[English]Ich stelle mal einen Sachverhalt für Administratoren von Windows-Clients zur Diskussion, auf die mich ein Leser aufmerksam gemacht hat. Seit "einigen Wochen" scheinen Gruppenrichtlinien, über die sich Vorgaben für Datentypen-Verknüpfungen setzen lassen, nicht mehr zu funktionieren.
Der Hintergrund, um was es geht
Unter Windows lässt sich ja jedem Dateityp eine Anwendung zuordnen, die beim Doppelklick auf die betreffenden Dateien zu öffnen ist. So ist es möglich, beispielsweise Word-Dateien (.docx) per Doppelklick in Word zu öffnen. Textdateien werden im Windows-Editor Notepad geöffnet, .exe-Dateien sind auszuführen und so weiter.
In der Vergangenheit war es häufig ein Krampf, dass die Zuordnung der Datennamenerweiterung zu Anwendungen in Windows 10 und Windows 11 nicht mehr wirklich funktionierte. Eine Anwendung änderte die Dateitypenzuordnung bei der Installation, und man konnte als Anwender oft nur hilflos zuschauen, weil sich das kaum zurücknehmen ließ (siehe auch meine Artikellinks am Beitragsende). Etwas ähnliches gibt es auch für Protokolle, um Webseiten (.htm, .html, .hta) oder E-Mails zu öffnen. So lange ich zurück denken kann, gibt es bei Windows immer wieder Probleme mit diesen Zuordnungen.
Administratoren in Unternehmensumgebungen hatten bisher die Möglichkeit, Dateitypenzuordnungen für Anwendungen für die Benutzer vorzugeben. Microsoft hat 2020 den Techcommunity-Artikel How to configure file associations for IT Pros mit einigen Hinweisen veröffentlicht. Es braucht, soweit ich es verstanden habe, ab Windows 10 XML-Dateien, um die Zuordnungen per Gruppenrichtlinien zuzuordnen. Dies ermöglicht auch, Vorgaben von Windows per GPO zurück zu drehen.
GPOs mit Nutzerpräferenzen kaputt?
Ende Juli hat mich Blog-Leser Markus K. per Mail mit dem Titel " user preference open with broken?" auf ein Problem hingewiesen. Mit dem Satz "da dürfte es was haben" schreibt er, dass die IT in seinem Bereich mehrere Extensions (Dateinamenerweiterungen in Windows) umgebogen habe.
Bis vor ca. 2 Monaten habe das auch wunderbar funktioniert (mit Ausnahmen im item-level-targeting). Seit Juli 2025 klappt das Zurücknehmen von Dateinamenzuweisungen per GPO in Windows nicht mehr, so der Leser. "Die benötigte Software steht", war seine Aussage und er schrieb: "Eine Policy die das umkehrt wäre mehr als unangenehm." Ihm ist das erstmals unter Windows 11 23H2 aufgefallen.
Markus K. hat den Sachverhalt Ende Juli 2025 auf patchmanagement.org im Beitrag user preference open with broken? zur Diskussion gestellt und schreibt dort: "We discovered the GPO does not revert any more opening for example .bat with notepad. It worked fine a few month ago. We have great software wich needs .bat to be executable on a few computers therefore we made a targeting. Seems to broken all together. Can someone confirm?"
Ein weitere Nutzer wollte diesen Effekt nicht bestätigen und schreibt, dass nach seiner (begrenzten) Erfahrung der Versuch, die Dateizuordnungen unter Windows 11 zu kontrollieren, bestenfalls "unzuverlässig" sei. Es gibt aber einen Nutzer, der schreibt, dass diese Zuweisung per GPO nicht mehr funktioniere, es sei denn, man die Datei ucpd.sys deaktiviert. Diese Datei verhindert das Ändern der Zuweisung von Standardprogrammen per Script (siehe diesen deskmodder.de-Beitrag). Noch jemand aus der Leserschaft, der von diesem Problem betroffen ist?
Ergänzung: Markus hat sich eben per Mail gemeldet und auf den Artikel reagiert. Er schrieb, dass er dazu Rückmeldung auf der NTSysadmin-Liste erhalten habe, wo der Effekt bestätigt wurde. Microsoft sagt dazu allerdings "Works as designed". Die pragmatische Lösung, die Markus vorschlägt: "Wenn du .cmd zum Notepad umbiegst, dann biegst du .cmd halt wieder zu cmd.exe um. Eigentlich sollte das Ganze ja wieder auf default zurück gehen, wenn man remove…. anhakt und die Preference auf replace steht. Aber was solls."
Ähnliche Artikel:
Windows 10 V1803: Dateitypen-Zuordnung kaputt?
