[English]Ich nehme mal eine Warnung hier im Blog mit auf, die sich an Administratoren richtet, die Windows 11-Systeme betreuen. Mark Heitbrink hat mich die Tage darüber informiert, dass der Kiosk-Modus von Windows 11 24H2 ziemlich kaputt sei. Oder konkreter: Er sei unbrauchbar, wie Mark bei einem Kunden feststellen musste.
Anzeige
Der Kiosk-Modus von Windows
Windows bietet die Möglichkeit, einen sogenannten Kiosk-Modus zu betreiben. Im Kiosk-Modus können Anwendungen in ihren Rechten begrenzt werden. So kann es sein, dass Programme nicht beendet werden dürfen, andere sollen nicht ausführbar sein. Der Kiosk-Modus wird in öffentlich zugänglichen Informationsterminals (Empfang in Firmen, in Fußgängerzonen oder Museen) verwendet.
Microsoft lässt sich in diesem Support-Beitrag über den Kiosk-Modus (aber bezogen auf IoT) aus. Und es gibt diesen Support-Beitrag Microsofts mit einigen Information. heise befasst sich in diesem Beitrag ebenfalls mit dem Kiosk-Mode. Die Konfigurierung des Kiosk-Modes erfolgt über XML-Dateien, die regeln, was der Benutzer in diesem Modus darf.
Kiosk-Modus in Windows 11 24H2 kaputt
Mark Heitbrink schrieb mir zum 15. Oktober 2024, dass er gerade bei einem Kunden den MultiApp Kiosk-Modus für Windows 11 nachbauen möchte. Dieser MultiApp Kiosk-Modus ist bei diesem Kunden unter Windows 10 lange gelaufen. Aber laut Betreff der Nachricht von Mark hatte der Kunde die Idee, das mal mit Windows 11 24H2 zu machen – ist ja brandheißer Mist aus einer bestimmten Software-Schmiede.
Die XML-Konfigurationsdatei zur Steuerung des Kiosk-Modus lässt laut Mark nur RDP zu:
<AllowedApps> <App DesktopAppPath="%windir%\system32\mstsc.exe"/> </AllowedApps>
Die Taskbar ist ebenfalls mit folgenden XML-Anweisungen (Nodes) vordefiniert:
Anzeige
<taskbar:TaskbarPinList> <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Remote Desktop Connection.lnk"/> </taskbar:TaskbarPinList>
Nachdem sich der Kiosk-User (Domänen Konto) anmeldet, schrieb Mark, wird die Taskbar mit dem "File Explorer", dem "Microsoft Edge" und dem neuen "Outlook new" gefüllt.
Das Startmenü hingegen ist so, wie es soll, merkt Mark an – es sei nur "Remote Desktop starten" vorhanden. Microsoft Outlook startet nicht, da er diese App de-provisioniert und de-installiert habe, schrieb er.
Aber: Der Explorer und der Edge-Browser starten im Kiosk-Modus, was sie nicht dürften. Zudem wird die unter Windows 10 funktionierende "FileExplorerNamespaceRestrictions" komplett ignoriert. In Windows 10 wurde dann nur der Downloads Ordner angezeigt, kein Treeview.
<taskbar:TaskbarPinList> <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Remote Desktop Connection.lnk"/> </taskbar:TaskbarPinList>
Mark beendete seine Mail mit dem wenig freundlichen Satz: "Was für eine Bastelscheiße … Entschuldige. Vielleicht hilft es anderen. Ich habe noch keine Ahnung, wie ich das verhindern kann". Falls jemand da irgend eine Ahnung hat, wie man das verhindert (außer "nimm Linux" oder "bleibe bei Windows 10"), dann her damit. Der Rest sollte die Finger von dem Zeug lassen, bis es vielleicht irgendwann mal funktioniert.
Ähnliche Artikel:
Windows 11 24H verfügbar (1. Oktober 2024)
Windows 11 24H2: Zahlreiche Show-Stopper und bekannte Bugs
Windows 11 24H2: Böse Probleme nach dem Upgrade
Windows 11 24H2: Aktivierung beim Upgrade verloren?
