Relution Community

    • Anmelden
    • Suche
    • Kategorien
    • Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen

    Benutzerdefinierte CSP

    Windows
    3
    13
    2298
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • Martin Eulitz
      Martin Eulitz zuletzt editiert von Martin Eulitz

      Windows Policies Win11 24H2

      Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
      https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

      Stand 08.05.2025: 3 CSP's

      NoLockScreen
      https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-controlpaneldisplay#cpl_personalization_nolockscreen

      UseDefaultTile
      https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-cpls#usedefaulttile

      RemovableDrivesRequireEncryption
      Kehrt die Richtlinie aus Windows Security Baselines Win11 24H2 um

      1 Antwort Letzte Antwort Antworten Zitieren 1
      • Martin Eulitz
        Martin Eulitz zuletzt editiert von Martin Eulitz

        Windows Group Policy Definitions

        Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
        https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

        Stand 09.06.2026: 1 CSP's

        EdgeAdmx149
        https://learn.microsoft.com/en-us/windows/client-management/win32-and-centennial-app-policy-configuration

        1 Antwort Letzte Antwort Antworten Zitieren 0
        • Martin Eulitz
          Martin Eulitz zuletzt editiert von Martin Eulitz

          Windows Security Baselines Edge v139

          Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
          https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

          Stand 09.06.2026: 19 CSP's

          EnableUnsafeSwiftShader
          InternetExplorerIntegrationReloadInIEModeAllowed
          SSLErrorOverrideAllowed
          InternetExplorerIntegrationZoneIdentifierMhtFileAllowed
          DynamicCodeSettings
          ApplicationBoundEncryptionEnabled
          BrowserLegacyExtensionPointsBlockingEnabled
          SitePerProcess
          InternetExplorerModeToolbarButtonEnabled
          SharedArrayBufferUnrestrictedAccessAllowed
          TyposquattingCheckerEnabled
          ExtensionInstallBlocklist
          BasicAuthOverHttpEnabled
          AuthSchemes
          NativeMessagingUserLevelHosts
          SmartScreenEnabled
          SmartScreenPuaEnabled
          PreventSmartScreenPromptOverride
          PreventSmartScreenPromptOverrideForFiles

          https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-v2-edge-settings?pivots=edge-v139

          C 1 Antwort Letzte Antwort Antworten Zitieren 1
          • C
            Caroline Linde @Martin Eulitz zuletzt editiert von

            @Martin-Eulitz Hallo ich habe hierzu eine Rückfrage. Wenn ich die von dir bereitgestellten Dateien runterlade weiß ich ehrlich gesagt nicht wie ich diese öffnen soll. Sie sind vom Typ REXP und zeigen beim Öffnen mit Notepad++ nur Kauderwelsch an. Und ich wurde an keiner Stelle dazu aufgefordert ein Passwort einzugeben. Somit weiß ich nicht, wie ich an den vermeintlichen SyncML rankomme. Tut mir leid, falls dies eine absolute Anfängerfrage ist. 😕 Vielen Dank für deine ganzen Beiträge. Ohne diese wäre ich schon oft aufgeschmissen gewesen.

            Martin Eulitz 1 Antwort Letzte Antwort Antworten Zitieren 0
            • Martin Eulitz
              Martin Eulitz @Caroline Linde zuletzt editiert von

              @Caroline-Linde Hallo Caroline, du kannst diese Dateien einfach in Relution unter Richtlinien importieren (Passwort: "Relution"):

              f5823524-2c5e-4558-9220-78b753dde6f5-image.png

              Gruß Martin

              J 1 Antwort Letzte Antwort Antworten Zitieren 0
              • J
                Joel @Martin Eulitz zuletzt editiert von

                @Martin-Eulitz Moin, danke erstmal für deine Vorarbeit!

