Richtlinieneinstellungen für zugewiesenen Zugriff
Wenn die Konfiguration für zugewiesenen Zugriff auf ein Gerät angewendet wird, werden bestimmte Richtlinieneinstellungen und AppLocker-Regeln erzwungen, was sich auf die Benutzer auswirkt, die auf das Gerät zugreifen. Die Richtlinieneinstellungen verwenden eine Kombination aus Einstellungen für Konfigurationsdienstanbieter (Configuration Service Provider, CSP) und Gruppenrichtlinien (GPO).
In diesem Referenzartikel werden die Richtlinieneinstellungen und AppLocker-Regeln aufgeführt, die vom zugewiesenen Zugriff angewendet werden.
Hinweis
Es wird nicht empfohlen, richtlinieneinstellungen zu konfigurieren, die durch den zugewiesenen Zugriff auf unterschiedliche Werte mit anderen Kanälen erzwungen werden. Der zugewiesene Zugriff ist optimiert, um eine gesperrte Oberfläche bereitzustellen.
Geräterichtlinieneinstellungen
Die folgenden Richtlinieneinstellungen werden auf Geräteebene angewendet, wenn Sie eine eingeschränkte Benutzeroberfläche bereitstellen. Jeder Benutzer, der auf das Gerät zugreift, unterliegt den Richtlinieneinstellungen, einschließlich Administratorkonten:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Cortana deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Symbol "Startdokumente deaktivieren" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Symbol "Downloads starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Symbol "Datei-Explorer starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Symbol "Startgruppe starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Symbol "Musik starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Symbol "Netzwerk starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Symbol "Persönlichen Ordner starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Symbol "Bilder starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Symbol "Starteinstellungen deaktivieren" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Symbol "Videos starten" deaktivieren |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Ausblenden der Anzeige von Kontoeinstellungen ändern auf der Benutzerkachel |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Blendet alle Updatebenachrichtigungen aus. |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Deaktiviert automatische Neustartbenachrichtigungen für Updates |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
Der Zugriff auf den Freihandarbeitsbereich ist deaktiviert. |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Ausblenden der Benutzeroberfläche für Netzwerke auf dem Anmeldebildschirm sowie auf der Benutzeroberfläche "Sicherheitsoptionen" |
Benutzerrichtlinieneinstellungen
Die folgenden Richtlinieneinstellungen werden auf Zielbenutzerkonten angewendet, wenn Sie eine eingeschränkte Benutzeroberfläche bereitstellen:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Deaktivieren des Kontextmenüs für Startmenü-Apps |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Ausblenden der Personen Leiste auf der Taskleiste |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Zuletzt hinzugefügte Apps ausblenden, die im Startmenü angezeigt werden |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Zuletzt verwendete Jumplists ausblenden, die im Startmenü/in der Taskleiste angezeigt werden |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Desktop | Ausblenden und Deaktivieren aller Elemente auf dem Desktop |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Deaktivieren der Anzeige von Sprechblasenbenachrichtigungen als Popups |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Anheften von Elementen an Sprunglisten nicht zulassen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Kein Anheften von Programmen an die Taskleiste zulassen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Ausblenden und Deaktivieren aller Elemente auf dem Desktop |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Schaltfläche "Vorgangsansicht" ausblenden |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Alle Einstellungen für die Taskleiste sperren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Taskleiste sperren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlauben |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Benutzer am Anpassen ihrer Startseite hindern |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Verhindern, dass Benutzer die Taskleiste an eine andere Bildschirmdockposition verschieben |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Verhindern, dass Benutzer Symbolleisten neu anordnen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Benutzern das Ändern der Größe der Taskleiste nicht erlauben |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindern |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Zugriff auf die Kontextmenüs für die Taskleiste entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Liste „Alle Programme“ aus dem Startmenü entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Control Center entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Liste häufig verwendeter Programme aus dem Startmenü entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Entfernen von Benachrichtigungen und Info-Center |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Schnelleinstellungen entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Menüeintrag „Ausführen“ aus dem Startmenü entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Alle Sprechblasenbenachrichtigungen deaktivieren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste | Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivieren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Benachrichtigungen | Schaltfläche "TaskView" ausblenden |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Benachrichtigungen | Popupbenachrichtigungen deaktivieren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\System\Strgl+Alt+Entf-Optionen | Kennwort ändern entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\System\Strgl+Alt+Entf-Optionen | Entfernen der Abmeldung |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\System\Strgl+Alt+Entf-Optionen | Task-Manager entfernen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Explorer | Zugriff auf Laufwerke vom Arbeitsplatz verhindern |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Explorer | Netzwerklaufwerk zuordnen und Netzlaufwerk trennen |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Explorer | Entfernen des Standardkontextmenüs Explorer |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Copilot | Windows Copilot deaktivieren |
Die folgenden Richtlinieneinstellungen werden auf das Kioskkonto angewendet, wenn Sie eine Kioskumgebung mit Microsoft Edge konfigurieren:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| GPO | Benutzerkonfiguration\Administrative Vorlagen\System | Nur angegebene Windows-Anwendungen ausführen >msedge.exe |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\System | Popupbenachrichtigungen deaktivieren |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Anlagen-Manager | Standardrisikostufe für Dateianlagen > Hohes Risiko |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Anlagen-Manager | Einschlussliste für niedrige Dateitypen >.pdf;.epub |
| GPO | Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Explorer | Entfernen des Standardkontextmenüs Explorer |
AppLocker-Regeln
Wenn Sie eine Eingeschränkte Benutzeroberfläche mit zugewiesenem Zugriff bereitstellen, werden AppLocker-Regeln generiert, um die in der Konfiguration aufgeführten Apps zuzulassen. Hier sind die vordefinierten AppLocker-Regeln für den zugewiesenen Zugriff aufgeführt:
Universelle Windows-Plattform-App-Regeln (UWP)
- Die Standardregel ist, dass alle Benutzer die signierten gepackten Apps starten können.
