ADMX für Windows 10 2004 als Download, Excel-Tabelle mit allen GPO-Einstellungen

    Setup für ADMX 2004Kurz nach dem Start des allge­meinen Roll-out von Windows 10 2004 stellt Micro­soft die Vor­lagen für die Gruppen­richt­linien als eigenen Down­load bereit. Eine Doku­mentation in Form der bekannten Excel-Tabelle gibt es bis dato nicht. Alter­nativ biete ich wieder meine mehr­sprachige Über­sicht über alle Ein­stellungen an.

    Anhand der ADMX-Vorlagen, die im Betriebs­system enthalten sind, sowie auf Basis der vorläufigen Security Baseline war bereits ersichtlich, welche neuen Einstellungen Windows 10 2004 bringen würde (siehe dazu: Windows 10 2004: 17 neue Einstellungen für Gruppenrichtlinien).

    Sie betreffen unter anderem die Übermittlungs­optimierung (Delivery Optimization) für Windows Update for Business (WUfB), App- und LDAP-Sicherheit, den Virenscanner oder die FIDO-Authenti­fizierung. Zwei wichtige Änderungen gelten den Kennwort­richtlinien und entstammen somit nicht den ADMX-Vorlagen, sondern den Security Policies.

    ADMX in Central Store übertragen

    Wie üblich, stellt Microsoft die ADMX-Dateien als MSI-Paket zur Verfügung, dessen Installation einen administrativen Account erfordert. Standardmäßig entpackt es die Vorlagen nach %ProgramFiles(x86)%\Microsoft Group Policy\Windows 10 May 2020 Update (2004).

    Die Installationsroutine speichert die Vorlagen standardmäßig unter Programme (x86).

    Nutzt man einen zentralen Speicher für die GPO-Templates, dann kopiert man die ADMX- sowie die benötigten Sprachdateien vom Installations­verzeichnis nach

    \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions

    Einstellungen für Edge wieder an Bord

    Im Gegensatz zu den Vorlagen, die mit dem Betriebs­system kommen, enthält der Download noch die Datei MicrosoftEdge.admx und somit alle Einstellungen für die ursprüngliche Version des Edge-Browsers. Jene für die Chromium-Ausführung sind ebenso wenig an Bord wie die Templates für Microsoft Office, die bis Windows 10 1903 ebenfalls zum Lieferumfang des MSI gehörten.

    Wie üblich umfassen die separat verfügbaren ADMX-Vorlagen die Language Files für 22 Sprachen, während auf einer Workstation nur en-US oder die Sprache des lokalisierten Windows verfügbar ist. Das kommt solchen Unter­nehmen entgegen, die das Betriebs­system in mehreren Sprach­versionen nutzen.

    Hinzu kommen solche ADMX-Dateien, welche für die lokalen Gruppen­richtlinien keine Bedeutung haben und somit nicht in Windows 10 enthalten sind. Dazu zählt GroupPolicyPreferences.admx zur Konfi­guration der Group Policy Preferences, die nur in einer Domäne verfügbar sind.

    Fünf Einstellungen entfernt

    Zu beachten ist jedoch, dass Microsoft in den Templates für Windows 10 2004 einige bisherige Einstellungen entfernt hat. In diesem Fall lassen sich die betreffenden Richtlinien in bestehenden GPOs nicht mehr bearbeiten.

    Abhilfe schafft eine Workstation mit einer älteren Version der ADMX-Dateien, wobei man dann auf diesem Rechner den Zugriff auf einen eventuell vorhandenen Central Store deaktivieren sollte.

    Die ADMX-Dateien für Windows 10 2004 können von Microsofts Website heruntergeladen werden.

    Excel-Tabelle mit allen GPO-Einstellungen

    Als Dokumentation für die Einstellungen in den Gruppenrichtlinien veröffentlichte Microsoft stets eine Excel-Tabelle. Diese gibt es seit geraumer Zeit nicht mehr, als Ersatz dient ein unübersichtliches Spreadsheet aus der (derzeit noch vorläufigen) Security Baseline.

    Als Alternative dazu habe ich wieder eine eigene Übersicht aus den ADMX-Dateien generiert. Im Unterschied zur Microsoft-Tabelle ist sie nicht nur auf Englisch, sondern enthält die Namen der Optionen sowie die ihre Beschreibung in mehreren Sprachen, darunter natürlich auch in Deutsch.

    Eine wichtige Information in der Excel-Tabelle war von jeher, auf welche Version von Windows eine bestimmte Einstellung unterstützt wird. Sie ist grundsätzlich auch in den ADMX-Dateien enthalten und wird vom GPO-Editor angezeigt.

    Die Excel-Tabelle der Security Baseline nennt nach Windows 10 1903 keine genaue Versionsnummer mehr.

    Microsoft geht jedoch mehr und mehr dazu über, das genaue Release von Windows 10 wegzulassen. In Microsofts Übersicht aus der Security Baseline ist bereits bei 1903 Schluss, die ADMX-Dateien, aus denen ich die Daten entnommen habe, enthält noch Bezüge zur Version 1909, aber keine mehr für 2004. Ich habe diese daher in roter Schrift hervorgehoben.

    Unklar bleibt daher, ob diese Settings zwar neu in Windows 10 2004 sind, aber nach einem Update auch auf älteren Versionen unterstützt werden, oder einfach nur mangelhaft dokumentiert sind.

    Die mehrsprachige Tabelle mit allen GPO-Einstellungen kann hier heruntergeladen werden.

    2 Kommentare

    Karl Wester-Ebb... sagt:
    23. Juni 2020 - 12:41

    Upgrades lassen sich nun mehr als 365 Tage verzögern.

    " Actually as of last month, you can! The new target version policy will let you stay on a release, so long as it is supported, until you change the policy. This can be done via Intune, Group Policies, or some other MDMs. I know this isn’t the same approach as “defer update” but will hopefully give you the same result with as much or more control.
    For Group Policy, the policy can be found under the Windows Update node > Windows Update for Business > Target Release Version. To do this, you will need to download the new 2004 ADMX template that was just published and apply the new policy, which will work for all devices on 1803 and above who took the May security update."

    Quelle: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/roll-out-upda...

    Bild von Wolfgang Sommergut
    23. Juni 2020 - 20:09

    Danke für die interessante Info! Die neue Einstellung habe ich in meinem Beitrag über die neuen Einstellungen in Windows 10 2004 angesprochen, aber leider gibt es in der Beschreibung keinen Hinweis darauf, dass man damit Features-Updates beliebig lang verschieben kann. Dies erfährt man dann aus einem Kommentar zu einem Blog-Beitrag. Absolut ärgerlich, was Microsoft in puncto Dokumentation abliefert.