Windows: DirectAccess abgekündigt; Always On VPN empfohlen
Windows 11 24H2: Probleme mit VPN-Verbindungen, Direct Access …
Windows 11 24H2: Recall nicht deinstallierbar …
Probleme mit Windows 11 24H2/Windows Server 2025
Windows 11 24H2: Achtung, Kiosk-Mode wohl kaputt
Anzeige
Hast du Microsoft schon Blumen und eine Dankeskarte geschickt? @Günter
Für all das gratis "Futter" für den Blog. ;)
Gibt da zwei running Gags bei Borns. Meine Frau "Friss weniger Popcorn, wenn Du vorm Notebook sitzt, du wirst mir zu fett." Und ich so: "Keine Bange, wird nicht passieren – ich pilgere ja jeden Morgen nach Redmond, um Herrn Nadella oder einem seiner Stellvertreter die Füße zu küssen – da bleibe ich schlank und beweglich …".
Man bekommt zunehmend den Eindruck das bei Microsoft die Qualität immer schlechter wird.
>> Falls jemand da irgend eine Ahnung hat, wie man das verhindert
>> (außer "nimm >> Linux" oder "bleibe bei Windows 10"), dann her damit.
120 Tage Update Verzögerung bei FunktionsUpgrades.
Nach 3-4 Monatsupdates kannst Du davon ausgehen das das gröbste gefixt ist.
Ungefixt bleiben dagegen die Masse an Datenübergriffigkeiten, Cloud-/Abo-/KI-/Online-Account – Gängelei, und nervende Werbung in Startmenü, Einstellung, Taskleiste auf dem Desktop, am Sperrbildschirm und in den Menüzeilen mehrere Apps.
Wenn Du das alles los werden willst, nimm besser gleich Linux oder MacOS.
Weil Microsoft das fortlaufend ändert, und du denen sonst dein restliches leben hinterherwischen darfst.
Qualität ??
Seit wann interessieren sich Konzerne für Qualität? Sicherheit, Pünktlichkeit oder gar KundenService ? Da hat doch schon seit sehr langer Zeit überall der PROFIT unverrückbar die alleroberste Priorität !
Es kommt auf das Unternehmen an…
Bei Inhabergeführten Unternehmen merkt man oft, dass hier wirklich Kundenfreundlichkeit und Qualität noch wirklich eine Rolle spielen.
Bei einigen Marken auch, zumindest werden die Produkte nicht total hingerotzt und man findet ausführliche Datenblätter und Infos.
Zwischen den großen Telekommunikationsunternehmen gibt es auch teilweise massive Unterschiede, was den Support angeht. Versandienstleister ebenso. Auch bei Druckerherstellern. Einige Drucker kannst du absolut nicht mehr kaufen, andere gehen.
Du hast aber auch viele Unternehmen, die es einfach nicht gebacken kriegen. Ich gehe nicht mal immer davon aus, dass es am Profit liegt. Im Gegenteil, es scheint dort organisatorisch einfach total schlecht zu sein. Da wird auch Geld an stellen verschwendet…
>> Seit wann interessieren sich Konzerne für Qualität?
WindowsXP und Windows7 waren ab dem SP1 in meiner Heim-Anwender-Praxis stabil und zuverlässig.
Das war in meinem Fall ein Zeitraum von 2003 bis 2018.
Ich kann mich an keinen Fall in den 15Jahren erinnern das ich mal einen Patch rückrollen musste, oder irgendwelche Probleme durch Patches auftraten.
Seit Windows10 ist das Stabilitätsversprechen hinüber. Ich bin bereits selbst über lästige Bugs gestolpert, wo man sich fragt, wurd das überhaupt vor der Freigabe von irgendwem geprüft?
