У домені Active Directory ви можете централізовано керувати макетом початкового екрана (Start Layout) меню Пуск і панелі завдань на комп'ютерах користувачів Windows 10 за допомогою групових політик. Це дозволяє призначити однакові настройки, вид і місце розташування значків і ярликів в меню Пуск і панелі завдань користувачам різних підрозділів компанії в залежності від використовуваних програм і переконатися, що всі робочі місця налаштовані однаково.
зміст:
- Експорт / імпорт макета меню Пуск в Windows 10 за допомогою PowerShell
- Поширення макета головного екрана користувачам за допомогою GPO
- Partial Lockdown - часткове блокування макета початкового екрану Windows
- Управління закріпленими ярликів в панелі завдань за допомогою GPO
Експорт / імпорт макета меню Пуск в Windows 10 за допомогою PowerShell
Найпростіший спосіб отримати макет стартового меню Пуск в Windows 10 - вручну налаштувати зовнішній вигляд і елементи робочого столу на еталонному ПК. Створюйте нові ярлики (плитки) для необхідних додатків, закріпіть і згрупуйте їх, видаліть непотрібні елементи. Потім ви можете експортувати поточний опис елементів стартового меню в xml файл.
Експортувати поточні настройки можна за допомогою PowerShell командлет Export-StartLayout:
Export-StartLayout -path c: \ ps \ StartLayoutW10.xml 
Ви можете вручну імпортувати даний шаблон стартового меню на іншому комп'ютері Windows 10 за допомогою командлета Import-StartLayout:
Import-StartLayout -LayoutPath c: \ ps \ StartLayoutW10.xml -MountPath c: \
Примітка. Параметр MountPath вказує на шлях, куди змонтований .wim файл образу системи.
Основний недолік командлет Import-StartLayout - він імпортує макет початкового екрану не до профілю поточного користувача, а до профілю користувача за замовчуванням (в каталозі C: \ Users \ Default \ AppData \ Local \ Microsoft \ Windows \ Shell \ з'являється файл Layoutmodification.xml). Даний XML макет початкового екрану таким чином, застосовується тільки до нових користувача при першому вході в систему
Поширення макета головного екрана користувачам за допомогою GPO
Щоб поширити файл з макетом меню Пуск на комп'ютери домену за допомогою групових політик (GPO), потрібно скопіювати отриманий XML файл в каталог Netlogon на котролері домену. Потім відкрийте консоль управління доменними груповими політиками Group Policy Management Console (GPMC.msc) і створіть нову або відредагуйте існуючу політику і призначте її на OU з користувачами.
У редакторі GPO знайдіть політику з ім'ям Start Layout (Макет початкового екрану) в секції User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar (Також ви можете прив'язати макет меню Пуск до комп'ютера, для цього потрібно налаштувати політику в секції Computer Configuration).
Відкрийте політику, включіть її (Enabled) І в полі Start layout file вкажіть UNC шлях до xml файлу, що містить макет стартового екрану Windows 10 на контролері домену (наприклад, \\ domain.ru \ netlogon \ StartLayoutW10.xml).
Якщо ви хочете застосувати політику Start Layout, тільки до певних груп користувачам або комп'ютерів, ви можете використовувати Security Filtering або WMI фільтри GPO.
важливо. За замовчуванням при завданні параметрів стартового меню і таскбара користувачів за допомогою GPO, користувачі не можу змінювати його елементи (видаляти ярлики, додавати власні). Щоб дозволити користувачу змінювати елементи макета, потрібно скористатися можливість часткової блокування макета початкового екрана (Partial Lockdown), описаної в секції нижче.Partial Lockdown - часткове блокування макета початкового екрану Windows
режим Partial Lockdown, з'явився в Windows 10 версії 1511, і дозволяє вказати групи плиток стартового меню, які користувачі не можуть змінити. Тобто ви можете дозволити пользователяі змінювати будь-які ярлики, значки та плитки крім певної групи ярликів корпоративних додатків.
