ADMX-Vorlagen für Windows 10 1909 als Download, drei neue GPO-Einstellungen

Bereits kurz nach der Frei­gabe der neuesten Version von Windows 10 stellt Microsoft die dazu­gehörigen admini­strativen Vor­lagen für die Gruppen­richt­linien bereit. Die Änderungen im Ver­gleich zum Release 1903 sind nur gering­fügig, eine Dokumen­tation lässt seit Windows 10 1809 auf sich warten.

Aufgrund der relativ wenigen Neuerungen, die Windows 10 1909 bzw. 19H2 brachte, erstaunt es nicht, wenn sich auch bei den Gruppen­richtlinien nicht allzu viel tut. Die Group Policy Settings Reference bietet Microsoft als Dokumentation der Änderungen nicht mehr, als Alternative eignet sich meine mehrsprachige Tabelle zu allen GPO-Einstellungen.

Eine neue Einstellung für den Enterprise Mode

Dabei stellt sich heraus, dass Microsoft nur zwei ADMX-Dateien geändert hat, nämlich DeviceInstallation.admx und inetres.admx für den Internet Explorer. Letzterer erhält nun eine weitere Option mit der Bezeichnung KeepIntranet­SitesIn­Internet­Explorer, um die Arbeits­teilung mit Edge zu regeln. In der Beschreibung heißt es:

Verhindert, dass Intranetsites in jedem Browser, mit Ausnahme von Internet Explorer, geöffnet werden. Beachten Sie jedoch, dass diese Richtlinie keine Auswirkungen hat, wenn die Richtlinie ‘Alle Websites, die nicht in der Enterprise Mode Site List enthalten sind, an Microsoft Edge senden’ (‘RestrictIE’) nicht aktiviert ist.

Bestimmte PnP-Geräte erlauben bzw. blockieren

Die zwei neuen Einstellungen in DeviceInstallation.admx heißen "Installation von Geräten mit diesen Geräte-IDs verhindern" und "Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen".

Sie erlauben Admins, Plug-and-Play-Geräte mit einer bestimmten Instance-ID auf eine Black- bzw. Whitelist zu setzen und diese damit beispielsweise zu sperren.

Die Device-ID der Geräte lässt sich in PowerShell nach diesem Muster ermitteln:

Get-PnpDevice | select friendlyName, InstanceID

Office-Vorlagen nicht mehr enthalten

Entpackt man die Vorlagen für Windows 10 1903 und 1909 jeweils in Ordner unter dem gleichen Verzeichnis, dann stellt man mit dem guten alten Kommando­interpreter mittels

for %i in (*.admx) do if not exist ..\admx-1909\%i echo %i

schnell fest, dass Microsoft entgegen der bisherigen Gewohnheiten die Vorlagen für Office nicht mehr auf diesem Weg ausliefert.

Installation

Wie üblich, sind die neuesten administrativen Vorlagen für die Gruppen­richtlinien in Windows 10 1909 enthalten, und zwar unter %systemroot%\PolicyDefinitions. Allerdings beschränken sie sich dort auf die Sprachdateien für Englisch und die Sprache des lokalisierten Betriebs­systems. Zudem fehlen die ADMX-Dateien, die für lokale Gruppen­richtlinien irrelevant sind, etwa GroupPolicyPreferences.admx.

Die kompletten Templates für Windows 10 1909 erhält man über den ADMX-Download von dieser Microsoft-Seite. Er liegt wieder als MSI-Paket vor und umfasst sämtliche Sprach­dateien. Nach dem Entpacken in ein beliebiges Verzeichnis kopiert man die Vorlagen, falls man einen Central Store verwendet, nach

\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions

Fazit

Die administrativen Vorlagen für die Gruppen­richtlinien spiegeln wider, dass Windows 10 1909 kaum neue Features bringt und beschränken sich auf 3 neue Einstellungen. Beim ADK bleibt es gleich bei der Version 1903, die auch 1909 abdeckt.

Ein Update für die Security Baseline 1909 ist mittlerweile auch erschienen. Und irgendwann bringt Microsoft hoffentlich auch die GPO-Dokumentation wieder auf den neuesten Stand.