Setup von Windows 10: OOBE-Dialoge für Privatsphäre, Sprache und User-Konto überspringen mit Antwortdatei

Startet man ein frisch instal­liertes Windows 10 zum ersten Mal, sei es zum Ab­schluss des Setup oder ein vor­installiertes OS, dann bootet es in die Out-of-Box-Experience (OOBE). Dabei müssen die Benutzer mehrere Einstel­lungen konfi­gurieren. Von dieser Aufgabe kann man sie mit einer Antwort­datei befreien.

OOBE ist die letzte von mehreren Phasen, die Windows bei seiner Installation durchläuft - es sei denn man bootet das System in den Audit Mode. Dabei zeigt es im interaktiven Modus eine ganze Reihe von Dialogen, durch die sich der User arbeiten muss.

Mit Windows 10 sind zahlreiche Einstellungen hinzugekommen, allen voran jene für die Privatsphäre. Ein Stolperstein ist die Einrichtung eines Kontos, wobei Microsoft das Erzeugen von lokalen Accounts zum Versteckspiel macht und obendrein das Beantworten von drei Sicherheits­fragen erzwingt.

Diese Aufgabe ist nicht nur mühselig, sondern kann technisch weniger versierte User auch überfordern. Aber auch Administratoren oder fort­geschrittene Benutzer, die regelmäßig neue virtuelle Maschinen mit Windows 10 anlegen, werden gerne auf diese wieder­kehrende Tätigkeit verzichten.

Die Lösung dafür ist eine Antwortdatei für die unbeaufsichtigte Installation. Wenn man möchte, dann kann eine solche Datei das Setup von Windows 10 schon in früheren Phasen automatisieren, zum Beispiel den Beitritt zu einer Domäne während des Specialize-Abschnitts.

Neue Antwortdatei erstellen

Um eine Antwortdatei zu erzeugen, benötigt man den Windows System Image Manager (Windows SIM). Das Tool ist Bestandteil des Assessment and Deployment Toolkit (ADK). Damit es die benötigten Einstellungen anzeigt, öffnet man im ersten Schritt ein Installations­abbild, typischer­weise die install.wim von Microsofts ISO-Datei.

Dieses sollte der Architektur der Windows-Version (32- oder 64-Bit) entsprechen, auf die man die Antwort­datei anwenden möchte. Anschließend zieht man mit der Maus die Einträge

amd64_Microsoft-Windows-International-Core_10.0.<Build-Nummer>_neutral

amd64_Microsoft-Windows-Shell-Setup_10.0.<Build-Nummer>_neutral

vom Fenster links unten auf 7 oobeSystem im mittleren Fenster (Vorsicht, es gibt diese Container auch mit dem Präfix wow64! Für das 32-Bit-OS beginnen die Namen mit x86).

Nun erscheint an dieser Stelle die Baumansicht mit allen darin enthaltenen Einstellungen.

Einstellungen für Sprache und Region

Während der OOBE-Phase fragt das Setup die gewünschte Landessprache, das Tastatur-Layout oder die Region ab, um etwa das Zeitformat festzulegen. Diese Dialoge kann man überspringen, indem man die jeweiligen Werte via Antwortdatei übermittelt.

Die betreffenden Einstellungen finden sich in der Komponente Microsoft-Windows-International-Core und heißen:

• InputLocale (Sprache für Eingabegeräte, Tastatur-Layout)
• SystemLocale (Standardsprache für Nicht-Unicode-Programme)
• UserLocale (bestimmt die Formatierung von Zeit, Datum, Währungen und Zahlen pro User)
• UILanguage (Sprache der grafischen Oberfläche)

Alle Einstellungen kann man nach RFC 3066 spezifizieren, also etwa de-DE für Deutschland oder en-US für die USA. InputLocale akzeptiert auch hexadezimale Werte, eine Liste aller Codes findet sich auf Microsoft Docs. Hier kann man auch mehrere Werte, getrennt durch Semikolon, eingeben.

Dialoge für EULA und Benutzerkonten

Dafür wechselt man zum Abschnitt OOBE, wo man die diversen Dialoge während der Installation ausblenden kann. Diesem Zweck dienen:

• HideEULAPage
• HideOEMRegistrationScreen
• HideWirelessSetupInOOBE
• HideOnlineAccountScreens
• HideLocalAccountScreen

Sie alle setzt man auf den Wert true. Die erste Option überspringt die Bestätigung der Lizenz­bedingungen, die beiden letzten die Dialoge zum Erstellen eines Kontos (online und lokal).

