forum.opsi.org

Hallo zusammen,

gleich vorneweg: ich bin absoluter OPSI-Neuling und betreue hier als Lehrer an unserer Schule mit die IT. Ich hoffe also, dass ich etwaigen Antworten inhaltlich folgen kann

Wir haben gerade über die paedml-Linux (Land BW) unsere Lehrerlaptops installiert. Ziel war es, dass die Kolleginnen und Kollegen ein System bekommen, auf dem sie volle Adminrechte haben und das in keinerlei Domain etc. eingebunden ist. OPSI dienst also nur der ersten Installation der Laptops.

Dazu habe ich alle after-install-Routinen im OPSI rausgenommen und quasi nur das Netboot-Produkt namens „opsi-local-image-win10-x64“ installiert – kein Domjoin, nichts. Nur der OPSI-Client hat sich installiert.

Nun ist es so, dass in den Einstellungen des fertig installierten Notebooks die Option „erforderliche oder optionale Diagnosedaten“ unter „Datenschutz / Diagnose und Feedback“ ausgegraut ist. Außerdem zieht sich das System nicht die aktuelle 21H2, sondern zeigt bei der Suche nach neuen Updates an, dass es nichts Neues gibt (aktuell hat es 21H1). Alles andere sieht aus wie ein voll administrierbarer Rechner, alles andere ist frei einstellbar und funktioniert. Auch Windows Updates wurden – mit dem eben genannten „Problem“ – installiert.

Die Frage: Ist schon im Image „opsi-local-image-win10-x64“ irgendwas eingestellt, das diese Dinge festlegt? An irgendeiner GPO kann es ja nicht liegen, denn die werden ja ohne Domjoin gar nicht gezogen. Installiert ist WIN10PRO.

Viele Grüße!

Hallo,

ich würde mir erstmal die install.wim im Netboot-Paket anschauen und ggfs durch ein "originales" von der ISO austauschen.
Dann würde ich mir die unattend.xml anschauen und die mit dem Template vergleichen.

Wenn Windows-Update genutzt wird, dann muss scheinbar die Diagnostic-Data auf "erforderlich" stehen, da sonst keine Updates gezogen werden können:
https://docs.microsoft.com/en-us/window ... ganization

Hallo,

vielen Dank für die Antwort!

Ich konnte erfolgreich die install.wim aus einer aktuellen .ISO herausnehmen und auf dem OPSI drauftun. Installation hat geklappt (ziemlich cool, einfach diese Datei auszutauschen und schon hat man eine andere und aktuelle Windows-Version).

Das mit dem Update kann ich so natürlich nicht mehr testen - es ist ja das aktuelle Funktionsupdate quasi per .WIM gekommen. Aber dieser ausgegraute Bereich ist immer noch da.

Nur zur Erklärung: Es geht mir nicht um diese ausgegraute Funktion - die braucht eh kaum jemand hier. Es geht mir vielmehr darum, dass ich nicht verstehe, wer oder was dies auslöst. Sogar mit einer "freien" .WIM aus einer neuen .ISO, keine GPOs, ... was könnte sonst noch sowas setzen? Ich fürchte, dass so vielleicht auch noch andere Dinge tief im System "gesetzt" sein könnten, die ich gerade noch gar nicht sehe ...

Viele Grüße!

Moin,

in Zeile 221 in der unattend.xml steht "ProtectYourPC" auf 3, heißt sämtliche Telemetrie und alles was dazugehört, wird abgeschaltet.

Dazu wird unter der Regkey "AllowTelemetry" auf 0 gesetzt, was zur Ausgrauung der Optionen in den PC-Einstellungen führt.

VG