Щоб вказати заблоковані групи початкового екрана, потрібно відредагувати XML файл з макетом за допомогою будь-якого текстового редактора (для редагування XML файлу зручно використовувати Notepad ++).
Відкрийте ваш файл StartLayoutW10.xml і знайдіть в ньому секцію <DefaultLayoutOverride>. Щоб заблокувати певну групу ярликів, потрібно в атрибути даної секції змінити на <DefaultLayoutOverride LayoutCustomizationRestrictionType= "OnlySpecifiedGroups">.
Збережіть зміни в xml файлі і розповсюдьте його на користувачів. Таким чином, будуть заблоковані для редагування користувачами тільки групи плиток (ярликів), зазначені в XML файлі.
Partial Lockdown працює як в Windows 10 Enterprise так і в Pro (починаючи з 1703).
У Windows 10 є невеликий глюк, коли призначений ярлик Internet Explorer не виникає після застосування XML файлу макета через GPO.
Для вирішення проблеми потрібно відредагувати XML файл і виправити рядок для ярлика IE наступним чином:
І потім через GPO потрібно скопіювати ярлик "Internet Explorer.lnk" в каталог%ALLUSERSPROFILE% \ Microsoft \ Windows \ Start Menu \ Programs \.
Управління закріпленими ярликів в панелі завдань за допомогою GPO
Починаючи з Windows 10 1607 ви можете управляти закріпленими ярликами в панелі завдань через той же самий XML файл з макетом початкового екрана. Щоб додати власні закріплені ярлики в XML макет, який поширюється через GPO, відредагуйте XML файл. після тега DefaultLayoutOverride> потрібно додати наступний код:
В даному прикладі ми додамо в панель задач два ярлика: File Explorer і Internet Explorer. Після застосування політики на комп'ютері користувача, в таскбару з'являться два закріплених ярлика.
У старих версія Windows 10 (до 1607) ярлики додатків в панелі завдань налаштовується по іншому. Спробуємо розібратися як.
Список закріплених в панелі завдань ярликів зберігається в Windows 10 в каталозі %APPDATA% \ Microsoft\ Internet Explorer\ Quick Launch\ User Pinned\ TaskBar.
При цьому параметри закріплених в панелі завдань додатків зберігаються в закодованому вигляді в гілці реєстру HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Taskband.
Для поширення налаштувань таскбара на комп'ютери компанії, потрібно експортувати вміст їх грона в reg файл:
reg export HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Taskband c: \ ps \ PinnedItem.reg
Цей reg файл і каталог з ярликами (% APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ User Pinned \ TaskBar) потрібно скопіювати в загальнодоступну мережеву папку (наприклад в Netlogon). І в редакторі доменної групової політики (User Configuration-> Policies -> Windows Settings -> Scripts (Logon / Logoff) -> Logon) Додати логон скрипт з кодом:
@echo off
set Logfile =% AppData% \ pinned.log
if not exist "% Logfile% (
IF EXIST "% APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ User Pinned \ TaskBar" GOTO NOTASKDIR
del "% APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ User Pinned \ TaskBar \ *" / S / Q
: NOTASKDIR
xcopy / E / Y "\\ domain.ru \ netlogon \ PinnedItem" "% APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ User Pinned"
regedit.exe / s "\\ domain.ru \ netlogon \ PinnedItem.reg"
echo PinnedItemImported on% date% at% time% >>% LogFile%
taskkill / IM explorer.exe / f
start explorer.exe
Примітка. У скрипт додана перевірка наявності файлу% AppData% \ pinned.log. Якщо файл є, значить даний скрипт вже виконувався на цьому комп'ютері і вдруге його застосовувати не потрібно, щоб користувач міг видалити або додати власні ярлики в таскбару. 
Reg файл також можна імпортувати на комп'ютери домену не через скрипт, а через GPO.
Тепер при вході користувача в систему йому буде застосований "корпоративний" набір закріплених іконок додатків в панелі завдань.
