Neue GPO-Einstellungen in Windows 10 1903

WindowsPro
DateinameEinstellungBeschreibungErklärung
AppPrivacy.admxLetAppsActivateWithVoiceAktivierung von Windows-Apps mit Sprachbefehlen zulassenDiese Richtlinieneinstellung legt fest, ob Windows-Apps mit Sprachbefehlen aktiviert werden können.

Bei Auswahl der Option "Benutzer hat die Kontrolle" können die Mitarbeiter in Ihrer Organisation unter Einstellungen > Datenschutz entscheiden, ob Windows-Apps mit einem Sprachschlüsselwort aktiviert werden können.

Bei Auswahl der Option "Zulassen erzwingen" können Windows-Apps mit einem Sprachschlüsselwort aktiviert werden. Diese Einstellung kann von den Mitarbeitern in Ihrer Organisation nicht geändert werden.

Bei Auswahl von "Verweigern erzwingen" können Windows-Apps nicht mit einem Sprachschlüsselwort aktiviert werden. Diese Einstellung kann von den Mitarbeitern in Ihrer Organisation nicht geändert werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Mitarbeiter in Ihrer Organisation unter Einstellungen > Datenschutz entscheiden, ob Windows-Apps mit einem Sprachschlüsselwort aktiviert werden können.

Diese Richtlinie gilt für Windows-Apps und Cortana.
AppPrivacy.admxLetAppsActivateWithVoiceAboveLockWindows-Apps können mit einem Sprachbefehl aktiviert werden, während das System gesperrt istDiese Richtlinieneinstellung legt fest, ob Windows-Apps mit Sprachbefehlen aktiviert werden können, während das System gesperrt ist.

Wenn Sie die Option "Benutzer hat Kontrolle" wählen, können Mitarbeiter in Ihrer Organisation unter Einstellungen > Datenschutz entscheiden, ob Benutzer über Sprachbefehle mit ihren Anwendungen interagieren können, während das System gesperrt ist.

Wenn Sie die Option "Zulassen erzwingen" wählen, können Benutzer über Sprachbefehle mit Anwendungen kommunizieren, während das System gesperrt ist. Die Mitarbeiter in Ihrer Organisation können diese Einstellung nicht ändern.

Wenn Sie die Option "Verweigern erzwingen" wählen, können Benutzer nicht über Sprachbefehle mit Anwendungen kommunizieren, während das System gesperrt ist. Die Mitarbeiter in Ihrer Organisation können diese Einstellung nicht ändern.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Mitarbeiter in Ihrer Organisation unter Einstellungen > Datenschutz entscheiden, ob Benutzer über Sprachbefehle mit Anwendungen interagieren können, während das System gesperrt ist.

Diese Richtlinie gilt für Windows-Apps und Cortana. Sie hat Vorrang vor der Richtlinie "Cortana auch bei Sperrung zulassen". Diese Richtlinie gilt nur, wenn die Richtlinie "Sprachaktivierung zulassen" so konfiguriert ist, dass Anwendungen per Sprache aktiviert werden können.
CredUI.admxNoLocalPasswordResetQuestionsVerwendung von Sicherheitsfragen für lokale Konten verhindernWenn Sie diese Richtlinieneinstellung aktivieren, können lokale Benutzer keine Sicherheitsfragen einrichten und verwenden, um Ihre Kennwörter zurückzusetzen.
DataCollection.admxAllowCommercialDataPipelineKommerzielle Datenpipeline zulassen Durch "AllowCommercialDataPipeline" wird die kommerzielle Windows-Datenpipeline für das Gerät abonniert.
Wenn Sie die Einstellung aktivieren, wird für die vom Gerät erfassten Daten die kommerzielle Windows-Datenpipeline aktiviert.
Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, werden alle Daten gemäß unseren Richtlinien für die standardmäßige Windows-Datenpipeline vom Gerät erfasst und verarbeitet.
Wenn Sie die Einstellung konfigurieren, ändert sich weder die Ebene der Telemetriedatensammlung, noch die Fähigkeit des Benutzers, die Ebene zu ändern. Diese Einstellung gilt nur für das Windows-Betriebssystem und für Apps im Lieferumfang von Windows, nicht aber für Drittanbieter-Apps oder -Dienste, die unter Windows 10 ausgeführt werden.
DeliveryOptimization.admxDelayCacheServerFallbackBackgroundVerzögerter Cacheserver-Fallback für Hintergrund-Download (in Sekunden)Legen Sie diese Richtlinie fest, um den Fallback vom Cacheserver auf die HTTP-Quelle für einen Hintergrund-Download von Inhalten um X Sekunden zu verzögern.

