Tags: Gruppenrichtlinien, Registry, Windows 10
Windows 10 brachte nicht nur neue GPO-Einstellungen, sondern hat auch vorhandene modifiziert oder entfernt. Der GPO-Editor kann alte GPOs auf Basis der neuen ADMX-Dateien aber oft nicht mehr bearbeiten. Das erweist sich als Problem, wenn man einen Central Store nutzt.
Der Gruppenrichtlinienverwaltungs-Editor blieb seit Vista, das die Vorlagen im ADMX-Format einführte, weitgehend unverändert. Dennoch kommt er mit den neuesten Einstellungen von Windows 10 zurecht, weil er die Optionen für eine bestimmte Einstellung und die dazugehörige Beschreibung einfach aus den jeweiligen ADMX- bzw. ADML-Dateien ausliest.
GPOs unabhängig von den ADMX-Vorlagen
Speichert man bestimmte Einstellungen in einem Gruppenrichtlinienobjekt, dann benötigt dieses nachher keine Verbindung mehr zur ADMX-Vorlage. Aus diesem Grund lassen sich die Gruppenrichtlinien einer neuen Windows-Version auch dann nutzen, wenn die Workstation des Admins oder die Domänen-Controller noch unter einem älteren Windows laufen.
In diesem Fall aktualisiert man einfach die ADMX- und ADML-Vorlagen und hat im GPO-Editor sofort Zugriff auf die neuesten Einstellungen. Schwierigkeit können aber dann auftreten, wenn nicht bloß neue Optionen hinzukommen, sondern sich welche ändern oder ganz verschwinden.
In diesem Fall ist die betreffende Einstellung zwar noch in bestehenden GPOs "eingefroren", lässt sich aber nicht mehr bearbeiten, weil sie im GPO-Editor nicht mehr dargestellt oder mit neuen Auswahlmöglichkeiten versehen wird.
Liste aller geänderten Gruppenrichtlinien
Ein Support-Dokument von Microsoft listet nun alle GPO-Einstellungen auf, die sich in Windows 10 1511 und 1607 geändert haben. Oft besteht der Unterschied etwa nur darin, dass eine Einstellung vorher nur für den Zweig Computer- oder Benutzerkonfiguration verfügbar war und danach in beiden. Hier sind keine Konflikte zu erwarten.
Dagegen fiel etwa die Einstellung weg, mit der man das Ausführen von Scripts im Edge-Browser steuern konnte. Hat man sie in einem GPO konfiguriert, dann funktioniert dieses zwar weiterhin, es lässt sich aber nicht mehr ändern.
Ein prominentes Beispiel für eine geänderte Auswahl ist jene zum Zurückstellen von Upgrades in Windows Update for Business. Sie erhielt in Windows 10 1607 neue Optionen, so dass man sie in einem bestehenden GPO nicht mehr bearbeiten kann, wenn dieses in einem früheren Release von Windows 10 angelegt wurde.
Das Support-Dokument schlägt in dieser Situation vor, entweder das bestehende GPO zu löschen und neu einzurichten oder die zuständige ADMX-Vorlage durch eine passende ältere Version zu ersetzen, in der die betreffende Einstellung noch in der benötigten Form vorhanden ist.
Central Store als Hindernis
Letzteres lässt sich nur schwer realisieren, wenn man einen Central Store verwendet. Dabei kopiert man die Vorlagen auf einen DC unter \\FQDN\SYSVOL\FQDN\policies, sie finden sich dann beispielsweise unter
\\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions
Sobald ein solcher Central Store mit den ADMX-und ADML-Dateien bestückt ist, dann lädt der GPO-Editor auf allen Rechnern in der Domäne die Einstellungen nur mehr von da. Tauscht man dort eine administrative Vorlage gegen eine ältere Version aus, um ein vorhandenes GPO zu bearbeiten, dann wirkt sich das auf alle Admins aus, die Gruppenrichtlinienobjekte verwalten.
Zentralen Speicher umgehen
Eine Lösung besteht darin, dass man einzelne Workstations über einen Registry-Eintrag so konfiguriert, dass diese die ADMX-Vorlagen vom lokalen Store unter %SYSTEMROOT%\PolicyDefinitions laden. Dort kann man dann etwa alle Templates in einer früheren Version vorhalten, um die zugehörigen GPOs auf dieser Maschine zu editieren.
Während man unter Windows 8.x noch einen Hotfix installieren musste, damit diese Änderung in der Registry greift, unterstützt Windows 10 diese Einstellung aus der Box. Dazu legt man unter
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
den Schlüssel Group Policy an und erstellt dort einen neuen REG_DWORD namens EnableLocalStoreOverride mit dem Wert 1.
Einfacher geht es, wenn man folgenden Code in einer Datei mit der Endung .reg speichert und diese durch Doppelklick startet:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy] "EnableLocalStoreOverride"=dword:00000001
Anschließend sollte der GPO-Editor den Central Store ignorieren.
Dies lässt sich leicht an dem Hinweis neben Administrative Vorlagen ablesen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10: Automatische Updates konfigurieren oder deaktivieren
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
Weitere Links