Und hier der Heise Artikel, wie man ein einfaches Raspi Kiosksysteme für Websites (Firefox) oder RDP (Remmina) erstellen kann. Ich liebe insb. Raspis mit einem POE-Hat dann gibt's nur ein Ethernet-Kabel und kein Geschiss um Strom und Verkabelung. Mit dem 3D Drucker habe ich mir entsprechende Backplates erstellt, die an einer VESA-Halterung eines Bildschirms befestigt wird und der ganze Raspi im Fall der Fälle einfach ausgetauscht wird, auch wenn dieser bereits an einer Halterung ist. Alle Systeme werden mit Ansible verwaltet und per Zabbix oder SNMP gemonitored.
https://www.heise.de/select/ct/2022/12/2204109513141146830
Porteus ist auch ganz nett, wenn man sogar noch weiß an welchem SwitchPort die Kiosk Geräte hängen, kann man sogar bei Bedarf (wenn POE im Einsatz ist) den Switchport kurz deaktivieren, damit die Kiste (falls sie mal hängt) neustarten kann ohne eine Leiter zu holen
Es gab eine simple Entscheidung gegen alles, was /Nicht/-Windows war:
a) homogene Client Strukturen
b) identisches Update Management
c) identische Hardware
d) identische Installation, Abfrage "Kiosk" in der TaskSquence
e) KioskMode ist Benutzer/Gruppen steuerbar
f) identische Härungsmassnahmen
g) nur rudimentäre Richtlinien, da der Kiosk Mode per Se welche mibringt, u.A. Applocker, zusätzlich zu den ganzen "No*Something*" Restriktiven Richtlinien im Explorer
h) Das mstsc/RDP Produkt kann Remote Credential Guard und ist damit SSO tauglich und sicher(er)
i) fehlendes Linux Verständis
j) kein zusätzlicher Kostenfaktor durch Software Lizenzen
k) geringes zusätzliches Wissen erforderlich zur Integration
.. etc. tbc
Ergo: Nein, ThinClients oder Linux Ableger sind keine Alternative, wenn man
Wenn ich per Mail an Born was melde kann ich mich aber darauf verlassen das mein Name nicht genannt wird oder? (Ich ahne mal das Hark Meitbrink nicht gefragt wurde.)
Wenn mir ein Leser per Mail was meldet, gibt es folgende Szenarien: Der Leser schreibt "bitte nicht meinen Namen veröffentlichen" – dann ist klar, was passiert. Der Leser sagt nix dazu, dann schreibe ich meist "Leser Mark …" oder "ein Leser". Mark Heitbrink (gruppenrichtlinien.de) kenne ich von MVP-Veranstaltungen, die wir besuchten – und er kommentiert hier im Blog unter Klarnamen – so dass ich nicht jedes Mal nachfrage "Mark, darf ich dich heute namentlich zitieren".
Abgesehen davon, dass wir beide heute früh bereits über den Artikel per Mail konferiert haben – die Leser werden nämlich von mir i.d.R. zeitnah informiert, damit genau solche Kalamitäten fix bereinigt werden können – gibt auch Leser, die wünschen, dass der Name genannt wird, und opponieren, wenn ich "ein Leser" schreibe ;-).
richtig, musste er auch nicht :-)
Ich verstehe bis heute nicht so ganz, warum Microsoft am eigenen Monopol sägt :-\ Den Gedankengang muss man mir mal erklären.
Ich würde ja verstehen, wenn die Änderungen irgendeine Gewinnsteigerung/Umsatzsteigerung bringen. An welcher Stelle das passieren soll ist mir total unklar. Ich kenne Niemanden, der nicht über Windows abgefuckt ist.
Der KIOSK-Modus ist zwar nur eine kleine Komponenten, die im Verhältnis vmtl. sehr wenig Leute nutzen. Ich sehe aber auch kein Problem, hier einfach eine funktionierende Softwarekomponente einzubauen. In vielen Firmen/Museen werden teilweise einfach nur Bilder abgespielt. Da greift man halt auf Raspberry oder professionelle Media-Player zurück, weil es nichts Anderes gibt was einfacher ist. Man könnte aber genauso gut irgendeinen Mini-PC mit Windows hinstellen, wenn es einfach gehen würde. Die Probleme fangen aber schon wieder bei den Updates/Routinen an.
Die eine Antwort, kommt aus dem Börsenbereich, ist einfach:
"Gier frißt Hirn".
Eine andere ist, das Unternehmen nur bis zu einer gewissen Größe funktionieren. Ab dieser wird die Kommunikation und Kontrolle immer schwieriger, die einzelnen Bereiche agieren immer eigennützlicher, "korrupter".
Eine Größe von ca. 120 Mitgliedern hat sich als optimal erwiesen. Das entspricht zufällig in etwa der Größe urzeitlicher Dörfer (Darwin).