                Ich hab gerade ein frisch eingeschriebenenes Windows-Notebook aufgesetzt aber nach dem Import der Richtlinien musste ich leider feststellen, dass rund 80% der CSPs nicht angewendet werden entweder (1) COMMAND_NOT_ALLOWED oder (2) OPTIONAL_FEATURE_NOT_SUPPORTED

                Zu 1):
                Betrifft die meisten CSPs.

                Zu 2):
                Benutzerdefinierte CSP (DefaultOutboundAction) → Verletzt, OPTIONAL_FEATURE_NOT_SUPPORTED

                Ich hab bereits über die Microsoft Dokumentation nachgeschaut ob es Kompatibilitätsprobleme geben könnte, weil ich Windows 11 25H2 nutze aber laut der Doku sollte Windows 10, version 1709 [10.0.16299] and later kein Problem sein.

                Die Prioriäten der Richtlinien habe ich entsprechend angepasst, aber auch schon die Prio. 1 Richtlinie "Windows Group Policy Definitions" mit dem EdgeAdmx149 CSP wird nicht angewendet, weil OPTIONAL_FEATURE_NOT_SUPPORTED.

                Mache ich grundlegend etwas falsch, oder woran kann das liegen? Ist mein erster Versuch mit Relution + Windows.

                J 1 Antwort Letzte Antwort Antworten Zitieren 0
                • J
                  Joel @Joel zuletzt editiert von

                  Kann leider meinen Post nicht mehr bearbeiten.

                  EDIT:
                  Ich vermute es hängt mit meiner Art der Einschreibung zusammen. Derzeitig probiere ich die Geräte direkt per PPKG (siehe hier) einzuschreiben, dabei werden scheinbar aber nicht alle benötigten Richtlinien automatisch von Relution installiert. Ein zweites Gerät mit normaler Einschreibung über den generierten Link bezieht alle benötigten Richtlinien sodass auch alle CSPs angewendet werden können und das Gerät sich Konform meldet.
                  relution_policies.jpg

                  1 Antwort Letzte Antwort Antworten Zitieren 0
                  • Martin Eulitz
                    Martin Eulitz zuletzt editiert von Martin Eulitz

                    Hallo Joel,

                    das Problem ist, dass das Gerät immer mit dem aktuell angemeldeten Benutzer eingeschrieben wird. Wenn du das mit einer PPKG-Datei im Installationsprozess von Windows machst, erfolgt die Einschreibung mit dem Benutzer "defaultuser0". Das funktioniert auch soweit, aber leider wird dieser Benutzer nach ca. einer Stunde automatisch von Windows gelöscht und Relution kann keine CSP-Befehle mehr an das Gerät senden.

                    Ich habe hier im Forum schon ein paar Anleitungen geschrieben, wie man das umgehen kann. Die aktuellste findest du hier: https://community.relution.io/topic/63/vollautomatische-erstkonfiguration-und-einschreibung-in-relution-webdav-version

                    PS: Ich erstelle gerade die Security Baselines für 25H2. Sobald diese fertig ist, stelle ich sie hier online.

                    1 Antwort Letzte Antwort Antworten Zitieren 0
                    • Martin Eulitz
                      Martin Eulitz zuletzt editiert von Martin Eulitz

                      Ich habe die CSP's für Windows 11 25H2 und Edge v150 angepasst. Da die Anwendung meiner ca. 500 CSP's fast 10 Minuten gedauert hat, habe ich bei dieser Version alles CSP's in jeweils eine Richtline gepackt. Dies hat darüber hinaus noch den Vorteil, dass ich euch die CSP's hier zum Kopieren und Einfügen zur Verfügung stellen kann. Insgesamt sind es 5 Richtlinien, die in folgender Reihenfolge angewendet werden müssten:

                      1. Win11 25H2 Basis
                      2. Win11 25H2 Sicherheit
                      3. Win11 25H2 Individual
                      4. Edge v139 Sicherheit
                      5. Edge v150 Individual

                      PS: Ich nutzte ausschließlich benutzerdefinierte CSP's, um nicht mit den eingebauten CSP's von Relution durcheinander zu kommen.

