Windows Neuinstallation von neuem ThinkPad - wie am besten machen? Braucht man Win Enterprise?

[Schokoladenfabrik]

Hi,

ich habe momentan auf meinem alten X1 Windows 10 Enterprise.

Jetzt habe ich ein T14s G4 AMD gekauft, das ich neu einrichten möchte. Dabei war Windows Pro.
Braucht "man" Windows Enterprise? Ich möchte gern die SSD verschlüsseln - momentan mache ich das per Veracrypt, aber Bitlocker ist vermutlich eher zu empfehlen, seit Veracrypt nicht mehr weiterentwickelt wird? Das geht aber auch mit Windows Pro, oder?

Ansonsten möchte ich gern RDP nutzen (aber nur als Client), vielleicht selten mal eine VM laufen lassen. Das war's.
Reicht dafür Win 11 Pro? Falls nicht, kann man einfach auf Enterprise upgraden?

Thema Installation/Neuinstallation: Ich möchte gern ein englisches Windows nutzen. Sollte man dafür am besten mit einem US-Image starten? Oder einfach das "deutsche" Windows auf Englisch stellen? Deutsch sollte letztlich nicht mehr übrig sein auf dem System.

Wie richtet man das Benutzerkonto am besten ein? Er will einem ja immer unbedingt ein Microsoft-Konto andrehen.
Ich habe ein Firmen-Microsoftkonto (eigene Firma), allerdings muss ich dort noch die Emailadresse ändern/migrieren, da die momentan einem andren Tenant zugeordnet ist. Also ich könnte entweder die falsche Email mit richtigem Tenant anmelden oder die richtige Email mit falschem Tenant...
Kann man das evtl. erst mal überspringen und nur einen lokalen Benutzer anlegen und das ggf. später noch verkuppeln? Hat es überhaupt einen Sinn, das zu verkuppeln? Ich möchte auch nicht, dass Microsoft plötzlich anfängt, ggf. private/sensible Daten nach OneDrive zu schieben, oder so einen Kram...

Dankeschön!

 

[morini22]

Nimm einfach W10/W11 Pro per Mediacrationtool : https://www.heise.de/download/product/windows-media-creation-tool .
Einfach auf einem passenden USB-Stick mit mindestestens 8GB installieren und wenn fertig im TP einstecken .
Sollte automatisch erkannt und per Nachfragen installiert werden .
Wenn dein T14s im BIOS einen Windows Lizensschlüssel hinterlegt hat wird die Installation automatisch beim ersten Kontakt mit dem Internet aktiviert.
Es ist bei der Pro-Version alles für dich dabei .
Enterprise ist nur eine spezielle Ausführung für Unternehmen welche zum Update auf neue Versionen wieder neu erworben werden muss !
Der Funktionsumfang unterscheidet sich mWn zu Pro nicht .

Gruss Uwe

 

[Mornsgrans]

Er will einem ja immer unbedingt ein Microsoft-Konto andrehen.

Einfach auswählen, dass Du nicht mit dem Microsoft-Konto verbinden willst. Beachte dazu das Kleingedruckte links unten, wenn Du zur Eingabe der Mailadresse aufgefordert wirst. Im darauf folgenden Dialog wähle sinngemäß "Diese Erfahrung nicht machen".

 

[Schokoladenfabrik]

Ich glaube, man muss aber immer mit Microsoft-Konto verbinden? Ohne geht nur noch, wenn man ohne WLAN installiert?
Habe die vorherige Ersteinrichtung jetzt nicht abgeschlossen (aber angefangen, mit WLAN, bis zu der Stelle, wo er nach dem Benutzer fragt).
Ich gehe davon aus, ich kann aber einfach vom USB-Stick von vorne installieren?

Wie ist das so mit Bitlocker?

 

[morini22]

Bei den Pro-Versionen ist kein MS-Konto notwendig ,einfach den Tipp von Morns befolgen .

Zu Bitlocker kann ich nichts beitragen ...

Gruss Uwe

 

[Mornsgrans]

Ich glaube, man muss aber immer mit Microsoft-Konto verbinden?

Bei Home und Ultimate, wenn keine Netzwerkverbindung besteht. Bei Pro und Enterprise hat man immer noch die Wahl.

Bitlocker läuft bei Pro-Version - aufrufbar über die Systemsteuerung.

 

[Schokoladenfabrik]

Danke. Hat es einen Vorteil, das ganze mit einem Microsoft-Konto zu verbinden?
Ich nehme an, man kann das auch immer noch später machen?

 

[Mornsgrans]

Kann man später machen - wenn es denn unbedingt sein muss.

