Tags: Gruppenrichtlinien, Windows 10
Microsoft dokumentierte mit jedem neuen Release von Windows 10 alle Einstellungen für die Gruppenrichtlinien in einer Excel-Tabelle. Eine solche ist aber seit der Version 1809 nicht mehr erschienen. Mit etwas PowerShell und Studium der ADMX-Dateistruktur habe ich eine solche nun selbst erstellt.
Die regelmäßig aktualisierten Excel-Tabellen waren quasi die offizielle Dokumentation für die GPO-Einstellungen für Windows und Internet Explorer. Daraus ließ sich unter anderem entnehmen, wo im GPO-Editor eine Option zu finden ist, ab welcher Version des Betriebssystems sie verfügbar ist und welchem Zweck sie dient.
Die Qualität des Dokuments ließ zuletzt jedoch zu wünschen übrig und Microsoft scheute offenbar den Aufwand, die Übersicht von Grund neu zu erstellen. Aktuell enthält die Security Baseline auch eine Liste mit den Einstellungen für die Gruppenrichtlinien, die jedoch noch unübersichtlicher ist als die gewohnte Excel-Tabelle.
ADMX-Datenqualität
Die Wurzel des Problems sind jedoch die über Jahre gewachsenen administrativen Vorlagen mit mittlerweile über 4000 Einstellungen (wenn man die Einträge, die sowohl für Computer als auch Benutzer existieren, separat zählt). Hier haben sich mit der Zeit Inkonsistenzen und Fehler eingeschlichen, die bereinigt werden müssten.
Die Datenqualität der ADMX- und ADML-Dateien wirkt sich natürlich nicht nur auf Tools zur automatischen Dokumentation der Einstellungen aus, sondern natürlich auch auf den GPO-Editor. Er bezieht alle Informationen, um den Baum für die Einstellungen aufzubauen oder die Erläuterung anzuzeigen, aus diesen XML-Dateien.
Entsprechend kann er keine Auskunft über das unterstützte Betriebssystem geben, wenn zum Beispiel die mit Windows 10 1903 eingeführte storagesense.admx durchgängig ungültige Referenzen auf die Sprachdateien enthält.
Und wenn die ADMX-Dateien die neuen Einstellungen für Windows 10 1909 als solche für Server 2016 und Windows 10 1903 deklarieren, dann reicht der Editor diese falsche Info natürlich an den User weiter ("Garbage in, Garbage out").
Die Sicherheitseinstellungen, die im GPO-Editor unter Windows-Einstellungen zu finden sind, werden nicht über die administrativen Vorlagen definiert. Da sich dort aber seit mehreren Versionen von Windows 10 nichts mehr getan hat, habe ich der Vollständigkeit halber diese Liste aus Microsofts Excel-Tabelle übernommen.
Mehrsprachigkeit
Ein grundsätzlicher Vorteil der Trennung von Struktur (ADMX) und der für Admins gedachten Angaben (ADML) liegt darin, dass man mit dem gleichen Tool eine Dokumentation in mehreren Sprachen generieren kann.
Leider hat Microsoft bis dato auf diese Möglichkeit verzichtet und nur ein englisches Spreadsheet zur Verfügung gestellt. Mein Excel-Dokument enthält dagegen Worksheets für 7 Sprachen.
Generell ist Excel vermutlich nicht das beste Werkzeug für die Dokumentation von GPO-Einstellungen, vor allem weil die große Datenmenge die Performance beeinträchtigt (zumindest beim Bearbeiten).
Aber man kann nicht benötigte Sprachen entfernen, um das Dokument abzuspecken. Die Lektüre des relativ langen Hilfetextes fällt leichter, wenn man auf die entsprechende Zelle doppelklickt.
Verfügbarkeit
Angesichts der Vielzahl an Einstellungen habe ich diese nur stichprobenartig geprüft und keine größeren Auffälligkeiten mehr gefunden. Ein Feedback zu eventuell fehlerhaften Daten ist daher willkommen.
Die Excel-Tabelle mit den GPO-Einstellungen für einschließlich Windows 10 1909 kann hier heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
Weitere Links
9 Kommentare
Hallo Hr. Sommergut, vielen Dank für die Tabelle.
Die dt. Sprachversion hilft für die Doku sehr.
Wie genau haben Sie die Tabelle erzeugt, ich würde mir diese gerne für die 1809 erstellen?
Die Tabelle für Windows 10 1909 enthält auch die Einstellungen für Windows 10 1809. Eine Version mit deutschen Übersetzungen für die Namen habe ich nach dem Erscheinen von Release 1809 erstellt, den Link für den Download finden Sie in diesem Beitrag.
Hallo Herr Sommergut!
Wieder mal extrem nützliche Inhalte, übersichtlich gestaltet, gut und verständlich geschrieben. Diese Tabelle ist genial, vielen Dank für Ihre Beiträge!
Hallo,
in einem vergangenen Artikel haben Sie geschrieben, dass es die Spreadsheets nichtmehr gibt. Diese konnte ich jedoch in der Security Baseline finden: https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319
Warum machen Sie sich den Aufwand, die Daten aus den admx Dateien zu generieren?
Grüße
Wenn Sie mit der Tabelle zufrieden sind, die Sie in der Security Baseline von Microsoft bekommen (ich weise im Text übrigens darauf hin), dann scheint der Aufwand ungerechtfertigt. Ich bin es nicht. Meine Tabelle ist zudem mehrsprachig, die von MS nur englisch.
Vorab Danke! Mir hat an der MS Tabelle gefallen, das nach der Windows Version gefiltert werden konnte. Wäre das auch möglich? mfg
Das funktioniert bei meiner Tabelle ebenfalls.
Prima, können Sie diese Tabelle bis 2004 erweitern? Danke im Voraus.
Die neue Tabelle gibt es schon, der Download-Link findet sich in diesem Beitrag.