Verknüpfte Microsoft-Konten in Windows 8 mit GPOs verwalten

    Synchronisierung von Einstellungen in Windows 8 mit Microsoft-KontoEine wesentliche Neuerung von Windows 8 besteht darin, dass man sich mit einem Microsoft-Konto (Live-ID) am System anmelden kann. Damit kommt man in den Genuss von Cloud-Diensten, über die man Einstellungen und Daten zwischen verschiedenen Geräten synchronisieren kann. Dieses Feature kann man im professionellen Umfeld durch Gruppen­richt­linien einschränken oder ganz deaktivieren.

    Wenn man Windows 8 installiert, dann bietet das Setup standardmäßig die Anmeldung über ein Microsoft-Konto an. Das Anlegen eines lokalen Accounts ist nur eine weitere Option, wenn man die Live-ID nicht verwenden möchte. Grundsätzlich reicht somit ein Microsoft-Konto alleine für die Nutzung von Windows 8 aus. Das gilt auch für das Arbeiten ohne Netzverbindung, weil das Betriebssystem die Benutzer wie bei Domänenkonten auch lokal authentifizieren kann.

    Domänen-User mit Microsoft-Konten verknüpfen

    Damit Anwender, die ein lokales Konto verwenden oder Mitglied einer Domäne sind, nicht auf die Cloud-Dienste von Windows 8 verzichten müssen, lassen sich solche Accounts mit einer Live-ID verknüpfen. Die Anmeldung erfolgt dann weiterhin an der Domäne, aber der User kann trotzdem den Windows Store nutzen und Daten zwischen PCs synchronisieren. Unter Windows 8.1 scheint zudem SkyDrive direkt im Explorer als weiterer Speicherort auf.

    Viele Unternehmen werden es aber nicht gerne sehen, dass ihre Windows-PCs ständig in Verbindung mit der Microsoft-Cloud stehen. Auf Einzelplatz-PCs kann man in diesem Fall die Verknüpfung zwischen lokalen Konten und der Live-ID über die App PC-Einstellungen lösen. Sie findet sich in der rechten Charms-Leiste unter Einstellungen, das Management der Konten erfolgt in der App unter dem Menüpunkt Benutzer.

    Die Verknüpfung eines Domänen-Accounts mit einem Microsoft-Konto erfolgt über die App PC-Einstellungen.

    Wenn man ein lokales bzw. ein Domänenkonto mit einem Microsoft-Konto verknüpft, dann kann man bei dieser Gelegenheit die Synchroni­sierungs­ein­stellungen konfigurieren. Nachträglich verändert man sie in der App für PC-Einstellungen unter Einstellungen synchronisieren.

    Microsoft-Konten über GPOs blockieren

    Für zentral verwaltete Umgebung stehen mehrere neue Richtlinien zur Verfügung, um verknüpfte Konten zu steuern oder die Synchronisierung zu unterbinden. Wer generell die Nutzung von Microsoft-Konten unterbinden möchte, kann dies über die Einstellung unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen tun. Dort findet sich der Eintrag Konten: Microsoft-Konten blockieren.

    Die Nutzung von Microsoft-Konten lässt sich über ein GPO komplett unterbinden.

    Die Einstellung kennt zwei Werte: Benutzer können keine Microsoft-Konten hinzufügen sowie Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden. In beiden Fällen wird verhindert, dass User ihr Domänenkonto mit einer Live-ID verknüpfen. Die zweite Option bewirkt darüber hinaus, dass man sich über bereits eingebundene Microsoft-Konten nicht mehr am System anmelden kann.

    Konfiguration der Synchronisierung

    Möchte man Microsoft-Konten nicht komplett deaktivieren und nur einzelne Cloud-Features kontrollieren, dann stehen dafür separate Einstellungen zur Verfügung. Sie finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Einstellungen synchronisieren.

    Für die Sync-Konfiguration mittels GPO stehen die meisten Einstellungen aus der App zur Verfügung.

    Die Liste entspricht weitgehend jener, die in der App PC-Einstellungen unter Einstellungen synchronisieren angezeigt werden. Wie von Desktop-Anwendungen gewohnt, führt das Deaktivieren von einzelnen Sync-Optionen auch in der App für PC-Einstellungen dazu, dass sich die entsprechenden Schalter nicht mehr bedienen lassen.

    Synchronisierung abschalten

    In den Gruppenrichtlinien findet sich keine Entsprechung zur App bei der Synchronisierung von Spracheinstellungen und Erleichterte Bedienung. Dafür gibt es einen Eintrag, mit dem sich die Synchronisierung komplett deaktivieren lässt. Bei der interaktiven Konfiguration über die App müsste man dafür alle Schalter einzeln auf Aus stellen.

    Die App bietet eine bessere Beschreibung der Sync-Optionen als der GPO-Editor.

    Leider ist die Beschreibung der einzelnen Sync-Optionen im GPO-Editor alles andere als aufschlussreich, so dass man nicht im Detail erfährt, welche Einstellungen oder Passwörter in die Cloud übertragen werden. Besser ist hier die Erläuterung der Funktionen in der App, wobei dort die knappen Beschreibungen identisch sind mit jenen in dieser TechNet-Übersicht über die Synchronisierungs­funktion.

    Einstellungen aus der Cloud entfernen

    Wenn eine restriktivere Politik erst nachträglich beschlossen wird und die Benutzer bereits Daten in die Cloud synchronisiert haben, dann können sie diese nach dem Blockieren von Microsoft-Konten manuell aus der Cloud löschen. Microsoft hat eigens zu diesem Zweck diese Website eingerichtet.

    3 Kommentare

    Bild von WoRie
    WoRie sagt:
    24. November 2013 - 21:56

    Hallo,

    vielen Dank für diese tollen Infos.

    Ich habe gerade meinen WHS2011 durch einen WS2012R2 Essentials abgelöst. Nachdem ich nun ungefähr alle PCs noch einmal neu einrichten durfte, da ich jetzt zwangsweise eine Domäne installieren musste, kann ich leider nicht alle Einstellungen mit meinem Live Account Synchronisieren.

    Der Bereich "Einstellungen sichern" ist deaktiviert, da ich mit einem Domänenkonto angemeldet bin. Das setzen der GPO auf dem Server und "gpupdate /force" bringt leider keine Abhilfe. Haben Sie noch eine Idee, was ich hier probieren könnte?

    Mfg

    Bild von Hartmut
    Hartmut sagt:
    12. Februar 2014 - 9:59

    Hallo,

    Danke für die Infos.

    Ich habe noch folgende Frage zur Blockierung der Microsoft Konten mittels GPOs.
    Funktioniert die Blockierung auch mit einem DC Server 2008 Standard?
    Wenn ja, wo finde ich, oder wie komme ich zu den entsprechenden Einstellungen.

    Mit freundlichen Grüssen

    Hartmut

    Bild von Wolfgang Sommergut
    12. Februar 2014 - 11:00

    Ja, das geht, man muss halt die neuesten ADMX-Vorlagen verwenden. Siehe dazu meinen Beitrag zur Verwaltung von GPOs für Windows 8 unter Windows 7.