Tags: Gruppenrichtlinien, Windows 11, Kompatibilität
Die administrativen Vorlagen für Windows 11 sind nicht abwärtskompatibel, so dass sich Windows 10 damit nicht vollständig verwalten lässt. Dieser Zustand wird sich voraussichtlich nicht ändern. In gemischten Umgebungen stellt sich für Admins daher die Frage, welche ADMX sie im zentralen Speicher hinterlegen sollen.
Windows 11 brachte eine ganze Reihe neuer Einstellungen für die Gruppenrichtlinien, die Admins benötigen, um neue Features des OS zu verwalten. Umgekehrt erhielt auch Windows 10 21H2 einige neue Optionen, die teilweise nicht in den ADMX von Windows 11 enthalten sind.
Administriert man die Windows-10-PCs mit den ADMX von Windows 11, dann fallen diese Einstellungen durch den Rost.
Liste der abweichenden Einstellungen
Microsoft hat nun die Einstellungen, welche nur für eine der beiden OS-Versionen existieren, in einem Blog-Beitrag aufgelistet. Die Übersicht entspricht weitgehend meinem Vergleich der administrativen Vorlagen mit Hilfe eines PowerShell-Scripts.
Der Autor geht zudem davon aus, dass es bei den separaten ADMX bleiben wird, bis der Support für Windows 10 abläuft. Da viele Unternehmen sukzessive auf Windows 11 umstellen, besteht dort über einen längeren Zeitraum eine gemischte Umgebung aus beiden OS-Versionen. Und in diesem Fall stellt sich die Frage, wie man die Gruppenrichtlinien verwalten möchte.
Eigene Admin-Workstation für ADMX
Eine Möglichkeit besteht darin, die ADMX für die vorherrschende OS-Version im zentralen Store abzulegen und eigene PCs für das GPO-Management mit den anderen Vorlagen bereitzustellen.
Entscheidet man sich zum Beispiel für die ADMX von Windows 11 im zentralen Speicher, dann richtet man ergänzend dazu eine Admin-Workstation mit Windows 10 ein und fügt dort folgenden Registry-Schlüssel hinzu:
Diese Maßnahme bewirkt, dass der GPO-Editor die lokalen Vorlagen lädt.
Einstellungen für Windows 10 21H2 evaluieren
Eine Alternative bestünde darin, die Einstellungen zu prüfen, die nur für Windows 10, aber nicht für Windows 11 existieren. Benötigt man diese nicht, dann kann man sich auf die ADMX für Windows 11 in der gesamten Umgebung beschränken. Die folgende Tabelle enthält die exklusiven Einstellungen für Windows 10 21H2.
ADMX-Name | Bereich | Einstellung |
---|---|---|
DataCollection | User und Computer | Telemetrie zulassen: Erweitert (Allow Telemetry: Enhanced) |
DeliveryOptimization | Computer | Downloadmodus: Umgehungsmodus (Download Mode: Bypass) |
EAIME | User | Live-Sticker aktivieren (Turn on Live Sticker) |
EAIME | User | Lexikonaktualisierung aktivieren (Turn on lexicon update) |
InetRes | User und Computer | Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects) |
InetRes | User und Computer | Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode) |
MicrosoftEdge | User und Computer | Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification) |
Printing | Computer | Beschränkt die Installation von Druckertreibern auf Administratoren (Limits print driver installation to Administrators) |
TerminalServer | Computer | Remotedesktop-Lizenzierungsmodus festlegen: AAD pro Benutzer (Set the Remote Desktop licensing mode: AAD per User) |
WindowsDefender | Computer | Scannen von gepackten ausführbaren Dateien (Scan packed executables) |
Wie man schnell erkennt, kann man auf die meisten Einstellungen ohne weiteres verzichten. Viele Unternehmen nutzen den Internet Explorer nicht mehr als Standard-Browser und die Ausführung von Flash lässt sich auch mit anderen Mitteln verhindern.
Die Warnung vor dem ursprünglichen und mittlerweile veralteten Edge ist in verwalteten Umgebung von begrenztem Nutzen, da die User den Browser in der Regel nicht selbst aktualisieren können.
Die Einstellung für die Übermittlungsoptimierung erlaubt eine Umstellung auf das BITS-Protokoll und dürfte in der Praxis kaum eine Bedeutung haben. Ebenso wenig dringlich sollte die erweiterte Datenerfassung durch Microsoft sein.
Wichtiger ist die Option, Point and Print auf Administratoren zu beschränken, um die Schwachstellen im Print-Spooler ("PrintNightmare") abzusichern. Die entsprechende Einstellung erhält man jedoch für Windows 11 über SecGuide.admx aus der Security Baseline.
Letztlich bleiben die Einstellungen für das Scannen von gezippten Programmdateien und die RDS-Lizenzierung. Braucht man sie ebenfalls nicht, gibt keinen Grund, bei den administrativen Vorlagen zweigleisig zu fahren.
Fazit
Microsoft macht es Admins mit den inkompatiblen ADMX von Windows 10 und 11 unnötig schwer. Es spräche nichts dagegen, alle Einstellungen in den administrativen Vorlagen von Windows 11 zu konsolidieren und damit auch alle älteren Versionen des Betriebssystems abzudecken.
Ein Nebeneinander der ADMX für Windows 10 und 11 lässt sich in gemischten Umgebungen nicht vermeiden, wenn man eine der exklusiven Einstellungen von Windows 10 benötigt. Dies sollte in den meisten Firmen aber nicht der Fall sein, so dass man sich dort auf die Templates für Windows 11 beschränken kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Gruppenrichtlinien in Windows 11 23H2
- Taskleiste in Windows 11 anpassen und mit GPO oder Intune verteilen
- Security Baseline für Windows 11 23H2: Neue Einstellungen für LAPS und Defender
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
Weitere Links
2 Kommentare
Lieber Wolfgang,
frohes Neues Jahr!
Danke für deinen Beitrag und dein Fazit, ich stimme dem zu. Die Situation besteht schon seit Oktober, jedoch ging ich von einer Übergangslösung aus.
Meine Bedenken habe ich im Blogbeitrag auch schon kundgetan. Es ist unglaublich, wie unpraktikabel die Umsetzung ist. Auch im Detail bezüglich der fehlenden Filterbarkeit nach OS bei den Windows 11 ADMX.
In ähnlichem Zusammenhang dürfte dies auch interessant sein
Aria Carley beschreibt welche Windows Update GPOs Relevanz haben, die nun nach der Neuordnung in den Windows 11 ADMX auf bis hin Windows 10 20H2 empfohlen werden.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shoul...
Hallo Karl, wünsche dir ebenfalls ein gutes 2022!
Den Beitrag von Aria Carley habe ich bereits gesehen, der wartet auch auf eine Analyse :-)