Tags: Gruppenrichtlinien, Windows 10
Bereits kurz nach der Freigabe der neuesten Version von Windows 10 stellt Microsoft die dazugehörigen administrativen Vorlagen für die Gruppenrichtlinien bereit. Die Änderungen im Vergleich zum Release 1903 sind nur geringfügig, eine Dokumentation lässt seit Windows 10 1809 auf sich warten.
Aufgrund der relativ wenigen Neuerungen, die Windows 10 1909 bzw. 19H2 brachte, erstaunt es nicht, wenn sich auch bei den Gruppenrichtlinien nicht allzu viel tut. Die Group Policy Settings Reference bietet Microsoft als Dokumentation der Änderungen nicht mehr, als Alternative eignet sich meine mehrsprachige Tabelle zu allen GPO-Einstellungen.
Eine neue Einstellung für den Enterprise Mode
Dabei stellt sich heraus, dass Microsoft nur zwei ADMX-Dateien geändert hat, nämlich DeviceInstallation.admx und inetres.admx für den Internet Explorer. Letzterer erhält nun eine weitere Option mit der Bezeichnung KeepIntranetSitesInInternetExplorer, um die Arbeitsteilung mit Edge zu regeln. In der Beschreibung heißt es:
Verhindert, dass Intranetsites in jedem Browser, mit Ausnahme von Internet Explorer, geöffnet werden. Beachten Sie jedoch, dass diese Richtlinie keine Auswirkungen hat, wenn die Richtlinie ‘Alle Websites, die nicht in der Enterprise Mode Site List enthalten sind, an Microsoft Edge senden’ (‘RestrictIE’) nicht aktiviert ist.
Bestimmte PnP-Geräte erlauben bzw. blockieren
Die zwei neuen Einstellungen in DeviceInstallation.admx heißen "Installation von Geräten mit diesen Geräte-IDs verhindern" und "Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen".
Sie erlauben Admins, Plug-and-Play-Geräte mit einer bestimmten Instance-ID auf eine Black- bzw. Whitelist zu setzen und diese damit beispielsweise zu sperren.
Die Device-ID der Geräte lässt sich in PowerShell nach diesem Muster ermitteln:
Get-PnpDevice | select friendlyName, InstanceID
Office-Vorlagen nicht mehr enthalten
Entpackt man die Vorlagen für Windows 10 1903 und 1909 jeweils in Ordner unter dem gleichen Verzeichnis, dann stellt man mit dem guten alten Kommandointerpreter mittels
for %i in (*.admx) do if not exist ..\admx-1909\%i echo %i
schnell fest, dass Microsoft entgegen der bisherigen Gewohnheiten die Vorlagen für Office nicht mehr auf diesem Weg ausliefert.
Installation
Wie üblich, sind die neuesten administrativen Vorlagen für die Gruppenrichtlinien in Windows 10 1909 enthalten, und zwar unter %systemroot%\PolicyDefinitions. Allerdings beschränken sie sich dort auf die Sprachdateien für Englisch und die Sprache des lokalisierten Betriebssystems. Zudem fehlen die ADMX-Dateien, die für lokale Gruppenrichtlinien irrelevant sind, etwa GroupPolicyPreferences.admx.
Die kompletten Templates für Windows 10 1909 erhält man über den ADMX-Download von dieser Microsoft-Seite. Er liegt wieder als MSI-Paket vor und umfasst sämtliche Sprachdateien. Nach dem Entpacken in ein beliebiges Verzeichnis kopiert man die Vorlagen, falls man einen Central Store verwendet, nach
\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions
Fazit
Die administrativen Vorlagen für die Gruppenrichtlinien spiegeln wider, dass Windows 10 1909 kaum neue Features bringt und beschränken sich auf 3 neue Einstellungen. Beim ADK bleibt es gleich bei der Version 1903, die auch 1909 abdeckt.
Ein Update für die Security Baseline 1909 ist mittlerweile auch erschienen. Und irgendwann bringt Microsoft hoffentlich auch die GPO-Dokumentation wieder auf den neuesten Stand.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
Weitere Links