Lokales Konto unter Windows 10: So umgehen Sie den neuen Online-Zwang - Tipps & Tricks

llll➤Windows 10 und ein lokales Konto: Kann man Windows 10 mit einem lokalen Konto installieren? ✓ Kann man ein Microsoft-Konto in eine Offlinekonto ändern?

www.wintotal.de

 

[harpo]

Ich möchte gern die SSD verschlüsseln - momentan mache ich das per Veracrypt, aber Bitlocker ist vermutlich eher zu empfehlen, seit Veracrypt nicht mehr weiterentwickelt wird?

Wer sagt denn, dass VeraCrypt nicht mehr weiterentwickelt wird?! TrueCrypt wird seit 2014 nicht mehr weiterentwickelt, aber VeraCrypt, dass sich einst als Fork von TrueCrypt abgespalten hat, schon. Die aktuelle Version 1.26.7 wurde gerade erst am 01.10.2023 veröffentlicht, ist also noch nicht einmal 2 Wochen alt.

Und dass Bitlocker auch mit Windows10/11 Pro geht und auch der MS-Konto-"Zwang" bei deren Installation umgangen werden kann, wurde ja bereits ausgeführt.

 

[Schokoladenfabrik]

Ah, sorry, dachte irgendwie, VeraCrypt würde auch nicht mehr weiterentwickelt.
Gibt es größere Vor- und Nachteile bei VeraCrypt vs. Bitlocker?

 

[harpo]

Gibt es größere Vor- und Nachteile bei VeraCrypt vs. Bitlocker?

Dazu kann ich nicht viel sagen. Da ich v.a. privat zu ca. 98%-99% Linux nutze (Dualboot-System), nutze ich Veracrypt, v.a. auch für externe Platten. Zwar soll Cryptsetup seit einiger Zeit auch mit unter Windows erstellten Bitlocker-Partitionen umgehen können, aber das soll wohl nicht funktionieren, sobald da ein TPM-Chip in der Verschlüsselung eine Rolle spielt.

Wenn Platten in reinen Windows-Umgebungen genutzt werden, würde ich wahrscheinlich eher zu Bitlocker tendieren. Wegen der "nativen" Integration ins System seitens MS - nicht dass ich mich viel näher damit beschäftigt hätte...

 

[Thufir]

Einfach auswählen, dass Du nicht mit dem Microsoft-Konto verbinden willst. Beachte dazu das Kleingedruckte links unten, wenn Du zur Eingabe der Mailadresse aufgefordert wirst. Im darauf folgenden Dialog wähle sinngemäß "Diese Erfahrung nicht machen".

Beim erstmaligen Installieren von Win 11 auf einem neuen Thinkpad scheint das nicht zu gehen. Ich sehe keine entsprechenden Optionen im Fenster (das u.a. zur Eingabe der Emailadresse/ID auffordert).

Kann jemand helfen, oder muss ich zunächst ein Microsoftkonto einrichten?

 

[Mornsgrans]

Dann trenne mal die Internetverbindung und lasse diese getrennt, bis die Einrichtugn fertig gestellt ist.

 

[harpo]

Alternativ gibt es auch die Möglichkeit, einen Installations-USB-Stick mit der Win11-ISO mittels Rufus zu erstellen. Da kann man vorher neben einigen anderen Optionen z.B. einstellen, dass die Notwendigkeit für ein MS-Account entfernt wird. Dann sollte während der Installation gar nicht mehr danach gefragt werden, sondern automatisch ein Lokales Konto zur Einrichtung angeboten werden.

 

[Thufir]

Dann trenne mal die Internetverbindung und lasse diese getrennt, bis die Einrichtugn fertig gestellt ist.

Das geht offenbar nicht - Windows erkennt die unterbrochene Verbindung und fordert zur Wiederherstellung auf. Überhaupt will Windows eine Internetverbindung (Mobilfunk oder WLAN) zur Installation, ohne geht es nicht weiter.

All das mag aber auch z.T. Daran liegen, dass es das originale Lenovo-Image ist, dass erstmalig gestartet wird.

Möglicherweise ist die Einrichtung als Organisationsgerät (vs. Privatgerät) ja ein Weg. Eine entsprechende Wahlmöglichkeit gab es. Ich könnte es damit mal probieren, offenbar ersetzt der Beitritt zu einer Domäne das eigene Konto. Wird dann ggf. Eine Einmann-Domäne, falls das geht und nicht anderweitig nachteilig ist.

 

[Schokoladenfabrik]

Shift+F10 drücken während der Installation, dann in der Kommandozeile eingeben:

OOBE\BYPASSNRO

Damit geht es dann.


