GPO – Autostart von Anwendungen nach dem Login

gpo autostart application 311

Es gibt natürlich auch Gerätegruppen auf denen man nach dem Login oder Autologin automatisch Anwendungen starten möchte. Eine Anwendungen wäre zum Beispiel Outlook oder Microsoft Teams auf den Office Computern, um den müden Nutzer morgen zwei Klicks sparen. Es gibt aber auch Anwendungsfälle in denen nach dem Autologin anstelle der Explorers der Google Chrome im Kioskmode mit einer URL gestartet werden soll. Diesen Anwendungsfall gibt es auf Windowsbasierten Kiosken, Werbetafeln, Kassen (POS: Point of Sale) oder Digital Signage Geräten.

Auf einem Windows Computer haben wir die folgenden Möglichkeiten für den Autostart von Anwendungen:

Userspezifisch

  • Startmenü: C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • Registry: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Computer allgemein / alle User

  • Startmenü: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.
  • Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Reg_SZ)

Hinweis: Übrigens sind das auch die Orte an denen sich Schadsoftware gerne einträgt 😉

Nebenbei gesagt, kann eine Anwendungen auch per Loginscript gestartet werden. Ist aber etwas Old School….

Wir können also entweder Shortcuts für den Autostart in den beiden StartUp Verzeichnissen ablegen oder in der Registry in dem entsprechenden RUN Ordner Registryeinträge mit den Aufrufen über GPO setzen. Wann man was macht, hängt natürlich auch von der Anwendungen ab. Ich bevorzuge die Registry inkl. Verteilungen der Einstellungen per Gruppenrichtlinie.

Autostart der Anwendung über die GPO in die Registry

Wir erstellen uns wieder ein GPO namens „autostart Google Chrome Kioskmode“, editieren diese und gehen zu „User Configuration > Preferences > Windows Settings > Registry“

Folgende Einstellungen nehmt ihr vor:

  • Action „Replace“, damit der Eintrag entfernt wird sobald die GPO mal gelöscht werden sollte
  • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Value Name: start GOOGLE Chrome KIOSKmode
  • Value Type: Reg_SZ
  • Value data: „C:\Program Files\Google\Chrome\Application\chrome.exe“ –start-fullscreen -kiosk –overscroll-history-navigation=0 https://www.google.de
  • Wählt ihr bei Hive „KEY_CURRENT_USER“ aus, wird der Google Chrome Browser nur unter den ausgewählten Nutzern gestartet. Zum Beispiel „service.signage“ oder wenn der AD-Nutzer „service.signage“ bei „Security Filtering“ der GPO anstelle von standard „authenticated Users“ steht.
  • Wählt ihr bei Hive „HKEY_LOCAL_MACHINE“ aus, wird der Google Chrome Browser unter jedem Nutzer der sich anmeldet gestartet.

Ein Test darf natürlich nicht fehlen.

Ich starte die Maschine neu und der AD-Nutzer „service.signage“ meldet sich automatisch an (GPO: „set Autologin user service.signage“) und startet im Anschluss den Google Chrome Browser im Fullscreen und Kioskmode mit eingestellter URL. Fantastisch. Wenn ihr auf der Maschine die Registry öffnet und nach HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wechselt, ist der Eintrag wie in der GPO eingestellt zu finden.

Anwendungsfall: KIOSK – restriktive Umgebung

Die zuvor gezeigte Lösung startet nur den Google Chrome Browser automatisch im Vollbildmodus. Auf den ersten BLick scheint es sicher zu sein, doch was passiert wenn der Browser abstürzt oder über den Taskmanager oder ALT+F4 geschlossen wird? Der Rechner ist offen und so kann quasi jeder Anwender unauthorisiert frei auf dem System bewegen und Dinge verstellen. In restriktiven, öffentlichen Umgebungen reicht der Start des Browsers natürlich nicht aus! Da muss man sich schon etwas mehr anstrengen den KIOSK sicher zu machen und vor unberechtigter Manipulation zu schützen.

Das heißt z.B. in der Registry den Schlüssel: „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit“ leeren oder darin den Google.exe Aufruf anstelle der „C:\Windows\system32\userinit.exe,“ zu platzieren. Dann würde nämlich kein Explorer (keine Taskleiste, kein Desktop etc.) mehr gestartet werden.

korrekte Einstellungen für Userinit (der Teufel steckt im Detail)

  • HIVE: HKEY_LOCAL_MACHINE
  • Key Path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Value Name: Userinit
  • Value Type: Reg_sz
  • Value data: C:\Program Files\Google\Chrome\Application\chrome.exe –start-fullscreen -kiosk –overscroll-history-navigation=0 https://www.google.de

Des Weiteren sollte man noch

  • alle Anwendungen verbieten, außer Google.exe und weitere wie taskmgr.exe, gpupdate.exe, shutdown.exe
  • zusätzlich den Zugang zur Systemsteuerung verbieten
  • STRG+ALT+ENTF Optionen entfernen wir Computer sperren, Kennwort ändern
  • den Shutdown verbieten
  • Hotkeys, Hilfe und das OnScreenKeyboard (osk.exe) deaktivieren
  • Powerplan auf High setzen
  • Bildschirm automatisch sperren entfernen

Natürlich geht das alles auch alles via GPO und ich zeige euch gleich wie es klappt.

Als erstes „disablen“ wir die zuvor erstellte GPO namens „autostart Google Chrome Kioskmode“ und erstellen wieder eine neue GPO namens „restrictive KIOSKMODE with Chrome Autostart“, edit. Das ist wirklich das Minimum an Einstellungen! Wenn ihr euch einmal durch alle möglichen Optionen klickt, werdet ihr sicherlich noch die Eine oder Andere interessante Einstellung finden.

weitere Beiträge über Gruppenrichtlinien (GPO’s), Autostart und Co.