- Die gepackte App-Ablehnungsliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet:
- Basierend auf den installierten Apps, die für das Benutzerkonto verfügbar sind, generiert Der zugewiesene Zugriff die Ablehnungsliste. Die Liste schließt die standardmäßig zulässigen Posteingangspaket-Apps aus, die für die Funktion des Systems wichtig sind, und schließt dann die zulässigen Pakete aus, die in der Konfiguration für zugewiesenen Zugriff definiert sind.
- Wenn mehrere Apps innerhalb desselben Pakets vorhanden sind, werden alle Apps ausgeschlossen.
Die Ablehnungsliste wird verwendet, um zu verhindern, dass der Benutzer auf die Apps zugreifen kann, die derzeit für den Benutzer verfügbar sind, aber nicht in der Liste der zulässigen Apps.
Hinweis
Sie können keine AppLocker-Regeln verwalten, die von der eingeschränkten Benutzeroberfläche in MMC-Snap-Ins generiert werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die mit von zugewiesenem Zugriff generierten AppLocker-Regeln in Konflikt geraten.
Der zugewiesene Zugriff verhindert nicht, dass die organization oder Benutzer UWP-Apps installieren. Wenn eine neue UWP-App während einer Sitzung mit zugewiesenem Zugriff installiert wird, ist die App nicht in der Ablehnungsliste enthalten. Wenn sich der Benutzer abmeldet und sich erneut anmeldet, wird die installierte App in die Ablehnungsliste aufgenommen. Aktualisieren Sie für zentral bereitgestellte Apps, die Sie zulassen möchten, z. B. Line-of-Biness-Apps, die Konfiguration für zugewiesenen Zugriff, und fügen Sie die Apps in die Liste zugelassener Apps ein.
Desktop-App-Regeln
- Die Standardregel besteht darin, allen Benutzern das Starten der Desktopprogramme zu ermöglichen, die mit dem Microsoft-Zertifikat signiert sind, damit das System gestartet und funktioniert. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.
- Es gibt eine vordefinierte Liste der Posteingangs-Desktop-App-Ablehnungen für das Benutzerkonto für den zugewiesenen Zugriff, die basierend auf der Zulassungsliste der Desktop-App aktualisiert wird, die Sie in der Konfiguration für zugewiesenen Zugriff definiert haben.
- Unternehmensdefinierte zulässige Desktop-Apps werden der AppLocker-Zulassungsliste hinzugefügt.
Tastenkombinationen
Die folgenden Tastenkombinationen sind für die Benutzerkonten mit zugewiesenem Zugriff gesperrt:
| Tastaturkürzel | Aktion |
|---|---|
| Ctrl + Shift + Esc | Task-Manager öffnen |
| WIN + , (Komma) | Vorübergehende Vorschau des Desktops anzeigen |
| WIN + A | Info-Center öffnen |
| WIN + Alt + D | Anzeigen und Ausblenden von Datum und Uhrzeit auf dem Desktop |
| WIN + Ctrl + F | Computerobjekte in Active Directory finden |
| WIN + D | Desktop anzeigen und ausblenden |
| WIN + E | Datei-Explorer öffnen |
| WIN + F | Feedback-Hub öffnen |
| WIN + G | Spieleleiste bei geöffnetem Spiel öffnen |
| WIN + I | Einstellungen öffnen |
| WIN + J | Fokus auf einen Windows-Tipp setzen, wenn einer verfügbar ist |
| WIN + O | Geräteausrichtung sperren |
| WIN + Q | Suche öffnen |
| WIN + R | Öffnen des Dialogfelds „Ausführen“ |
| WIN + S | Suche öffnen |
| WIN + Shift + C | Cortana im Spracherkennungsmodus öffnen |
| WIN + X | Menü „Direktlink“ öffnen |
| LaunchApp1 | Öffnen Sie die Anwendung, die dieser Taste zugewiesen ist |
| LaunchApp2 | Öffnen Sie die Anwendung, die dieser Taste zugewiesen ist. Auf vielen Microsoft-Tastaturen ist die App Calculator |
| LaunchMail | Öffnen Sie das Standard-E-Mail-Programm |
Informationen zum Anpassen von Tastenkombinationen finden Sie unter Empfehlungen für zugewiesenen Zugriff.