Windows 10: Neues zur kaputten Dateitypen-Zuordnung
Werkzeuge zur Verwaltung der Dateitypenregistrierung
Registrierungseinträge für Dateitypen
Werkzeuge zur Verwaltung der Dateitypen II
Dateitypen falsch registriert
Zerschießt FoxIt-Reader 3.1 die Windows 7-Dateitypenregistrierung?
Will Google die Auswahl des Chrome-Browsers als Standard-Browser in Windows 10/11 vereinfachen?
MVP: 2013 – 2016
Das mit den Gruppenrichtlinien nutzen wir nicht, aber wir haben hier seit ungefähr dem gleichen Zeitraum Nutzerbeschwerden, dass die Zuordnung sich verstellt unter Win11.
Bei uns ist es auf einem Terminalserver so, dass dort eigentlich der Adobe Acrobat Reader als Standard für PDFs eingestellt ist. Sobald ich aber "öffnen mit" bei einer PDF wähle und dort dann etwas anderes nutzen möchte (z.B. PDF24) es dazu kommt, dass sich erstens das PDF in PDF24 öffnet und gleichzeitig aber auch PDF24 nun als Standard für PDFs einnistet. Das obwohl ich nicht extra den Haken gesetzt habe beim Feld zum Einstellen als Standardanwendung. Im Endeffekt führt "öffnen mit" also automatisch dazu, dass sich die Standardanwendung ändert. Sobald ich dann explizit für meine derzeitige Sitzung wieder in den Einstellungen, oder mit dem Haken den Adobe Acrobat Reader als Standard setzte bleibt er es aber auch endlich bis zum Ende meiner Sitzung.
Bei einer Neuanmeldung geht das Spiel dann aber wieder von vorne los… Ich habe dann probiert über die erwähnte FileAssociations XML-Datei den Standard für PDFs zu setzen, aber sie greift halt leider nicht. Das Problem taucht bei uns zumindest auf dem Server auch nur mit dem Dateityp PDF auf.
seit März 2024 blockiert der UCPD Driver die Manipulation (User choise protection driver)
dienst und task(!) müssen deaktiviert werden
https://hitco.at/blog/windows-userchoice-protection-driver-ucpd/
Es erscheint mir schleierhaft, warum MS extra einen Dienst aufsetzt. ACL auf die betroffenen Reg Keys hätten es doch auch getan oder? Warum extra einen Dienst?
Macht es SFTA eigentlich noch? Mir fehlt gerade ein Server zum ausprobieren:
https://github.com/DanysysTeam/PS-SFTA
Bauchgefühl, ungetestet: das Tool wird dasselbe Problem haben wie setuserfta in der alten 1.7 Version.
ACL ist an der Stelle der falsche Gedanke. Bei der Manipulation des Startmenüs und der Dateizuordnung ging es immer um Malware Schutz.
der User darf es ändern, soll es auch ändern können. deswegen wird ein hashwert dazu gebaut, der bestätigt, das die Wahl gewollt geklickt wurde.
eine Malware, leider auch die GPO ändern dem Wert ohne Zustimmung des Users, das sollte verhindert werden. aus demselben Grund werden auch keine ausführbaren Dateien mehr im Startmenü angezeigt: Malware Schutz.
das klassische Startmenü, war zu leicht zu manipulieren. an jede .lnk Mal eben ein http://asktoolbar anhängen war zu leicht.
Mir liegt auf der Zunge, was ist mit .pif ;-)
Startmenüs sperren wegen Malwareschutz? Dann liegt das Kind schon im Brunnen wenn da Verknüpfungen umgebogen sind.
Meine Startmenüs sind immer ausgeblendet bzw. das Startmenü mit Kacheln fest per XML vorgegeben. Da verschiebt oder ändert ein Anwender genau nichts. Warum? Niemand kann Apps installieren oder entfernen.
Seit gefühlt schon Jahrzehnten, damit Anwendungen immer am gleichen Ort zu finden sind. Ist besser für jede Art von Dokumentation und Einweisung und Administration bei einer Vielzahl von Arbeitsplätzen.
Die Kreativität der Anwender kennt da keine Grenzen…
remember asktoolbar …
ansonsten, es ist mein(!) Arbeitsplatz. du darfst mir einen Vorschlag machen, aber ansonsten Finger weg. jeder User kann und darf sich die eigene Desktop/Umgebung selbst gestalten.
2005 und XP sind vorbei. Windows 10 (1507) hat als Voraussetzung einen mündigen Anwender, der mit dem Gerät umgehen kann. kann er es nicht ist es dein Fehler, schule den Anwender, das will aber keiner machen.
"Es war einmal …" hat NICHT erst mit Windows 10 angefangen!