Einstellungen für die Privatsphäre

Die Konfiguration von Einstellungen zur Privatsphäre, darunter welche Daten an Microsoft gesendet werden oder ob Anwendungen auf den Standort des Benutzers zugreifen dürfen, kann man überspringen, indem man ProtectYourPC den Wert 3 zuweist.

Wie man nach dem Abschluss des Windows-10-Setup feststellen kann, werden auf diesem Weg die Online-Spracherkennung sowie die Verwendung der Werbe-ID und des Standorts deaktiviert, außerdem steht der Umfang der versendeten Diagnosedaten auf Standard.

Möchte man diese Einstellungen künftig zentral verwalten, dann kann man das über die Gruppenrichtlinien tun.

Lokales Konto anlegen

Wenn man die Dialoge zum Anlegen von Benutzer­konten ausgeblendet hat, wird man zumindest eines davon über die Antwortdatei anlegen. Andernfalls existieren sonst auf dem Rechner nur der deaktivierte Administrator und einige Systemkonten.

Dies kann man unter User Accounts erledigen, beispielsweise erstellt man lokale Konten unter LocalAccounts. Dabei besteht auch die Möglichkeit gleich das Passwort zu hinterlegen. Handelt es sich um ein Mitglied der Gruppe Administratoren, dann empfiehlt es sich, das Kennwort anschließend zentral über LAPS zu verwalten.

Weitere Einstellungen

Unter Microsoft-Windows-Shell-Setup finden sich noch weitere Optionen, die für die OOBE-Automa­tisierung interessant sein können. Allerdings wird der Benutzer mit diesen während des Setups nicht behelligt, aber man kann damit einen zusätzlichen Nutzen erzielen, wenn man schon eine Antwort­datei erstellt.

Dazu zählen etwa die Pfade für das Programme-Verzeichnis und die Benutzer­profile. Außerdem kann man unter DesktopOptimization dafür sorgen, dass Store Apps nicht auf der Task-Leiste erscheinen.

Hinzu kommt die Möglichkeit, die Anzeige anzupassen (Auflösung, Farbtiefe, etc.) oder bis zu fünf Programme an die Taskleiste anzuheften (Option TaskbarLinks).

Antwortdatei an Image zuweisen

Microsoft bietet mehrere Möglichkeiten, einem Image für die unbeaufsichtigte Installation eine Antwortdatei zuzuteilen. So kann man diese beispielsweise auch auf einem USB-Stick bereitstellen.

In den meisten Fällen wird man sie aber in das Systemabbild integrieren, wobei das Setup auch hier mehrere Verzeichnisse zur Auswahl lässt. In Frage kommen hier etwa %SystemRoot%\system32\panther oder das Wurzel­verzeichnis des Systemlaufwerks.

Unabhängig davon, für welche Variante man sich entscheidet, sollte man die Datei unter dem Namen unattend.xml speichern.

Verwendet man für die Installation von Windows 10 ein angepasstes Image, dann kann man die betreffende WIM-Datei mit DISM mounten und die Antwortdatei in das Panther-Verzeichnis kopieren:

Dism /Mount-Image /ImageFile:"C:\wim\Custom.wim" /Index:1 /MountDir:C:\mount Copy unattend.xml C:\mount\Windows\Panther Dism /Unmount-Image /MountDir:C:\mount /Commit

Wenn man Windows 10 als Gast-OS für eine VM einrichten möchte und dafür Convert-WIM2VHD verwendet, dann kann man die Antwortdatei an das Script mit dem Parameter /unattend übergeben:

Convert-WIM2VHD -Path .\win10-1909.vhdx -SourcePath .\install.wim -index 3 -Size 40GB -DiskLayout UEFI -Dynamic -unattend .\unattend.xml

Dieses Kommando installiert Windows 10 ohne weitere Nachfragen in eine VHDX und kopiert dabei unattend.xml in das Wurzelverzeichnis von C:.

Nach dem Anhängen der virtuellen Festplatte an eine VM kann man diese direkt zum Logon booten, ohne sich durch die OOBE-Dialoge arbeiten zu müssen.