Relution Community

    • Anmelden
    • Suche
    • Kategorien
    • Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen

    Benutzerdefinierte CSP

    Windows
    3
    13
    2298
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • Martin Eulitz
      Martin Eulitz zuletzt editiert von Martin Eulitz

      Windows Group Policy Definitions

      Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
      https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

      Stand 09.06.2026: 1 CSP's

      EdgeAdmx149
      https://learn.microsoft.com/en-us/windows/client-management/win32-and-centennial-app-policy-configuration

      1 Antwort Letzte Antwort Antworten Zitieren 0
      • Martin Eulitz
        Martin Eulitz zuletzt editiert von Martin Eulitz

        Windows Security Baselines Edge v139

        Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
        https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

        Stand 09.06.2026: 19 CSP's

        EnableUnsafeSwiftShader
        InternetExplorerIntegrationReloadInIEModeAllowed
        SSLErrorOverrideAllowed
        InternetExplorerIntegrationZoneIdentifierMhtFileAllowed
        DynamicCodeSettings
        ApplicationBoundEncryptionEnabled
        BrowserLegacyExtensionPointsBlockingEnabled
        SitePerProcess
        InternetExplorerModeToolbarButtonEnabled
        SharedArrayBufferUnrestrictedAccessAllowed
        TyposquattingCheckerEnabled
        ExtensionInstallBlocklist
        BasicAuthOverHttpEnabled
        AuthSchemes
        NativeMessagingUserLevelHosts
        SmartScreenEnabled
        SmartScreenPuaEnabled
        PreventSmartScreenPromptOverride
        PreventSmartScreenPromptOverrideForFiles

        https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-v2-edge-settings?pivots=edge-v139

        C 1 Antwort Letzte Antwort Antworten Zitieren 1
        • C
          Caroline Linde @Martin Eulitz zuletzt editiert von

          @Martin-Eulitz Hallo ich habe hierzu eine Rückfrage. Wenn ich die von dir bereitgestellten Dateien runterlade weiß ich ehrlich gesagt nicht wie ich diese öffnen soll. Sie sind vom Typ REXP und zeigen beim Öffnen mit Notepad++ nur Kauderwelsch an. Und ich wurde an keiner Stelle dazu aufgefordert ein Passwort einzugeben. Somit weiß ich nicht, wie ich an den vermeintlichen SyncML rankomme. Tut mir leid, falls dies eine absolute Anfängerfrage ist. 😕 Vielen Dank für deine ganzen Beiträge. Ohne diese wäre ich schon oft aufgeschmissen gewesen.

          Martin Eulitz 1 Antwort Letzte Antwort Antworten Zitieren 0
          • Martin Eulitz
            Martin Eulitz @Caroline Linde zuletzt editiert von

            @Caroline-Linde Hallo Caroline, du kannst diese Dateien einfach in Relution unter Richtlinien importieren (Passwort: "Relution"):

            f5823524-2c5e-4558-9220-78b753dde6f5-image.png

            Gruß Martin

            J 1 Antwort Letzte Antwort Antworten Zitieren 0
            • J
              Joel @Martin Eulitz zuletzt editiert von

              @Martin-Eulitz Moin, danke erstmal für deine Vorarbeit!

              Ich hab gerade ein frisch eingeschriebenenes Windows-Notebook aufgesetzt aber nach dem Import der Richtlinien musste ich leider feststellen, dass rund 80% der CSPs nicht angewendet werden entweder (1) COMMAND_NOT_ALLOWED oder (2) OPTIONAL_FEATURE_NOT_SUPPORTED

              Zu 1):
              Betrifft die meisten CSPs.

              Zu 2):
              Benutzerdefinierte CSP (DefaultOutboundAction) → Verletzt, OPTIONAL_FEATURE_NOT_SUPPORTED

              Ich hab bereits über die Microsoft Dokumentation nachgeschaut ob es Kompatibilitätsprobleme geben könnte, weil ich Windows 11 25H2 nutze aber laut der Doku sollte Windows 10, version 1709 [10.0.16299] and later kein Problem sein.

              Die Prioriäten der Richtlinien habe ich entsprechend angepasst, aber auch schon die Prio. 1 Richtlinie "Windows Group Policy Definitions" mit dem EdgeAdmx149 CSP wird nicht angewendet, weil OPTIONAL_FEATURE_NOT_SUPPORTED.

              Mache ich grundlegend etwas falsch, oder woran kann das liegen? Ist mein erster Versuch mit Relution + Windows.

              J 1 Antwort Letzte Antwort Antworten Zitieren 0
              • J
                Joel @Joel zuletzt editiert von

                Kann leider meinen Post nicht mehr bearbeiten.

                EDIT:
                Ich vermute es hängt mit meiner Art der Einschreibung zusammen. Derzeitig probiere ich die Geräte direkt per PPKG (siehe hier) einzuschreiben, dabei werden scheinbar aber nicht alle benötigten Richtlinien automatisch von Relution installiert. Ein zweites Gerät mit normaler Einschreibung über den generierten Link bezieht alle benötigten Richtlinien sodass auch alle CSPs angewendet werden können und das Gerät sich Konform meldet.
                relution_policies.jpg

                1 Antwort Letzte Antwort Antworten Zitieren 0
                • Martin Eulitz
                  Martin Eulitz zuletzt editiert von Martin Eulitz

                  Hallo Joel,

                  das Problem ist, dass das Gerät immer mit dem aktuell angemeldeten Benutzer eingeschrieben wird. Wenn du das mit einer PPKG-Datei im Installationsprozess von Windows machst, erfolgt die Einschreibung mit dem Benutzer "defaultuser0". Das funktioniert auch soweit, aber leider wird dieser Benutzer nach ca. einer Stunde automatisch von Windows gelöscht und Relution kann keine CSP-Befehle mehr an das Gerät senden.

