Tags: Windows 10, Gruppenrichtlinien
Microsoft erweitert die Gruppenrichtlinien auch in Windows 10 1903 um neue Einstellungen für. Sie dienen dieses Mal nicht der Konfiguration neuer, sondern schon vorhandener Features. So lässt sich mit einer Richtlinie das Einspielen von Updates erzwingen, außerdem kann man die Speicheroptimierung erstmals zentral verwalten.
Derzeit gibt es noch keine offizielle Dokumentation zu den GPO-Einstellungen im neuesten Release von Windows 10. Diese macht Microsoft seit Jahren als Excel-Tabelle zugänglich, deren Nutzen aber unter der fehlenden Pflege und Dateninkonsistenzen leidet. Es bleibt abzuwarten, ob sich die Situation mit der Version 1903 bessert.
Extraktion der Einstellungen aus den ADMX
Die folgenden Daten zu den neuen GPO-Einstellungen habe ich direkt den ADMX- und ADML-Dateien entnommen. Mit den XML-Funktionen von PowerShell lässt sich eine Liste sämtlicher Settings relativ einfach erstellen:
$admx = Get-ChildItem "$env:SystemRoot\PolicyDefinitions\*.admx"
$admx | %{ [xml]$f = Get-Content -Path $_
$f.policyDefinitions.policies.policy.name}
Diese generiert man jeweils für Windows 10 1809 und 1903 und vergleicht die beiden Ergebnisse. Unsicherheiten und Fehlerquellen gibt es allerdings auch hier, weil die XML-Struktur der administrativen Vorlagen nicht konsistent ist. Für die Sprachdateien verwendet Microsoft mindestens 5 verschiedene Attribute, um die Erklärung für die Einstellungen zu kennzeichnen.
Eine solche Analyse der ADMX-Dateien ermittelt die folgenden neue Einstellungen für Windows 10 1903, wie sie die Tabelle am Ende des Textes zeigt. Die komplette Übersicht mit allen Erläuterungen findet sich hier.
Einspielen von Updates erzwingen
Zu den interessanten Neuerungen gehört die Einstellung ComplianceDeadline für Windows Update. Eine solche existierte bereits bisher, aber sie erlaubte einen Reboot nur außerhalb der Nutzungszeit und galt für alle Updates.
Nun können Admins damit jeweils einen Zeitraum für Qualitäts- und Features-Updates getrennt festlegen, innerhalb dessen sie installiert werden müssen.
De facto erzwingt man damit einen Neustart des Rechners in einer Frist von maximal 30 Tagen, und zwar unabhängig von der Nutzungszeit und ohne Möglichkeit des Users, diesen weiter aufzuschieben.
Diese Einstellung löst das Problem, dass wichtige Updates über eine längere Zeit verschleppt werden, wenn Benutzer ihren PC außerhalb der Arbeitszeiten nicht herunterfahren und sich auch nicht abmelden. Es existiert vor allem dann, wenn Windows Update so konfiguriert wurde, dass ein Neustart nicht möglich ist, solange ein User eingeloggt ist.
Die Einstellung ist nicht zu verwechseln mit jenen für Windows Update for Business (WUfB), die das Installieren von Updates und Upgrades für einen bestimmten Zeitraum zurückstellen können.
Für WUfB bringt Windows 10 1903 ebenfalls zwei neue Einstellungen, mit denen sich das Cache-Verhalten steuern lässt.
Speicheroptimierung
Die Speicheroptimierung ("Storage Sense") ist ein Feature von Windows, das nicht benötigte Dateien automatisch entfernt und so den verfügbaren Platz auf den Datenträgern vergrößert. In der Version 1903 kann der Admin diese Funktion erstmals zentral steuern.
Dazu gehört, dass sich das Feature per GPO ein- und ausschalten lässt. Darüber hinaus kann man Schwellenwerte für die Bereinigung des Download-Ordners, des Papierkorbs und für Dateien in der Cloud festlegen. Außerdem lässt sich bestimmen, ob temporäre Dateien gelöscht werden sollen.
