Windows Gerätebindung an Unternehmen trotz Neuinstallation - kein neuer Benutzer möglich

[Mr. Natural]

Moin zusammen,

ich hatte innerhalb weniger Tage schon 2x das seltsame und mir vollkommen neue Phänomen, dass sich auf einer gebrauchten, mit einer Werksinstallation bespielten Maschine bei der Erstinbetriebnahme kein Benutzerkonto anlegen lässt. Es wird stattdessen ein Unternehmenskonto abgefragt - quasi wie ein Branding.

Da steht dann nur:

Willkommen bei [Unternehmen]!​

Geben Sie Ihre [Unternehmen]-E-Mail-Adresse ein​

Dann ein einzeiliges Eingabefeld und darunter ein unternehmensspezifischer Hilfetext.

Das ganze passiert mit allen mir zur Verfügung stehenden Werks-Images und auch mit einem Clean Install von Win10 und Win11 gleichermaßen. Wo sind denn solche Informationen abgelegt und wie werde ich die los?

Nachtrag: Wenn ich ein fertig installiertes Windows drauf klone, läuft das Gerät völlig normal und aktiviert sich auch.

Für einen Tipp wäre ich dankbar.


Viele Grüße, Matt

 

[zwieblum]

Vermute mal, du hast versucht den User mit einer bestehenden Netzanbindung einzurichten, oder?

 

[Mr. Natural]

Ja... Das ist so. Denn das wird der Endkunde ja auch machen... Und bei den neuesten Versionen geht es auch gar nicht mehr ohne - zumindest nicht ohne größere Verrenkungen...

 

[qwali]

Dreiste Frage - aber bist du dir sicher das wirklich das von dir gewünschte Image aufgespielt wurde? Lenovo bietet seit einer Weile eine Bootoption bei der ein vom (Firmen)Kunden hinterlegtes Image auf die Geräte aufgespielt wird - direkt aus dem Netz ohne nötiges Bootmedium.
Dies passiert automatisch wenn man nicht aufpasst, da der Laptop zweimal neu bootet wenn man versucht Windows per Image aufzuspielen - dabei muss das Bootmedium manuell gewählt werden.

Das erklärt natürlich nicht, warum dein Gerät in Datenbank für den jeweiligen Kunden hinterlegt ist - vermutlich eine stornierte Bestellung?

Auf alle Fälle würde ich diese Geräte so nicht akzeptieren, da dies auch tiefgreifende Änderungen in BIOS/UEFI und das Betriebssystem von außen zulässt - vergleichbar eines MDM.

 

[psx]

Vermute, daß die Ursache dieses Zero-Touch Deployment ist, siehe Autopilot-Flyer.

 

[Mr. Natural]

Ich habe die Images getestet, die ich seit Jahr und Tag auf alle meine Maschinen aufspiele und die nie derartige Probleme verursacht haben. Ich kenne dieses Verhalten erst seit genau 3 Tagen. Die Abfrage kommt direkt nach dem Bespielen mit dem Image und dem darauf folgenden Neustart. Zeit, ein ganzes Image nachzuladen, bleibt da m.E. nicht.

Dieses konkrete Gerät hier kommt aus einer vertrauenswürdigen Quelle

Beitrag automatisch zusammengeführt: 5 März 2022

Dies passiert automatisch wenn man nicht aufpasst, da der Laptop zweimal neu bootet wenn man versucht Windows per Image aufzuspielen - dabei muss das Bootmedium manuell gewählt werden.

Das muss dann ja im BIOS irgendwo eingestellt sein, weil auf der Platte kann das nach dem Imagen ja nicht mehr vorhanden sein. Es ist übrigens ein L490.

 

[LZ_]

wireshark ist dein Freund!

 

[Albic]

Die Infos bekommt das Gerät automatisch übers Internet beim Setup. "Unternehmen" hat es für sich noch in Intune für Autopilot registriert.
Das wirst du nur los wenn "Unternehmen" es dort entfernt.

 

[LZ_]

slmgr /dlv
gib das mal in der Konsole ein

 

[Mr. Natural]

slmgr /dlv
gib das mal in der Konsole ein

Hab ich... Was soll ich da sehen? Ich war da noch nie...

