Neue GPO-Einstellungen in Windows 10 1903: Updates erzwingen, Speicheroptimierung, Logon

    , 26.04.2019
    Tags: ,

    Teaser-Bild für GPOMicrosoft er­weitert die Gruppen­richt­linien auch in Windows 10 1903 um neue Ein­stellungen für. Sie dienen dieses Mal nicht der Konfi­guration neuer, sondern schon vor­handener Features. So lässt sich mit einer Richt­linie das Ein­spielen von Updates er­zwingen, außer­dem kann man die Speicher­optimierung erstmals zen­tral ver­walten.

    Derzeit gibt es noch keine offizielle Doku­mentation zu den GPO-Einstellungen im neuesten Release von Windows 10. Diese macht Microsoft seit Jahren als Excel-Tabelle zugänglich, deren Nutzen aber unter der fehlenden Pflege und Daten­inkonsistenzen leidet. Es bleibt abzuwarten, ob sich die Situation mit der Version 1903 bessert.

    Extraktion der Einstellungen aus den ADMX

    Die folgenden Daten zu den neuen GPO-Einstellungen habe ich direkt den ADMX- und ADML-Dateien entnommen. Mit den XML-Funktionen von Power­Shell lässt sich eine Liste sämtlicher Settings relativ einfach erstellen:

    $admx = Get-ChildItem "$env:SystemRoot\PolicyDefinitions\*.admx"

    $admx | %{ [xml]$f = Get-Content -Path $_
    $f.policyDefinitions.policies.policy.name}

    Diese generiert man jeweils für Windows 10 1809 und 1903 und vergleicht die beiden Ergebnisse. Unsicher­heiten und Fehler­quellen gibt es allerdings auch hier, weil die XML-Struktur der admini­strativen Vorlagen nicht konsistent ist. Für die Sprachdateien verwendet Microsoft mindestens 5 ver­schiedene Attribute, um die Erklärung für die Einstellungen zu kenn­zeichnen.

    Eine solche Analyse der ADMX-Dateien ermittelt die folgenden neue Einstellungen für Windows 10 1903, wie sie die Tabelle am Ende des Textes zeigt. Die komplette Übersicht mit allen Erläuterungen findet sich hier.

    Einspielen von Updates erzwingen

    Zu den interessanten Neuerungen gehört die Einstellung ComplianceDeadline für Windows Update. Eine solche existierte bereits bisher, aber sie erlaubte einen Reboot nur außerhalb der Nutzungszeit und galt für alle Updates.

    Nun können Admins damit jeweils einen Zeitraum für Qualitäts- und Features-Updates getrennt festlegen, innerhalb dessen sie installiert werden müssen.

    De facto erzwingt man damit einen Neustart des Rechners in einer Frist von maximal 30 Tagen, und zwar unabhängig von der Nutzungszeit und ohne Möglichkeit des Users, diesen weiter aufzu­schieben.

    Mit einer neuen Einstellung für Windows Update lässt sich das Einspielen von Patches in einer bestimmten Frist erzwingen.

    Diese Einstellung löst das Problem, dass wichtige Updates über eine längere Zeit verschleppt werden, wenn Benutzer ihren PC außerhalb der Arbeitszeiten nicht herunterfahren und sich auch nicht abmelden. Es existiert vor allem dann, wenn Windows Update so konfiguriert wurde, dass ein Neustart nicht möglich ist, solange ein User eingeloggt ist.

    Die Einstellung ist nicht zu verwechseln mit jenen für Windows Update for Business (WUfB), die das Installieren von Updates und Upgrades für einen bestimmten Zeitraum zurückstellen können.

    Für WUfB bringt Windows 10 1903 ebenfalls zwei neue Einstellungen, mit denen sich das Cache-Verhalten steuern lässt.

    Speicheroptimierung

    Die Speicher­optimierung ("Storage Sense") ist ein Feature von Windows, das nicht benötigte Dateien automatisch entfernt und so den verfügbaren Platz auf den Daten­trägern vergrößert. In der Version 1903 kann der Admin diese Funktion erstmals zentral steuern.