Das haben vor vielen Jahren mal ein paar BWLer erforscht. Frag mich jetzt nicht wer und wo.
Jedenfalls erklärt es das, was wir jetzt bei MS sehen relativ zwanglos gut, oder?
Der Kiosk-Mode wird auch gerne bei Industrie-Steuerungen eingesetzt, damit die Operatoren nicht versucht sind, z.B. auf dem Rechner Solitär zu spielen oder irgendwas versehentlich zu klicken, sage ich mal nett.
Ist also kein Spaß, wenn das nicht mehr funktioniert wie erwartet…
Naja, bei Industriesteuerungen ist i.d.R. Windows IoT installiert und da gibt es keine Spiele.
Auch sonst ist da wenig installiert.
Die meisten bei anderen Windows-Versionen installierten Dinge gibt es da nicht.
Beispielsweise Mediaplayer, Edge/Internet Explorer, Snipping Tool, etc. sind nicht vorhanden und lassen sich auch nur über einen externen Installationsdatenträger installieren.
Selbst so etwas wie "Task starten" über den Taskmanager ist deaktiviert.
Nun, Microsoft verspricht auch nicht dass alles sofort geht einem Feature Update. Früher gabs dafür einen eigenen Channel mit ca. 180 Tagen deferral, heute darf es der Kunde selber entscheiden. Wer eine „RTM" direkt produktiv nimmt dem ist auch nicht zu helfen, die ist gerade mal gut genug für Home User aber sicher nicht im Enterprise Umfeld. Das Ding testet man, rollt es aus wo es schon geht und verzögert wo es noch nicht passt. Das üben wir doch jetzt schon seit 10 Jahren, jedes Jahr aufs neue..
Entschuldige, meine naive Denkweise und Erwartungshaltung, das ein Feature (MultiApp Kiosk Mode) eingeführt mit der Version 1709 weiterhin das tut, was es soll.
Nur weil das Startmenü jetzt ein JSON ist, das als Datenfeld im XML übergeben wird, ist das kein Hexenwerk.
BTW: die 180 Tage Deferral verschieben deine Probleme nur um 180 Tage. Du musst es immer noch genauso testen, bauen und probieren.
Mit Windows baut man auf Treibsand, danke für die Warnungen.
Somit bleibt es aus meiner Sicht sinnvoll, die Dinge weiterhin mit den alten NT-Methoden zu betreiben und kontrollieren.
So wie es aussieht bewährt sich bei W11-24h2 folgendes weiter:
– domain user mit readonly serverprofile (oder local mit profilpfad)
– mandantory profile mit ntuser.man statt .dat welches nicht lokal gecached wird
– eigener launcher anstatt explorer.exe als shell
– watch-prozess für launcher, kindprozesse mit logout unter diversen bedingungen
– geblockte sperrbildschirm items (lock, taskmgr, changepwd)
Ist halt die Frage, wie lange es noch geht, oder ob das nächste Update so legacy Sachen wie mandatory profile nicht doch kaputt macht. Mandatory Profiles wurden, fand ich zumindest, von Windows 7 über Win 10 bis 1803 und ab Win10 1809 immer bescheidener einzurichten.
Hm, da ist meiner Einschätzung nach erstmal keine Gefahr in Sicht.
Du meinst vermutlich eher die Datenhaltung und den Funktionsumfang innerhalb eines Windows-Profils, was aufgeblähter ist?
Das ist meiner Beobachtung nach völlig irrelevant, wenn man sowieso kein Explorer-betriebenes Windows-Desktop zulässt.
Torture as a service – das funktioniert immer besser. ;-)
Ist der Kiosk Mode nicht schon seit längerem abgekündigt?
https://learn.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp
KioskModeApp
Note
This policy is deprecated and may be removed in a future release.
Also der KioskMode klang vielversprechend hat aber immer schon nur semi funktioniert, weshalb ich dann in meinen Projekten die Shell getauscht habe und den Rest über Skripte/Watchdogs gesteuert – der Nachteil ist halt das geht nur mit Enterprise/LTSC, Pro fällt da raus.
Aber den KIOSK fasse ich nicht mehr an sein Win10 1809