ADMX-Vorlagen für Windows 10 1909 als Download, drei neue GPO-Einstellungen

    , 18.11.2019
    Tags: ,

    Teaser-Bild für GPOBereits kurz nach der Frei­gabe der neuesten Version von Windows 10 stellt Microsoft die dazu­gehörigen admini­strativen Vor­lagen für die Gruppen­richt­linien bereit. Die Änderungen im Ver­gleich zum Release 1903 sind nur gering­fügig, eine Dokumen­tation lässt seit Windows 10 1809 auf sich warten.

    Aufgrund der relativ wenigen Neuerungen, die Windows 10 1909 bzw. 19H2 brachte, erstaunt es nicht, wenn sich auch bei den Gruppen­richtlinien nicht allzu viel tut. Um die Unterschiede fest­zustellen, muss man mangels Dokumentation aktuell die Dateien jedoch selbst vergleichen.

    Eine neue Einstellung für den Enterprise Mode

    Dabei stellt sich heraus, dass Microsoft nur zwei ADMX-Dateien geändert hat, nämlich DeviceInstallation.admx und inetres.admx für den Internet Explorer. Letzterer erhält nun eine weitere Option mit der Bezeichnung KeepIntranet­SitesIn­Internet­Explorer, um die Arbeits­teilung mit Edge zu regeln. In der Beschreibung heißt es:

    Verhindert, dass Intranetsites in jedem Browser, mit Ausnahme von Internet Explorer, geöffnet werden. Beachten Sie jedoch, dass diese Richtlinie keine Auswirkungen hat, wenn die Richtlinie ‘Alle Websites, die nicht in der Enterprise Mode Site List enthalten sind, an Microsoft Edge senden’ (‘RestrictIE’) nicht aktiviert ist.

    Bestimmte PnP-Geräte erlauben bzw. blockieren

    Die zwei neuen Einstellungen in DeviceInstallation.admx heißen "Installation von Geräten mit diesen Geräte-IDs verhindern" und "Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen".

    Neue GPO-Einstellung in Windows 10 1909 für das Blacklisting bestimmter PnP-Geräte.

    Sie erlauben Admins, Plug-and-Play-Geräte mit einer bestimmten Instance-ID auf eine Black- bzw. Whitelist zu setzen und diese damit beispielsweise zu sperren.

    Die Device-ID der Geräte lässt sich in PowerShell nach diesem Muster ermitteln:

    Get-PnpDevice | select friendlyName, InstanceID

    Instance-ID von PnP-Geräten mit PowerShell ermitteln

    Office-Vorlagen nicht mehr enthalten

    Entpackt man die Vorlagen für Windows 10 1903 und 1909 jeweils in Ordner unter dem gleichen Verzeichnis, dann stellt man mit dem guten alten Kommando­interpreter mittels

    for %i in (*.admx) do if not exist ..\admx-1909\%i echo %i

    schnell fest, dass Microsoft entgegen der bisherigen Gewohnheiten die Vorlagen für Office nicht mehr auf diesem Weg ausliefert.

    Die Vorlagen für Office gehören nicht mehr zum Lieferumfang des ADMX-Downloads.

    Installation

    Wie üblich, sind die neuesten administrativen Vorlagen für die Gruppen­richtlinien in Windows 10 1909 enthalten, und zwar unter %systemroot%\PolicyDefinitions. Allerdings beschränken sie sich dort auf die Sprachdateien für Englisch und die Sprache des lokalisierten Betriebs­systems. Zudem fehlen die ADMX-Dateien, die für lokale Gruppen­richtlinien irrelevant sind, etwa GroupPolicyPreferences.admx.

    Die kompletten Templates für Windows 10 1909 erhält man über den ADMX-Download von dieser Microsoft-Seite. Er liegt wieder als MSI-Paket vor und umfasst sämtliche Sprach­dateien. Nach dem Entpacken in ein beliebiges Verzeichnis kopiert man die Vorlagen, falls man einen Central Store verwendet, nach

    \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions

    Fazit

    Die administrativen Vorlagen für die Gruppen­richtlinien spiegeln wider, dass Windows 10 1909 kaum neue Features bringt und beschränken sich auf 3 neue Einstellungen. Beim ADK bleibt es gleich bei der Version 1903, die auch 1909 abdeckt.

    Ein Update für die Security Baseline 1909 ist mittlerweile auch erschienen. Und irgendwann bringt Microsoft hoffentlich auch die GPO-Dokumentation wieder auf den neuesten Stand.

    Keine Kommentare