Richtlinien-CSP – ADMX_ShellCommandPromptRegEditTools
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
DisableCMD
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableCMD
Diese Richtlinieneinstellung verhindert, dass Benutzer die interaktive Eingabeaufforderung ausführen, Cmd.exe. Diese Richtlinieneinstellung bestimmt auch, ob Batchdateien (.cmd und .bat) auf dem Computer ausgeführt werden können.
Wenn Sie diese Richtlinieneinstellung aktivieren und der Benutzer versucht, ein Befehlsfenster zu öffnen, zeigt das System eine Meldung an, die erklärt, dass eine Einstellung die Aktion verhindert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Cmd.exe- und Batchdateien normal ausführen.
Hinweis
Verhindern Sie nicht, dass der Computer Batchdateien ausführt, wenn der Computer Anmelde-, Abmelde-, Start- oder Herunterfahren von Batchdateiskripts oder für Benutzer verwendet, die Remotedesktopdienste verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DisableCMD |
| Anzeigename | Verhindern des Zugriffs auf die Eingabeaufforderung |
| Pfad | Benutzerkonfiguration |
| Pfad | System |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\System |
| ADMX-Dateiname | Shell-CommandPrompt-RegEditTools.admx |
DisableRegedit
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisableRegedit
Deaktiviert den Windows-Registrierungs-Editor Regedit.exe.
Wenn Sie diese Richtlinieneinstellung aktivieren und der Benutzer versucht, Regedit.exe zu starten, wird eine Meldung angezeigt, die erklärt, dass eine Richtlinieneinstellung die Aktion verhindert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Regedit.exe normal ausführen.
Um zu verhindern, dass Benutzer andere Verwaltungstools verwenden, verwenden Sie die Richtlinieneinstellung "Nur angegebene Windows-Anwendungen ausführen".
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DisableRegedit |
| Anzeigename | Zugriff auf Bearbeitungstools für Registrierungen verhindern |
| Pfad | Benutzerkonfiguration |
| Pfad | System |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| ADMX-Dateiname | Shell-CommandPrompt-RegEditTools.admx |
DisallowApps
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/DisallowApps
Verhindert, dass Windows die Programme ausführt, die Sie in dieser Richtlinieneinstellung angeben.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Programme ausführen, die Sie der Liste der unzulässigen Anwendungen hinzufügen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer beliebige Programme ausführen.
Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausführen, die vom Datei-Explorer-Prozess gestartet werden. Es verhindert nicht, dass Benutzer Programme ausführen, z. B. Task-Manager, die vom Systemprozess oder von anderen Prozessen gestartet werden. Wenn Benutzer Zugriff auf die Eingabeaufforderung (Cmd.exe) haben, verhindert diese Richtlinieneinstellung nicht, dass sie Programme im Befehlsfenster starten, obwohl sie daran gehindert würden, den Datei-Explorer zu verwenden.
Hinweis
Nicht-Microsoft-Anwendungen mit Windows 2000- oder höher-Zertifizierung sind erforderlich, um diese Richtlinieneinstellung zu erfüllen.
Hinweis
Klicken Sie auf Anzeigen, um eine Liste der zulässigen Anwendungen zu erstellen. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wert den Namen der ausführbaren Anwendung ein (z. B. Winword.exe, Poledit.exe, Powerpnt.exe).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DisallowApps |
| Anzeigename | Ausführen angegebener Windows-Anwendungen nicht |
| Pfad | Benutzerkonfiguration |
| Pfad | System |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| Name des Registrierungswertes | DisallowRun |
| ADMX-Dateiname | Shell-CommandPrompt-RegEditTools.admx |
RestrictApps
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./User/Vendor/MSFT/Policy/Config/ADMX_ShellCommandPromptRegEditTools/RestrictApps
Schränkt die Windows-Programme ein, für die Benutzer über die Berechtigung verfügen, auf dem Computer auszuführen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer nur Programme ausführen, die Sie der Liste der zulässigen Anwendungen hinzufügen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer alle Anwendungen ausführen.
Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausführen, die vom Datei-Explorer-Prozess gestartet werden. Benutzer werden nicht daran gehindert, Programme wie den Task-Manager auszuführen, die vom Systemprozess oder von anderen Prozessen gestartet werden. Wenn Benutzer Zugriff auf die Eingabeaufforderung (Cmd.exe) haben, verhindert diese Richtlinieneinstellung nicht, dass sie Programme im Befehlsfenster starten, obwohl sie daran gehindert würden, den Datei-Explorer zu verwenden.
Hinweis
Nicht-Microsoft-Anwendungen mit Windows 2000- oder höher-Zertifizierung sind erforderlich, um diese Richtlinieneinstellung zu erfüllen.
Hinweis
Klicken Sie auf Anzeigen, um eine Liste der zulässigen Anwendungen zu erstellen. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wert den Namen der ausführbaren Anwendung ein (z. B. Winword.exe, Poledit.exe, Powerpnt.exe).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RestrictApps |
| Anzeigename | Nur angegebene Windows-Anwendungen ausführen |
| Pfad | Benutzerkonfiguration |
| Pfad | System |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| Name des Registrierungswertes | RestrictRun |
| ADMX-Dateiname | Shell-CommandPrompt-RegEditTools.admx |