Hinweis: Wenn Sie die Richtlinie zum Verzögern von Hintergrund-Downloads von HTTP festlegen, wird sie zuerst angewendet (um zuerst Downloads von Peers zuzulassen).
DeliveryOptimization.admxDelayCacheServerFallbackForegroundVerzögerter Cacheserver-Fallback für Vordergrund-Download (in Sekunden):Legen Sie diese Richtlinie fest, um den Fallback vom Cacheserver auf die HTTP-Quelle für einen Vordergrund-Download von Inhalten um X Sekunden zu verzögern.

Hinweis: Wenn Sie die Richtlinie zum Verzögern von Vordergrund-Downloads von HTTP festlegen, wird sie zuerst angewendet (um zuerst Downloads von Peers zuzulassen).
Logon.admxDisableAcrylicBackgroundOnLogonLeeren Anmeldehintergrund anzeigenDiese Richtlinieneinstellung deaktiviert den Weichzeichner mit Acryleffekt für das Hintergrundbild des Anmeldebildschirms.

Wenn Sie die Richtlinie aktivieren, wird das Hintergrundbild des Anmeldebildschirms ohne Weichzeichner dargestellt.
Wenn Sie die Richtlinie deaktivieren oder nicht konfigurieren, wird für das Hintergrundbild des Anmeldebildschirms der Weichzeichner mit Acryleffekt verwendet.
MSDT.admxTroubleshootingAllowRecommendationsProblembehandlung: Benutzern den Zugriff auf die empfohlene Problembehandlung für bekannte Probleme erlaubenDurch diese Richtlinieneinstellung werden empfohlene Problembehandlungen für bekannte Probleme auf das Gerät angewendet. Außerdem können Administratoren konfigurieren, wie die Richtlinieneinstellung auf Ihre Domänen/IT-Umgebungen angewendet wird.
Wenn die Richtlinieneinstellung nicht konfiguriert wird, kann der Benutzer festlegen, ob und wie empfohlene Problembehandlungen angewendet werden.

Wenn Sie die Richtlinie aktivieren, können Sie konfigurieren, wie empfohlene Problembehandlungen auf Benutzergeräte angewendet werden. Sie können unter folgenden Werten wählen:
0 = Dieses Feature deaktivieren
1 = Dieses Feature deaktivieren, aber trotzdem wichtige Problembehandlungen anwenden
2 = Benutzer benachrichtigen, wenn eine empfohlene Problembehandlung verfügbar ist, und dem Benutzer dann ermöglichen, sie auszuführen oder zu ignorieren
3 = Empfohlene Problembehandlung automatisch ausführen und den Benutzer nach der erfolgreichen Ausführung benachrichtigen
4 = Empfohlene Problembehandlung automatisch ausführen, ohne den Benutzer zu benachrichtigen
5 = Dem Benutzer die Auswahl eigener Einstellungen für empfohlene Problembehandlungen ermöglichen

Befolgen Sie die nachstehenden Anweisungen, um empfohlene Problembehandlungen für Geräte in Ihrer Domäne auszulösen, nachdem Sie diese neue Einstellung festgelegt haben:
1. Erstellen Sie ein Batchskript mit folgendem Inhalt:
Durch das folgende Batchskript werden empfohlene Problembehandlungen ausgelöst:
C:\Windows\System32\mitigationscanner.exe

