ADMX für Windows 11 oder Windows 10 in den zentralen Store?

    , 19.01.2022
    Tags: , ,

    Teaser-Bild für GPODie admini­strativen Vorlagen für Windows 11 sind nicht abwärts­kompatibel, so dass sich Windows 10 damit nicht voll­ständig ver­walten lässt. Dieser Zustand wird sich voraus­sichtlich nicht ändern. In ge­mischten Umgebungen stellt sich für Admins daher die Frage, welche ADMX sie im zen­tralen Speicher hinter­legen sollen.

    Windows 11 brachte eine ganze Reihe neuer Einstellungen für die Gruppen­richtlinien, die Admins benötigen, um neue Features des OS zu verwalten. Umgekehrt erhielt auch Windows 10 21H2 einige neue Optionen, die teilweise nicht in den ADMX von Windows 11 enthalten sind.

    Administriert man die Windows-10-PCs mit den ADMX von Windows 11, dann fallen diese Einstellungen durch den Rost.

    Liste der abweichenden Einstellungen

    Microsoft hat nun die Einstellungen, welche nur für eine der beiden OS-Versionen existieren, in einem Blog-Beitrag aufgelistet. Die Übersicht entspricht weitgehend meinem Vergleich der administrativen Vorlagen mit Hilfe eines PowerShell-Scripts.

    Der Autor geht zudem davon aus, dass es bei den separaten ADMX bleiben wird, bis der Support für Windows 10 abläuft. Da viele Unternehmen sukzessive auf Windows 11 umstellen, besteht dort über einen längeren Zeitraum eine gemischte Umgebung aus beiden OS-Versionen. Und in diesem Fall stellt sich die Frage, wie man die Gruppen­richtlinien verwalten möchte.

    Eigene Admin-Workstation für ADMX

    Eine Möglichkeit besteht darin, die ADMX für die vorherrschende OS-Version im zentralen Store abzulegen und eigene PCs für das GPO-Management mit den anderen Vorlagen bereit­zustellen.

    Entscheidet man sich zum Beispiel für die ADMX von Windows 11 im zentralen Speicher, dann richtet man ergänzend dazu eine Admin-Workstation mit Windows 10 ein und fügt dort folgenden Registry-Schlüssel hinzu:

    Diese Maßnahme bewirkt, dass der GPO-Editor die lokalen Vorlagen lädt.

    Laden der administrativen Vorlagen vom lokalen Rechner mit einem Eintrag in die Registry erzwingen

    Einstellungen für Windows 10 21H2 evaluieren

    Eine Alternative bestünde darin, die Einstellungen zu prüfen, die nur für Windows 10, aber nicht für Windows 11 existieren. Benötigt man diese nicht, dann kann man sich auf die ADMX für Windows 11 in der gesamten Umgebung beschränken. Die folgende Tabelle enthält die exklusiven Einstellungen für Windows 10 21H2.

    ADMX-Name Bereich Einstellung
    DataCollection User und Computer Telemetrie zulassen: Erweitert
    (Allow Telemetry: Enhanced)
    DeliveryOptimization Computer Downloadmodus: Umgehungsmodus
    (Download Mode: Bypass)
    EAIME User Live-Sticker aktivieren
    (Turn on Live Sticker)
    EAIME User Lexikonaktualisierung aktivieren
    (Turn on lexicon update)
    InetRes User und Computer Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden
    (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects)
    InetRes User und Computer Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen
    (Reset zoom to default for HTML dialogs in Internet Explorer mode)
    MicrosoftEdge User und Computer Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken
    (Suppress the display of Edge Deprecation Notification)
    Printing Computer Beschränkt die Installation von Drucker­treibern auf Admini­stratoren
    (Limits print driver installation to Administrators)
    TerminalServer Computer Remotedesktop-Lizenzierungsmodus festlegen: AAD pro Benutzer
    (Set the Remote Desktop licensing mode: AAD per User)
    WindowsDefender Computer Scannen von gepackten ausführbaren Dateien
    (Scan packed executables)

    Wie man schnell erkennt, kann man auf die meisten Einstellungen ohne weiteres verzichten. Viele Unternehmen nutzen den Internet Explorer nicht mehr als Standard-Browser und die Ausführung von Flash lässt sich auch mit anderen Mitteln verhindern.

    Die Warnung vor dem ursprünglichen und mittlerweile veralteten Edge ist in verwalteten Umgebung von begrenztem Nutzen, da die User den Browser in der Regel nicht selbst aktualisieren können.

    Die Einstellung für die Übermittlungs­optimierung erlaubt eine Umstellung auf das BITS-Protokoll und dürfte in der Praxis kaum eine Bedeutung haben. Ebenso wenig dringlich sollte die erweiterte Datenerfassung durch Microsoft sein.

    Wichtiger ist die Option, Point and Print auf Administratoren zu beschränken, um die Schwachstellen im Print-Spooler ("PrintNightmare") abzusichern. Die entsprechende Einstellung erhält man jedoch für Windows 11 über SecGuide.admx aus der Security Baseline.

    Gruppenrichtlinie zum Schutz gegen die Schwachstelle im Print-Spooler

    Letztlich bleiben die Einstellungen für das Scannen von gezippten Programm­dateien und die RDS-Lizenzierung. Braucht man sie ebenfalls nicht, gibt keinen Grund, bei den administrativen Vorlagen zweigleisig zu fahren.

    Fazit

    Microsoft macht es Admins mit den inkompatiblen ADMX von Windows 10 und 11 unnötig schwer. Es spräche nichts dagegen, alle Einstellungen in den administrativen Vorlagen von Windows 11 zu konsolidieren und damit auch alle älteren Versionen des Betriebs­systems abzudecken.

    Ein Nebeneinander der ADMX für Windows 10 und 11 lässt sich in gemischten Umgebungen nicht vermeiden, wenn man eine der exklusiven Einstellungen von Windows 10 benötigt. Dies sollte in den meisten Firmen aber nicht der Fall sein, so dass man sich dort auf die Templates für Windows 11 beschränken kann.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Karl Wester-Ebb... (Besucher) sagt:
    20. Januar 2022 - 11:07

    Lieber Wolfgang,
    frohes Neues Jahr!

    Danke für deinen Beitrag und dein Fazit, ich stimme dem zu. Die Situation besteht schon seit Oktober, jedoch ging ich von einer Übergangslösung aus.

    Meine Bedenken habe ich im Blogbeitrag auch schon kundgetan. Es ist unglaublich, wie unpraktikabel die Umsetzung ist. Auch im Detail bezüglich der fehlenden Filterbarkeit nach OS bei den Windows 11 ADMX.

    In ähnlichem Zusammenhang dürfte dies auch interessant sein
    Aria Carley beschreibt welche Windows Update GPOs Relevanz haben, die nun nach der Neuordnung in den Windows 11 ADMX auf bis hin Windows 10 20H2 empfohlen werden.

    https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shoul...

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    20. Januar 2022 - 14:47

    Hallo Karl, wünsche dir ebenfalls ein gutes 2022!

    Den Beitrag von Aria Carley habe ich bereits gesehen, der wartet auch auf eine Analyse :-)