    Die Steuerung der Speicheroptimierung ist nun über GPOs möglich

    Dazu gehört, dass sich das Feature per GPO ein- und ausschalten lässt. Darüber hinaus kann man Schwellenwerte für die Bereinigung des Download-Ordners, des Papierkorbs und für Dateien in der Cloud festlegen. Außerdem lässt sich bestimmen, ob temporäre Dateien gelöscht werden sollen.

    Konfiguration der Windows-Anmeldung

    Zu den zahlreichen Einstellungen, die den Anmelde­vorgang beeinflussen, gesellen sich in Windows 10 1903 drei neue. Zum einen kann man damit die automatische Anmeldung und Sperrung des letzten interaktiven Benutzers nach einem Neustart konfigurieren.

    Der weichgezeichnete Hintergrund des Anmeldebildschirms lässt sich deaktivieren.

    Zum anderen kann eine zusätzliche Einstellung den Weichzeichner für das Hinter­grundbild abschalten. Und schließlich erlaubt die dritte Option dem Admin, die Verwendung von Sicherheits­fragen für lokale Konten zu unterbinden.

    Weitere Einstellungen

    Neue GPO-Richtlinien betreffen zudem die Sprachsteuerung von Apps, die Sammlung von system­bezogenen Daten (wobei unklar ist, welche Rolle die "kommerzielle Windows-Datenpipeline" in diesem Zusammen­hang spielt) und den Zugriff der User auf die empfohlene Problembehandlung.

    Hinzu kommt eine Einstellung für svchost.exe, die erfordert, dass die von ihr ausgeführten Prozesse nur Binärdateien laden können, die durch Microsoft signiert wurden. Sie kann zudem dynamisch generierten Code blockieren.

    Schließlich lässt sich noch der WDDM-Grafiktreiber für Remote-Desktop-Verbindungen über eine neue Richtlinie aktivieren.

    EinstellungBeschreibung
    LetAppsActivate­WithVoice Aktivierung von Windows-Apps mit Sprachbefehlen zulassen
    LetAppsActivate­WithVoiceAboveLock Windows-Apps können mit einem Sprachbefehl aktiviert werden, während das System gesperrt ist
    NoLocalPassword­ResetQuestions Verwendung von Sicherheitsfragen für lokale Konten verhindern
    AllowCommercial­DataPipeline Kommerzielle Datenpipeline zulassen
    DelayCacheServer­FallbackBackground Verzögerter Cacheserver-Fallback für Hintergrund-Download (in Sekunden)
    DelayCacheServer­FallbackForeground Verzögerter Cacheserver-Fallback für Vordergrund-Download (in Sekunden):
    DisableAcrylic­BackgroundOnLogon Leeren Anmeldehintergrund anzeigen
    Troubleshooting­AllowRecommendations Problembehandlung: Benutzern den Zugriff auf die empfohlene Problembehandlung für bekannte Probleme erlauben
    SvchostProcess­MitigationEnable Ausgleichsoptionen für svchost.exe aktivieren
    SS_AllowStorageSenseGlobal Speicheroptimierung zulassen
    SS_Config­StorageSense­GlobalCadence Intervall der Speicheroptimierung konfigurieren
    SS_AllowStorageSense­TemporaryFilesCleanup Löschen temporärer Dateien durch Speicheroptimierung zulassen
    SS_ConfigStorageSense­RecycleBinCleanupThreshold Schwellenwert für Papierkorb-Bereinigung durch Speicheroptimierung konfigurieren
    SS_ConfigStorageSense­DownloadsCleanupThreshold Schwellenwert für Bereinigung des Download-Ordners durch Speicheroptimierung konfigurieren
    SS_ConfigStorageSense­CloudContentDehydrationThreshold Schwellenwert für Pausieren von Cloud-Inhalten durch Speicheroptimierung konfigurieren
    TS_SERVER_WDDM_GRAPHICS_DRIVER WDDM-Grafiktreiber für Remotedesktopverbindungen verwenden
    SignatureUpdate_­SharedSignaturesLocation Speicherort der Sicherheitsinformationen für VDI-Clients festlegen.
    ComplianceDeadline Fristen für automatische Updates und Neustarts angeben
    ConfigAutomatic­RestartSignOn Modus der automatischen Anmeldung und Sperrung des letzten interaktiven Benutzers nach Neu- oder Kaltstart konfigurieren

    Keine Kommentare