2. Um eine neue sofortige Aufgabe zu erstellen, navigieren Sie zu "Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Einstellungen" und wählen "Systemsteuerungseinstellungen" aus.
3. Klicken Sie unter "Systemsteuerungseinstellungen" mit der rechten Maustaste auf "Geplante Aufgaben", und wählen Sie "Neu" aus. Wählen Sie "Sofortige Aufgabe (mindestens Windows 7)" aus.
4. Geben Sie einen Namen und ggf. eine Beschreibung an, legen Sie dann unter "Sicherheitsoptionen" das Benutzerkonto auf "System" fest, und aktivieren Sie das Kontrollkästchen "Mit höchsten Berechtigungen ausführen".
5. Erstellen Sie auf der Registerkarte "Aktionen" eine neue Aktion, wählen Sie als Typ "Programm starten" aus, und geben Sie dann die in Schritt 1 erstellte Datei ein.
6. Konfigurieren Sie die Aufgabe für die Bereitstellung in Ihrer Domäne.
ServiceControlManager.admxSvchostProcessMitigationEnableAusgleichsoptionen für svchost.exe aktivierenDiese Richtlinieneinstellung aktiviert Prozessausgleichsoptionen für svchost.exe-Prozesse.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden für integrierte Systemdienste, die in svchost.exe-Prozessen gehostet werden, strengere Sicherheitsrichtlinien aktiviert.

Dies beinhaltet eine Richtlinie, die das Signieren aller in diesen Prozessen geladenen Binärdateien durch Microsoft erfordert, sowie eine Richtlinie, die dynamisch generierten Code nicht zulässt.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden diese strengeren Sicherheitseinstellungen nicht angewendet.
StorageSense.admxSS_AllowStorageSenseGlobalSpeicheroptimierung zulassenDie Speicheroptimierung kann automatisch Dateien des Benutzers löschen, um Speicherplatz freizugeben. Standardmäßig wird die Speicheroptimierung automatisch aktiviert, wenn der Speicherplatz auf dem Computer zur Neige geht. Sie ist standardmäßig so eingestellt, dass sie immer dann ausgeführt wird, wenn der Speicherplatz knapp wird. Sie können das Intervall in den Speichereinstellungen ändern oder in der Gruppenrichtlinie "Intervall der Speicheroptimierung konfigurieren" festlegen.

Aktiviert:
Die Speicheroptimierung ist für den Computer aktiviert, das Standardintervall lautet "bei wenig freiem Speicherplatz". Benutzer können die Speicheroptimierung nicht deaktivieren, aber das Intervall anpassen (außer wenn zudem die Gruppenrichtlinie "Intervall der Speicheroptimierung konfigurieren" konfiguriert wird).

Deaktiviert:
Die Speicheroptimierung ist für den Computer deaktiviert. Sie kann von Benutzern nicht aktiviert werden.

Nicht konfiguriert:
Standardmäßig ist die Speicheroptimierung deaktiviert, bis der Speicherplatz des Benutzers zur Neige geht oder er sie manuell aktiviert. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
StorageSense.admxSS_ConfigStorageSenseGlobalCadenceIntervall der Speicheroptimierung konfigurierenDie Speicheroptimierung kann automatisch Dateien des Benutzers löschen, um Speicherplatz freizugeben.

Wenn die Gruppenrichtlinie "Speicheroptimierung zulassen" deaktiviert ist, hat diese Richtlinie keine Wirkung.

Aktiviert:
Sie müssen das gewünschte Intervall für die Speicheroptimierung angeben. Folgende Optionen werden unterstützt: täglich, wöchentlich, monatlich und bei wenig freiem Speicherplatz. Der Standardwert lautet "0" (bei wenig freiem Speicherplatz).

Deaktiviert oder Nicht konfiguriert:
Standardmäßig ist das Intervall der Speicheroptimierung auf "bei wenig freiem Speicherplatz" festgelegt. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
StorageSense.admxSS_AllowStorageSenseTemporaryFilesCleanupLöschen temporärer Dateien durch Speicheroptimierung zulassenWenn die Speicheroptimierung ausgeführt wird, kann sie temporäre Dateien des Benutzers löschen, die nicht verwendet werden.

Wenn die Gruppenrichtlinie "Speicheroptimierung zulassen" deaktiviert ist, hat diese Richtlinie keine Wirkung.

Aktiviert:
Die Speicheroptimierung löscht die temporären Dateien des Benutzers, die nicht verwendet werden. Benutzer können diese Einstellung in den Speichereinstellungen nicht deaktivieren.

Deaktiviert:
Die Speicheroptimierung löscht keine temporären Dateien des Benutzers. Benutzer können diese Einstellung in den Speichereinstellungen nicht aktivieren.

