberfläche

    Das Feature "Verwaltete Benutzererfahrung" besteht aus einer Reihe von Windows Enterprise-Edition-Features und entsprechenden Einstellungen, die zum Verwalten der Benutzererfahrung verwendet werden können. In Tabelle 2 werden die Einstellungen für die verwaltete Benutzererfahrung (nach Kategorie) beschrieben, die nur in der Windows Enterprise-Edition verfügbar sind. Die zum Konfigurieren der einzelnen Features verwendeten Verwaltungsmethoden sind jeweils vom Feature abhängig. Einige Features werden mithilfe von Gruppenrichtlinien konfiguriert, andere hingegen mithilfe von Windows PowerShell, der Abbildverwaltung für die Bereitstellung oder anderen Befehlszeilentools. Für die Gruppenrichtlinie Einstellungen ist AD DS mit den Windows Enterprise-Geräten erforderlich, die in eine AD DS-Domäne eingebunden sind.

    Tabelle 2. Features der verwalteten Benutzeroberfläche

    Feature Beschreibung
    Anpassung des Startlayouts Ein angepasstes Startlayout kann für Benutzer in einer Domäne bereitgestellt werden. Dazu ist kein Reimaging erforderlich, und das Startlayout kann einfach durch Überschreiben der XML-Datei, die das Layout enthält, aktualisiert werden. Die XML-Datei ermöglicht die Anpassung von Startlayouts für verschiedene Abteilungen oder Organisationen mit minimalem Verwaltungsaufwand.
    Weitere Informationen zu diesen Einstellungen finden Sie unter Anpassen des Startmenüs und der Taskleiste in Windows 10 mit der Gruppenrichtlinie.
    Nicht markierter Start Windows-Elemente, die beim Starten oder Fortsetzen von Windows angezeigt werden, können unterdrückt werden. Der Absturzbildschirm, wenn Windows auf einen Fehler stößt, der nicht wiederhergestellt werden kann, kann ebenfalls unterdrückt werden.
    Weitere Informationen zu diesen Einstellungen finden Sie unter Nicht markierter Start.
    Benutzerdefinierte Anmeldung Das Feature "Benutzerdefinierte Anmeldung" kann verwendet werden, um Windows-UI-Elemente zu unterdrücken, die sich auf den Willkommensbildschirm und den Bildschirm zum Herunterfahren beziehen. Beispielsweise können alle Elemente der Benutzeroberfläche des Begrüßungsbildschirms unterdrückt und eine benutzerdefinierte Anmeldeoberfläche bereitgestellt werden. Der BSDR-Bildschirm (Blocked Shutdown Resolver) kann ebenfalls unterdrückt werden, und Anwendungen können automatisch beendet werden, während das Betriebssystem vor dem Herunterfahren auf das Schließen von Anwendungen wartet.
    Weitere Informationen zu diesen Einstellungen finden Sie unter Benutzerdefinierte Anmeldung.
    Shell-Startprogramm Ermöglicht dem zugewiesenen Zugriff ausschließlich die Ausführung einer klassischen Windows-App über das Shell-Startprogramm zum Ersetzen der Shell.
    Weitere Informationen zu diesen Einstellungen finden Sie unter Shell-Startprogramm.
    Tastaturfilter Der Tastaturfilter kann verwendet werden, um unerwünschte Tastendrücke oder Tastenkombinationen zu unterdrücken. In der Regel können Benutzer mit bestimmten Windows-Tastenkombinationen wie STRG+ALT+DEL oder STRG+UMSCHALT+TAB ein Gerät steuern, indem Sie den Bildschirm sperren oder Task-Manager zum Schließen einer ausgeführten Anwendung verwenden. Diese Tastaturaktionen sind auf Geräten, die für einen bestimmten Zweck bestimmt sind, nicht erwünscht.
    Weitere Informationen zu diesen Einstellungen finden Sie unter Tastaturfilter.
    Einheitlicher Schreibfilter Der Einheitliche Schreibfilter (Unified Write Filter, UWF) kann auf einem Gerät verwendet werden, um physische Speichermedien zu schützen, einschließlich der meisten standardmäßigen schreibbaren Speichertypen, die von Windows unterstützt werden, z. B.:
    • Physische Festplatten
    • Solid-State-Laufwerke
    • Interne USB-Geräte
    • Externe SATA-Geräte
      • . UWF kann auch verwendet werden, um schreibgeschützte Medien dem Betriebssystem als beschreibbares Volume erscheinen zu lassen.
      Weitere Informationen zu diesen Einstellungen finden Sie unter Einheitlicher Schreibfilter.