Mit Windows 2000 hat M$FT den vom jeweiligen Benutzer änderbaren Registry-Zweig HKEY_CURRENT_USER\Classes über den nur vom Administrator änderbaren Registry-Zweig HKEY_CURRENT_MACHINE\Classes gelegt (siehe https://msdn.microsoft.com/en-us/library/ms724498.aspx "Merged View of HKEY_CLASSES_ROOT") — jeder Benutzer kann seitdem nicht nur die Verknüpfungen von Dateiendungen mit Dateitypen mit Kommandozeilen für sein Benutzerkonto selbst festlegen.
Ebenso hat seit dem letzten Jahrtausend jeder Benutzer (s)einen eigenen Registry-Zweig HKEY_CURRENT_USER\Clients, unter dem er seinen WWW-Browser, seinen E-Mail-Client, seinen Usenet-NUA, sein Kalenderprogramm, sein Addressbuch etc. unabhängig von anderen Benutzern festlegen kann.
Mit Windows XP hat M$FT zusätzlich noch HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\ eingeführt, wo der Explorer die Verknüpfungen von Endungen mit Typen speichert.
Da könnte man sich wunderbar streiten… oder auch sein lassen… aber ich habe früher die Pimpenellen in Kombination mit Augenkrebs bekommen, wenn ich an so manche kreative Ergüsse an selbst gestalteten Desktops denke, mit rot-grün Komplementärkontrasten, eigenen Icons für Programme, völlig anderen Positionen und vor allem an allen Rändern verteilten Toolleisten kam. Wenn Du wissen willst, zu was Menschen in der Lage sind, dann schaue auf selbst gestaltete Desktops, mit Icons übervollen Desktops, wo vor lauter Icons des Desktop selbst kaum noch sichtbar ist.
Und von der Sorte gab es etliche. Ist fast so wie Anfang der 90er, als die ersten in Win3 begannen mit unterscheidlichen Fonts zu arbeiten. Wo auf einer A4 Seite sage und schreibe 10 Fonts in unterschiedlichen Größen, Fett, Kursiv und Unterstrichen vorkamen und die Menschen das auch mit einer Inbrunst an Stolz präsentierten.
Wo war ich? Desktops… seitdem sind UI und Desktops bei mit fest im Corporate Design vorgegeben und unveränderlich eingestellt. Damit alle sich sofort an jedem Arbeitsplatz orientieren können, und am meisten der Admin.
> remember asktoolbar …
Ich hatte die IE4/5/6 Sicherheitszonen bereits zu NT4 Zeiten sehr früh schon dicht eingestellt und nur einzelnen Seiten/Domänen den Zugang gewährt. Nein, mit ungefragt untergeschobenen Toolleisten hatte ich nie Probleme. Davor habe ich Netscape 3/4, danach nur noch Firefox. Ab 2007 gar kein Windows mehr…
> es ist mein(!) Arbeitsplatz.
Es ist der Arbeitsplatz Deines Arbeitgebers, den er Dir diesen zur Verfügung stellt. Ein kleiner aber sehr feiner Unterschied. Daher sage ich auch jedem: Klickt auf alle Anlagen, selbst wenn eine angebliche Telekom-Rechnung noch so creepy und spooky aussieht. Die ganzen Mails von diversen Portalen und Anbietern sind mittlerweile alle so, abgeschickt von unbekannten Dritten, die meist mit einer Anbieterdomain nichts zu tun haben, selbst von Power-Usern kaum noch vom Original zu unterscheiden.
Denn Euer Arbeitgeber ist für die Arbeitsplatzsicherheit verantwortlich. Und wenn der berühmte Mausklick auf eine Email-Anlage die komplette IT Infrastruktur abfackelt, dann stimmt was mit der Infrastruktur nicht. Es ist die Schuld des Arbeitgebers, nicht des armen Schluckers von Mitarbeiter.
Aber ich schweife ab….
Mark Heitbrink hat Recht. Artikel bei Gunnar bis zum Ende lesen und dann "Alles" durchführen.
Dette-54
Für die Betroffenen lohnt sich hier (https://setuserfta.com/) evtl. der Einwurf von Münzen.
dienst und task abschalten und alles ist wie immer … dann geht auch die alte 1.7 Version, wenn man sie noch hat/findet
.bat auf Notepad ändern, damit die Scripte nicht ausgeführt werden? Interessante Lösung! Brauchen die Benutzer die Eingabeaufforderung für was anderes? Wenn nicht, einfach das Öffnen der CMD.exe verhindern, dazu gibts innerhalb des Explorers eine User-GPO und es gibt Applocker.
und was ist mit .cmd? oder .com?
Siehe https://skanthak.hier-im-netz.de/blunder.html#blunder 74 sowie https://skanthak.hier-im-netz.de/blunder.html#blunder 79 für die ABGRÜNDE der Funktionen CreateProcess*() und ShellExecute*() des Win32-API!
;-)