Nicht konfiguriert:
Standardmäßig werden temporäre Dateien des Benutzers durch die Speicheroptimierung gelöscht. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
StorageSense.admxSS_ConfigStorageSenseRecycleBinCleanupThresholdSchwellenwert für Papierkorb-Bereinigung durch Speicheroptimierung konfigurierenWenn die Speicheroptimierung ausgeführt wird, kann sie Dateien im Papierkorb des Benutzers löschen, die bereits seit einer bestimmten Anzahl von Tagen dort abgelegt sind.

Wenn die Gruppenrichtlinie "Speicheroptimierung zulassen" deaktiviert ist, hat diese Richtlinie keine Wirkung.

Aktiviert:
Sie müssen den Mindestschwellenwert in Tagen angeben, die eine Datei im Papierkorb verbleibt, bis sie durch die Speicheroptimierung gelöscht wird. Folgende Werte werden unterstützt: 0 bis 365.
Wenn Sie "0" angeben, werden im Papierkorb des Benutzers keine Dateien durch die Speicheroptimierung gelöscht. Der Standardwert lautet 30 Tage.

Deaktiviert oder Nicht konfiguriert:
Standardmäßig löscht die Speicheroptimierung Dateien im Papierkorb des Benutzers, die bereits seit mehr als 30 Tagen dort abgelegt sind. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
StorageSense.admxSS_ConfigStorageSenseDownloadsCleanupThresholdSchwellenwert für Bereinigung des Download-Ordners durch Speicheroptimierung konfigurierenWenn die Speicheroptimierung ausgeführt wird, kann sie Dateien im Downloads-Ordner des Benutzers löschen, die bereits seit einer bestimmten Anzahl von Tagen dort abgelegt sind.

Wenn die Gruppenrichtlinie "Speicheroptimierung zulassen" deaktiviert ist, hat diese Richtlinie keine Wirkung.

Aktiviert:
Sie müssen den Mindestschwellenwert in Tagen angeben, die eine Datei im Downloads-Ordner verbleibt, bis sie durch die Speicheroptimierung gelöscht wird. Folgende Werte werden unterstützt: 0 bis 365.
Wenn Sie "0" angeben, werden im Downloads-Ordner des Benutzers keine Dateien durch die Speicheroptimierung gelöscht. Der Standardwert lautet "0" (Dateien im Downloads-Ordner werden nie gelöscht).

Deaktiviert oder Nicht konfiguriert:
Standardmäßig löscht die Speicheroptimierung keine Dateien im Downloads-Ordner des Benutzers. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
StorageSense.admxSS_ConfigStorageSenseCloudContentDehydrationThresholdSchwellenwert für Pausieren von Cloud-Inhalten durch Speicheroptimierung konfigurierenWenn die Speicheroptimierung ausgeführt wird, kann sie in der Cloud gesicherte Inhalte pausieren, die während einer bestimmten Anzahl von Tagen nicht geöffnet wurden.

Wenn die Gruppenrichtlinie "Speicheroptimierung zulassen" deaktiviert ist, hat diese Richtlinie keine Wirkung.

Aktiviert:
Sie müssen die Anzahl der Tage angeben, seitdem eine in der Cloud gesicherte Datei geöffnet wurde, bevor sie durch die Speicheroptimierung pausiert wird. Folgende Werte werden unterstützt: 0 bis 365.
Wenn Sie "0" angeben, werden keine in der Cloud gesicherten Inhalte durch die Speicheroptimierung pausiert. Der Standardwert lautet "0" (in der Cloud gesicherte Inhalt werden nie pausiert).

Deaktiviert oder Nicht konfiguriert:
Standardmäßig werden von der Speicheroptimierung keine in der Cloud gesicherten Inhalte pausiert. Benutzer können diese Einstellung in den Speichereinstellungen konfigurieren.
TerminalServer.admxTS_SERVER_WDDM_GRAPHICS_DRIVERWDDM-Grafiktreiber für Remotedesktopverbindungen verwendenMit dieser Richtlinieneinstellung können Sie den WDDM-Grafiktreiber für Remotedesktopverbindungen aktivieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Remotedesktopverbindungen den WDDM-Grafiktreiber.

Wenn Sie diese Richtlinieneinstellung deaktivieren, verwenden Remotedesktopverbindungen nicht den WDDM-Grafiktreiber, sondern den XDDM-Grafiktreiber.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwenden Remotedesktopverbindungen auf dem RD-Sitzungshostserver nicht den WDDM-Grafiktreiber. In allen anderen Fällen verwenden Remotedesktopverbindungen den WDDM-Grafiktreiber.