                  Ich habe hier im Forum schon ein paar Anleitungen geschrieben, wie man das umgehen kann. Die aktuellste findest du hier: https://community.relution.io/topic/63/vollautomatische-erstkonfiguration-und-einschreibung-in-relution-webdav-version

                  PS: Ich erstelle gerade die Security Baselines für 25H2. Sobald diese fertig ist, stelle ich sie hier online.

                  1 Antwort Letzte Antwort Antworten Zitieren 0
                  • Martin Eulitz
                    Martin Eulitz zuletzt editiert von Martin Eulitz

                    Ich habe die CSP's für Windows 11 25H2 und Edge v150 angepasst. Da die Anwendung meiner ca. 500 CSP's fast 10 Minuten gedauert hat, habe ich bei dieser Version alles CSP's in jeweils eine Richtline gepackt. Dies hat darüber hinaus noch den Vorteil, dass ich euch die CSP's hier zum Kopieren und Einfügen zur Verfügung stellen kann. Insgesamt sind es 5 Richtlinien, die in folgender Reihenfolge angewendet werden müssten:

                    1. Win11 25H2 Basis
                    2. Win11 25H2 Sicherheit
                    3. Win11 25H2 Individual
                    4. Edge v139 Sicherheit
                    5. Edge v150 Individual

                    PS: Ich nutzte ausschließlich benutzerdefinierte CSP's, um nicht mit den eingebauten CSP's von Relution durcheinander zu kommen.

                    1 Antwort Letzte Antwort Antworten Zitieren 0
                    • Martin Eulitz
                      Martin Eulitz zuletzt editiert von Martin Eulitz

                      Win11 25H2 Basis

                      Diese Richtline stellt zunächst die Windows-Version fest auf Win11 25H2 ein. Sie ermöglicht später die Anwendung von CSP's, die eigentlich nur für Win11 Enterprise ziehen würden (https://learn.microsoft.com/en-us/windows/client-management/mdm/sharedpc-csp#setedupolicies). Vor allem ist sie aber Grundlage um CSP's für den Edge-Browser in der jeweils neusten Version anwenden zu können (https://learn.microsoft.com/en-us/deployedge/configure-edge-with-mdm#create-an-oma-uri-for-microsoft-edge-policies). Hierfür müsst ihr euch die aktuelle ADMX-Datei (msedge.admx) für den Edge-Browser runterladen (https://aka.ms/EdgeEnterprise). Öffnet die Datei mit einem Editor, kopiert den kompletten Inhalt und fügt diesen unter der CmdID6 ein (Das "EINFÜGEN" muss mit dem Inhalt überschrieben werden).

                      Hier die benutzerdefinierte CSP:

                      <Replace>
                      
                        <CmdID>1</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                          </Target>
                          <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                            <Type xmlns="syncml:metinf">text/plain</Type>
                          </Meta>
                          <Data><![CDATA[Windows 11]]></Data>
                        </Item>
                      
                        <CmdID>2</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                          </Target>
                          <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                            <Type xmlns="syncml:metinf">text/plain</Type>
                          </Meta>
                          <Data><![CDATA[25H2]]></Data>
                        </Item>
                      
                        <CmdID>3</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                          </Target>
                          <Meta>
                            <Format xmlns="syncml:metinf">bool</Format>
                            <Type xmlns="syncml:metinf">text/plain</Type>
                          </Meta>
                          <Data>true</Data>
                        </Item>
                      
                        <CmdID>4</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                          </Target>
                          <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                            <Type xmlns="syncml:metinf">text/plain</Type>
                          </Meta>
                          <Data><![CDATA[EINFÜGEN]]></Data>
                        </Item>
                      
                      </Replace>
                      
                      <Delete>
                      
                        <CmdID>1</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                          </Target>
                        </Item>
                      
                        <CmdID>2</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                          </Target>
                        </Item>
                      
                        <CmdID>3</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                          </Target>
                        </Item>
                      
                        <CmdID>4</CmdID>
                        <Item>
                          <Target>
                            <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                          </Target>
                        </Item>
                      
                      </Delete>
                      
                      1 Antwort Letzte Antwort Antworten Zitieren 0
                      • Martin Eulitz
                        Martin Eulitz zuletzt editiert von Hanno

                        Win11 25H2 Sicherheit

                        Diese Richtline setzt die Windows MDM Security Baseline von Microsoft in der Version 25H2 um (https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-windows-mdm-settings?pivots=mdm-25h2). Die ID's 21, 61, 238, 240, 246, 247, 248 ziehen nur für Enterprise-Versionen und/oder nur im Benutzerkontext. Die ID 42 erzwingt die Verschlüsselung aller USB-Sticks. Die ID's 243 und 244 setzen bei jeder Aktualisierung irgendeiner Richtlinie in Relution das Windows Passwort zurück. Die ID 293 bringt ohne Entra-ID einen Fehler. Am Besten alle diese ID's weglassen.

                        Hier die benutzerdefinierte CSP:
                        Win11 25H2 Sicherheit.xlsx

                        1 Antwort Letzte Antwort Antworten Zitieren 0
                        • Erster Beitrag
                          Letzter Beitrag