Andere Frage - das Konto, was standardmäßig angelegt wird, ist ein Administrator-Konto. Ich nehme an, trotz UAC ist das eine doofe Idee?
Sollte man dann besser das Konto löschen und ein neues normales Konto anlegen und dafür das eingebaute Administrator-Konto aktivieren? Ggf. das angelegte Konto "MeinAdmin" o.ä. nennen (also nicht den Standard-Administrator-Benutzernamen nutzen)?

Weitere Frage:
Habe zuerst Bitlocker konfiguriert, aber damit startet Windows komplett ohne Passwort...? Von VeraCrypt kenne ich das so, dass schon beim Booten ein Passwort abgefragt wird?

Habe es dann mit Veracrypt probiert, aber dann meckerte er zunächst wegen Secure Boot.
Dann Secure Boot im BIOS deaktiviert, aber jetzt will VeraCrypt mein Passwort nicht akzeptieren und er hängt an der Stelle.
Ich nehme an, ich kann einfach noch mal formatieren und dann ist das wieder weg? Oder habe ich jetzt ernsthaft etwas zerschossen?

 

[mectst]

Andere Frage - das Konto, was standardmäßig angelegt wird, ist ein Administrator-Konto. Ich nehme an, trotz UAC ist das eine doofe Idee?
Sollte man dann besser das Konto löschen und ein neues normales Konto anlegen und dafür das eingebaute Administrator-Konto aktivieren? Ggf. das angelegte Konto "MeinAdmin" o.ä. nennen (also nicht den Standard-Administrator-Benutzernamen nutzen)?

nö, so doof ist das nicht.
Am besten gibst du gleich einen Namen wie "MeinAdmin" beim Installieren an. Damit machst du die Installation fertig und später auch alle Wartungsarbeiten. Fürs normale Arbeiten legst du dir einen weiteren Benutzer mit nur Standrad-Rechten an. Mehr ist eigentlich nicht nötig.

Grüße Thomas

 

[der_ingo]

Andere Frage - das Konto, was standardmäßig angelegt wird, ist ein Administrator-Konto. Ich nehme an, trotz UAC ist das eine doofe Idee?

Nein. Das Konto ist normalerweise als Benutzerkonto unterwegs und hat nur nach UAC-Abfrage entsprechende administrative Rechte.

Das reicht für Systeme, wo der Benutzer und der Administrator eh die gleiche Person ist. Typische Schadsoftware überzeugt ja heute den Benutzer, sie auszuführen. Ist er einmal erzeugt, gibt er auch Admin-Passwörter ein. Ransomware braucht eh keine Adminrechte.

Sollte man dann besser das Konto löschen und ein neues normales Konto anlegen und dafür das eingebaute Administrator-Konto aktivieren?

Letzteres ist eine ganz dumme Idee. Das integrierte Administrator-Konto sollte immer deaktiviert bleiben. Das ist nur für Wartungszwecke im abgesicherten Modus relevant.

Habe zuerst Bitlocker konfiguriert, aber damit startet Windows komplett ohne Passwort...?

Jein. Damit startet Windows und fragt dein normales Benutzerpasswort ab. Normalerweise ist das schon sinnvoll so, solange du nicht grad Geheimdienste auf deiner Feindesliste hast.

Du kannst auch eine Pre-Boot-Authentifizierung einrichten. Dann musst du zuallererst diese eingeben, bevor Windows startet. Für den Alltag ist das nur nervig und bringt wenig.

Habe es dann mit Veracrypt probiert, aber dann meckerte er zunächst wegen Secure Boot.
Dann Secure Boot im BIOS deaktiviert, aber jetzt will VeraCrypt mein Passwort nicht akzeptieren und er hängt an der Stelle.

Ich hab Veracrypt nie genutzt. Keine Ahnung, wie man da wieder rauskommt.

Ich würde SecureBoot wieder aktivieren, das System per Bitlocker verschlüsseln und ob du dann das Pre-Boot-Auth nutzt oder nicht, kannst du dir dann noch in Ruhe überlegen und es auch hinterher aktivieren oder deaktivieren.

 

[Schokoladenfabrik]

Wie bekomme ich denn VeraCrypt jetzt wieder weg? Neu formatieren reicht? Der Rechner startet ja nicht mehr, da irgendwas mit dem VeraCrypt-Passwort nicht zu passen scheint.

 

[Mornsgrans]

Sicher? - Nicht, dass Du nur den Boot-Modus (UEFI/Legacy/Both) im BIOS ändern musst und es startet wieder durch...