Damit diese Änderung wirksam wird, müssen Sie Windows neu starten.
WindowsDefender.admxSignatureUpdate_SharedSignaturesLocationSpeicherort der Sicherheitsinformationen für VDI-Clients festlegen.Mit dieser Richtlinieneinstellung können Sie den Speicherort für Sicherheitsinformationen für VDI-konfigurierte Computer definieren.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Sicherheitsinformationen aus der lokalen Standardquelle abgerufen.
WindowsUpdate.admxComplianceDeadlineFristen für automatische Updates und Neustarts angebenMit dieser Richtlinie können Sie die Anzahl der Tage angeben, die einem Benutzer zustehen, bevor die Qualitäts- und Funktionsaktualisierungen automatisch auf den Geräten installiert werden. Außerdem wird eine Karenzzeit festgelegt, nach der die erforderlichen Neustarts automatisch durchgeführt werden. Aktualisierungen und Neustarts werden unabhängig von der Nutzungszeit ausgeführt, und der Benutzer kann keine Neuplanung durchführen.

Fristen für Funktionsaktualisierungen und Qualitätsupdates können bis zu 30 Tage betragen. Die Zeitspanne für den automatischen Neustart kann zwischen 0 und 7 Tagen liegen.

Sie können den automatischen Neustart auch bis zum Ende des Aktivierungszeitraums für den automatischen Neustart deaktivieren.

Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, erhalten die Geräte Updates und werden gemäß dem Standardzeitplan neu gestartet.

Diese Richtlinie setzt die folgenden Richtlinien außer Kraft:
1. Termin für den automatischen Neustart der Updateinstallation festlegen
2. Zeitplan für erzwungenen Neustart und Benachrichtigungen für Updates angeben
3. Immer automatisch zum geplanten Zeitpunkt neu starten
4. Kein automatischer Neustart mit angemeldeten Benutzern für die Installation geplanter automatischer Updates
WinLogon.admxConfigAutomaticRestartSignOnModus der automatischen Anmeldung und Sperrung des letzten interaktiven Benutzers nach Neu- oder Kaltstart konfigurierenDiese Richtlinieneinstellung steuert die Konfiguration, mit der ein automatischer Neustart und eine automatische Anmeldung und Sperrung nach einem Neu- oder Kaltstart erfolgt. Wenn Sie in der Richtlinie "Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperren" die Option "Deaktiviert" wählen, erfolgt keine automatische Anmeldung und diese Richtlinie muss nicht konfiguriert werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der folgenden zwei Optionen wählen:

1. "Aktiviert, wenn BitLocker aktiv ist und nicht angehalten wird" gibt an, dass eine automatische Anmeldung und Sperrung nur erfolgt, wenn BitLocker aktiv ist und während des Neustarts oder Herunterfahrens nicht angehalten wird. Zu diesem Zeitpunkt kann auf persönliche Daten auf der Festplatte des Geräts zugegriffen werden, wenn BitLocker nicht aktiv ist und nicht bei einer Aktualisierung angehalten wird. Durch ein vorübergehendes Anhalten von BitLocker wird der Schutz von Systemkomponenten und -daten vorübergehend entfernt, dies kann aber unter bestimmten Umständen erforderlich sein, um startkritische Komponenten erfolgreich aktualisieren zu können.
BitLocker wird bei Aktualisierungen angehalten, wenn:
- Das Gerät nicht über TPM 2.0 und PCR7 verfügt oder
- Das Gerät keine TPM-Schlüsselschutzvorrichtung verwendet
2. "Immer aktiviert" gibt an, dass die automatische Anmeldung auch dann erfolgt, wenn BitLocker deaktiviert ist oder während eines Neustarts oder Herunterfahrens angehalten wird. Wenn BitLocker nicht aktiviert ist, können persönliche Daten auf der Festplatte aufgerufen werden. Der automatische Neustart und die automatische Anmeldung sollten nur unter dieser Bedingung ausgeführt werden, wenn Sie genau wissen, dass das konfigurierte Gerät sich an einem sicheren physischen Standort befindet.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird für die automatische Anmeldung standardmäßig das Verhalten "Aktiviert, wenn BitLocker aktiv ist und nicht angehalten wird" angewendet.