                      1 Antwort Letzte Antwort Antworten Zitieren 0
                      • Martin Eulitz
                        Martin Eulitz zuletzt editiert von Martin Eulitz

                        Win11 25H2 Basis

                        Diese Richtline stellt zunächst die Windows-Version fest auf Win11 25H2 ein. Sie ermöglicht später die Anwendung von CSP's, die eigentlich nur für Win11 Enterprise ziehen würden (https://learn.microsoft.com/en-us/windows/client-management/mdm/sharedpc-csp#setedupolicies). Vor allem ist sie aber Grundlage um CSP's für den Edge-Browser in der jeweils neusten Version anwenden zu können (https://learn.microsoft.com/en-us/deployedge/configure-edge-with-mdm#create-an-oma-uri-for-microsoft-edge-policies). Hierfür müsst ihr euch die aktuelle ADMX-Datei (msedge.admx) für den Edge-Browser runterladen (https://aka.ms/EdgeEnterprise). Öffnet die Datei mit einem Editor, kopiert den kompletten Inhalt und fügt diesen unter der CmdID6 ein (Das "EINFÜGEN" muss mit dem Inhalt überschrieben werden).

                        Hier die benutzerdefinierte CSP:

                        <Replace>
                        
                          <CmdID>1</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                            </Target>
                            <Meta>
                              <Format xmlns="syncml:metinf">chr</Format>
                              <Type xmlns="syncml:metinf">text/plain</Type>
                            </Meta>
                            <Data><![CDATA[Windows 11]]></Data>
                          </Item>
                        
                          <CmdID>2</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                            </Target>
                            <Meta>
                              <Format xmlns="syncml:metinf">chr</Format>
                              <Type xmlns="syncml:metinf">text/plain</Type>
                            </Meta>
                            <Data><![CDATA[25H2]]></Data>
                          </Item>
                        
                          <CmdID>3</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                            </Target>
                            <Meta>
                              <Format xmlns="syncml:metinf">bool</Format>
                              <Type xmlns="syncml:metinf">text/plain</Type>
                            </Meta>
                            <Data>true</Data>
                          </Item>
                        
                          <CmdID>4</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                            </Target>
                            <Meta>
                              <Format xmlns="syncml:metinf">chr</Format>
                              <Type xmlns="syncml:metinf">text/plain</Type>
                            </Meta>
                            <Data><![CDATA[EINFÜGEN]]></Data>
                          </Item>
                        
                        </Replace>
                        
                        <Delete>
                        
                          <CmdID>1</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                            </Target>
                          </Item>
                        
                          <CmdID>2</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                            </Target>
                          </Item>
                        
                          <CmdID>3</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                            </Target>
                          </Item>
                        
                          <CmdID>4</CmdID>
                          <Item>
                            <Target>
                              <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                            </Target>
                          </Item>
                        
                        </Delete>
                        
                        1 Antwort Letzte Antwort Antworten Zitieren 0
                        • Martin Eulitz
                          Martin Eulitz zuletzt editiert von Hanno

                          Win11 25H2 Sicherheit

                          Diese Richtline setzt die Windows MDM Security Baseline von Microsoft in der Version 25H2 um (https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-windows-mdm-settings?pivots=mdm-25h2). Die ID's 21, 61, 238, 240, 246, 247, 248 ziehen nur für Enterprise-Versionen und/oder nur im Benutzerkontext. Die ID 42 erzwingt die Verschlüsselung aller USB-Sticks. Die ID's 243 und 244 setzen bei jeder Aktualisierung irgendeiner Richtlinie in Relution das Windows Passwort zurück. Die ID 293 bringt ohne Entra-ID einen Fehler. Am Besten alle diese ID's weglassen.

                          Hier die benutzerdefinierte CSP:
                          Win11 25H2 Sicherheit.xlsx

                          1 Antwort Letzte Antwort Antworten Zitieren 0
                          • Erster Beitrag
                            Letzter Beitrag