Konfiguration der Windows-Anmeldung
Zu den zahlreichen Einstellungen, die den Anmeldevorgang beeinflussen, gesellen sich in Windows 10 1903 drei neue. Zum einen kann man damit die automatische Anmeldung und Sperrung des letzten interaktiven Benutzers nach einem Neustart konfigurieren.
Zum anderen kann eine zusätzliche Einstellung den Weichzeichner für das Hintergrundbild abschalten. Und schließlich erlaubt die dritte Option dem Admin, die Verwendung von Sicherheitsfragen für lokale Konten zu unterbinden.
Weitere Einstellungen
Neue GPO-Richtlinien betreffen zudem die Sprachsteuerung von Apps, die Sammlung von systembezogenen Daten (wobei unklar ist, welche Rolle die "kommerzielle Windows-Datenpipeline" in diesem Zusammenhang spielt) und den Zugriff der User auf die empfohlene Problembehandlung.
Hinzu kommt eine Einstellung für svchost.exe, die erfordert, dass die von ihr ausgeführten Prozesse nur Binärdateien laden können, die durch Microsoft signiert wurden. Sie kann zudem dynamisch generierten Code blockieren.
Schließlich lässt sich noch der WDDM-Grafiktreiber für Remote-Desktop-Verbindungen über eine neue Richtlinie aktivieren.
Einstellung | Beschreibung |
---|---|
LetAppsActivateWithVoice | Aktivierung von Windows-Apps mit Sprachbefehlen zulassen |
LetAppsActivateWithVoiceAboveLock | Windows-Apps können mit einem Sprachbefehl aktiviert werden, während das System gesperrt ist |
NoLocalPasswordResetQuestions | Verwendung von Sicherheitsfragen für lokale Konten verhindern |
AllowCommercialDataPipeline | Kommerzielle Datenpipeline zulassen |
DelayCacheServerFallbackBackground | Verzögerter Cacheserver-Fallback für Hintergrund-Download (in Sekunden) |
DelayCacheServerFallbackForeground | Verzögerter Cacheserver-Fallback für Vordergrund-Download (in Sekunden): |
DisableAcrylicBackgroundOnLogon | Leeren Anmeldehintergrund anzeigen |
TroubleshootingAllowRecommendations | Problembehandlung: Benutzern den Zugriff auf die empfohlene Problembehandlung für bekannte Probleme erlauben |
SvchostProcessMitigationEnable | Ausgleichsoptionen für svchost.exe aktivieren |
SS_AllowStorageSenseGlobal | Speicheroptimierung zulassen |
SS_ConfigStorageSenseGlobalCadence | Intervall der Speicheroptimierung konfigurieren |
SS_AllowStorageSenseTemporaryFilesCleanup | Löschen temporärer Dateien durch Speicheroptimierung zulassen |
SS_ConfigStorageSenseRecycleBinCleanupThreshold | Schwellenwert für Papierkorb-Bereinigung durch Speicheroptimierung konfigurieren |
SS_ConfigStorageSenseDownloadsCleanupThreshold | Schwellenwert für Bereinigung des Download-Ordners durch Speicheroptimierung konfigurieren |
SS_ConfigStorageSenseCloudContentDehydrationThreshold | Schwellenwert für Pausieren von Cloud-Inhalten durch Speicheroptimierung konfigurieren |
TS_SERVER_WDDM_GRAPHICS_DRIVER | WDDM-Grafiktreiber für Remotedesktopverbindungen verwenden |
SignatureUpdate_SharedSignaturesLocation | Speicherort der Sicherheitsinformationen für VDI-Clients festlegen. |
ComplianceDeadline | Fristen für automatische Updates und Neustarts angeben |
ConfigAutomaticRestartSignOn | Modus der automatischen Anmeldung und Sperrung des letzten interaktiven Benutzers nach Neu- oder Kaltstart konfigurieren |
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
- Sechs neue Gruppenrichtlinien für Windows 10 20H2, alle Einstellungen als Excel-Tabelle