 

[B$TIStalin]

Die Infos bekommt das Gerät automatisch übers Internet beim Setup. "Unternehmen" hat es für sich noch in Intune für Autopilot registriert.
Das wirst du nur los wenn "Unternehmen" es dort entfernt.

so lang das Gerät mit der Serialnummer noch als Unternehmensgerät eingetragen ist wird es sich auch immer das Unternehmens Image ziehen

 

[Mr. Natural]

Danke für Eure Infos... Für einen Admin ist das wahrscheinlich toll, aber für mich als Wiederverkäufer...

 

[ggrohmann]

Danke für Eure Infos... Für einen Admin ist das wahrscheinlich toll, aber für mich als Wiederverkäufer...

Neine für eine Admin ist das nicht toll. Das ist toll für UNternehmen, die sich die Admins sparen (und durch MC*-Hilfskräfte ersetzen) wollen.

Guido
*Microsoft Certified

 

[Mr. Natural]

Neine für eine Admin ist das nicht toll. Das ist toll für UNternehmen, die sich die Admins sparen (und durch MC*-Hilfskräfte ersetzen) wollen.

Guido
*Microsoft Certified

OK, auch eine Sichtweise, die sich mir bisher nicht erschlossen hat. Guter Einwand.

 

[psx]

In diesem Artikel wurde der Account-Disconnect am Client vorgenommen und
hat sich auf Intune und Azure Active Directory (AAD) entsprechend ausgewirkt:
How to Remove Intune from a Windows 10 Computer


In Remove your Windows device from management ist es auch dokumentiert:

Remove in device Settings app​

1. Open the Settings app.
2. Go to Accounts > Access work or school.
3. Select the connected account that you want to remove > Disconnect.
4. To confirm device removal, select Yes.

Mir fehlt leider ein Testgerät, um es auszuprobieren.


In einem anderen Suchtreffer hatte ich gelesen, daß "Windows Autopilot" mit den UEFI-Bios-Settings verbandelt ist.
Falls obiges nicht funktioniert könnte man evtl dort ansetzen um die gebrauchten Geräte "von diesem Cloud locking" zu trennen.

 

[Mr. Natural]

Das impliziert mir aber, dass ich zuvor mit dem zugehörigen Konto eingeloggt sein muss... Soweit komme ich als Empfänger eines entsprechend gelockten Geräts ja gar nicht.

 

[psx]

Kenne mich leider mit Windows zu wenig aus, daher können folgende Ansätze auch Unsinn enthalten

Kann man obige Administrationsschritte mit einem lokalen Administrator machen?

Falls ja:
-Würde eine offline-Installation probieren, einen lokalen Admin anlegen und hoffen,
daß dieser nach Verbindung mit dem Netz und dieser Cloud-Konfiguration erhalten bleibt.

-Alternativ gab es doch die Möglichkeit per "Rettungs-Image" zu booten und
einen lokalen Admin-Account zu aktivieren bzw Passwort zu reseten?

Wenn diese Cloud-Konfiguration "wasserfest" ist, müsste sie solche Ansätze allerdings erkennen und unterbinden.
Aber ein Versuch wäre es wert.

Evtl. helfen auch die oben erwähnten UEFI-Bios-Settings als Alternative.

 

[Mr. Natural]

Ich muss hier unterscheiden zwischen einem Gerät für den Eigenbedarf und Kundengeräten... Das eine ist, was ich hier machen kann und das andere ist, was ich dem Kunden zumuten kann.

Die Offline-Installation ist eine probate Möglichkeit, allerdings funktioniert die nicht mehr lange. So angelegte Benutzer bleiben erhalten und Windows aktiviert sich ganz normal. Von der Unternehmensbindung ist dann nichts mehr zu sehen.

Ich muss ja davon ausgehen, dass Kunden die Maschine "normal" installieren - d.h. die Internet-Verbindung herstellen, wenn diese abgefragt wird. Das kann ich ja schwer verhindern.

Evtl. helfen auch die oben erwähnten UEFI-Bios-Settings als Alternative.

Hab ich die überlesen?

 

[ATh]

Blöde Frage: Hardware Maintenance Disk booten und Seiennnummer ändern ?

 

[Mr. Natural]

Blöde Frage: Harware Maintenance Disk booten und Seiennnummer ändern ?

Den Gedanken hatte ich auch schon, aber das hilft ja auch nur temporär und ist nicht endkundentauglich...