Excel-Tabelle mit GPO-Einstellungen für Windows 10 1703: 121 neue Optionen


    Tags: ,

    Teaser-Bild für GPOKurz nach dem Erscheinen des Creators Update aktualisierte Microsoft die Excel-Tabelle mit allen verfügbaren GPO-Einstellungen. Sie weist über 100 neue Einträge auf, die unter anderem für Windows Update for Business, Defender und Edge dienen. Einige wenige Einstellungen betreffen neue Features von Release 1703.

    Microsoft bietet die Excel-Tabelle mit allen Gruppenrichtlinien schon seit mehreren Versionen von Windows an, wobei ihr Aufbau und die Qualität der Daten variieren. Zuletzt kam eine Spalte mit Angaben über das Release von Windows 10 hinzu, so dass man etwa die neuen Einstellungen für 1611 oder 1703 mittels Filter auswählen kann.

    Über die erste Spalte kann man die Einstellungen nach Releases von Windows 10 filtern.

    Einstellungen teilweise abwärtskompatibel

    Unter den neuen Richtlinien für das Creators Update erkennt man schnell drei große Blöcke zum Edge-Browser, Windows Update for Business (WUfB) und Defender sowie Smartscreen. Letztere enthalten die überfällige Einstellung zum Abschalten von Windows Defender Antivirus, das man am Client bisher direkt über die Registry erledigen musste.

    Wie man der Tabelle entnehmen kann, lässt sich diese Einstellung auch auf ältere Windows-Versionen anwenden, sobald man ein GPO auf Basis der neuesten ADMX erstellt hat. Das gilt auch für manche andere neue Richtlinie.

    Browser-Richtlinien

    Große Fortschritte beim zentralen Management macht der Edge-Browser. Während er in der ersten Version kaum tauglich war für den Einsatz in Unternehmen, lassen sich viele wichtige Features nun über Gruppenrichtlinien steuern (siehe dazu: Edge-Browser für Unternehmen: Mehr GPO-Einstellungen, Sandbox mit Hyper-V).

    Der auf den ersten Blick umfangreiche Block mit neuen IE-Einstellungen reduziert sich bei genauerer Betrachtung auf das Ausführen von VBScript in verschiedenen Sicherheitszonen.

    Windows Update for Business

    Windows Update for Business erhält erwartungs­gemäß wieder neue Konfigurations­möglichkeiten, um seinem Anspruch als Cloud-Alternative zu WSUS irgendwann gerecht zu werden. Das Feature besteht grundsätzlich aus zwei Komponenten, nämlich GPOs zur Anpassung von Windows Update plus dem Caching-Mechanismus Übermittlungs­optimierung.

    Unternehmen können sich nun bei WUfB 1 Jahr Zeit lassen, bis sie ein neues Release installieren.

    Anlässlich der Freigabe von Windows 10 1703 legte sich Microsoft auf ein verlässliches Update-Intervall für das OS mit zwei Releases pro Jahr fest. Dies schlägt sich auch in den Fristen wieder, die man für den Aufschub von Upgrades konfigurieren kann (siehe dazu: Upgrade auf Windows 10 1703: Längere Frist bei WUfB, Express-Updates).

    Eine ganze Reihe weiterer neuer Einstellungen dienen dazu, das leidige Thema Neustart nach dem Einspielen von Patches besser in den Griff zu bekommen. So lässt sich nun beispielsweise einstellen, wann der Benutzer per Meldung an den fälligen Reboot erinnert wird und wie lange diese am Bildschirm erscheint.

    Konfiguration der App Einstellungen

    Eine weitere interessante Optionen betreffen die Konfiguration der App Einstellungen, wo man nun - wie von der Systemsteuerung bekannt - einzelne Seiten ausblenden kann. Darüber hinaus findet sich zum neuen Feature Dynamische Sperre eine entsprechende Einstellung in den Gruppenrichtlinien, um dieses zentral zu deaktivieren.

    Die Dynamische Sperre lässt sich über GPO abschalten, so dass Benutzer sie nicht verwenden können.

    Keine brauchbaren Angaben zu Editionen

    Die Excel-Tabelle erweitert die Spalte Supported on um den Eintrag Windows 10 Enterprise. Auf diese Weise könnte man herausfinden, welche Einstellungen nur in der Enterprise Edition verfügbar sind.

    Microsoft hatte nämlich schon mit Windows 10 1511 begonnen, der Pro Edition viele Richtlinien vorzuenthalten (siehe Sperrbildschirm, Apps, Bing: Windows 10 1607 schränkt GPOs für Pro Edition ein). Leider sind mit "Enterpise" nur vier Einträge gekenn­zeichnet, so dass dieser Filter nutzlos ist.

    Übersetzung der englischen Bezeichnungen

    Ein weiteres Manko der Tabelle besteht darin, dass die Namen der Einstellungen und die Beschreibung nur in Englisch vorliegen. Wenn man auf dem Admin-PC ein deutsches Windows einsetzt, dann muss man daher erst rätseln, wie eine bestimmte Einstellung wohl übersetzt wurde.

    In diesem Fall kann man sich behelfen, indem man den Text aus der Spalte Policy Setting Name kopiert und an die folgende PowerShell-Funktion übergibt. Das setzt allerdings voraus, dass auf dem lokalen Rechner die neuesten ADML installiert sind, sei es, weil man das aktuelle Windows 10 laufen hat oder man die Vorlagen auf einem älteren OS nachträglich installiert hat.

    Man ruft sie dann auf diese Weise auf:

    translateGPO("Minimum Peer Caching Content File Size \(in MB\)")

    Man sollte darauf achten, dass man der Funktion keine Zeichenkette übergibt, die zum Beispiel unmaskierte Anführungszeichen oder Klammern enthält. In diesem Fall müsste man den betreffenden Zeichen ein "\" voranstellen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fachautor, Berater und Kon­ferenz­sprecher zu ver­schiedenen Themen der IT. Da­neben war er als System­admini­stra­tor und Consultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links