Geänderte GPO-Einstellungen von Windows 10 bearbeiten: Central Store deaktivieren

Speichert man bestimmte Einstellungen in einem Gruppenricht­linienobjekt, dann benötigt dieses nachher keine Verbindung mehr zur ADMX-Vorlage. Aus diesem Grund lassen sich die Gruppen­richtlinien einer neuen Windows-Version auch dann nutzen, wenn die Workstation des Admins oder die Domänen-Controller noch unter einem älteren Windows laufen.

In diesem Fall aktualisiert man einfach die ADMX- und ADML-Vorlagen und hat im GPO-Editor sofort Zugriff auf die neuesten Einstellungen. Schwierigkeit können aber dann auftreten, wenn nicht bloß neue Optionen hinzukommen, sondern sich welche ändern oder ganz verschwinden.

In diesem Fall ist die betreffende Einstellung zwar noch in bestehenden GPOs "eingefroren", lässt sich aber nicht mehr bearbeiten, weil sie im GPO-Editor nicht mehr dargestellt oder mit neuen Auswahl­möglichkeiten versehen wird.

Liste aller geänderten Gruppenrichtlinien

Ein Support-Dokument von Microsoft listet nun alle GPO-Einstellungen auf, die sich in Windows 10 1511 und 1607 geändert haben. Oft besteht der Unterschied etwa nur darin, dass eine Einstellung vorher nur für den Zweig Computer- oder Benutzerkonfiguration verfügbar war und danach in beiden. Hier sind keine Konflikte zu erwarten.

Dagegen fiel etwa die Einstellung weg, mit der man das Ausführen von Scripts im Edge-Browser steuern konnte. Hat man sie in einem GPO konfiguriert, dann funktioniert dieses zwar weiterhin, es lässt sich aber nicht mehr ändern.

Ein prominentes Beispiel für eine geänderte Auswahl ist jene zum Zurückstellen von Upgrades in Windows Update for Business. Sie erhielt in Windows 10 1607 neue Optionen, so dass man sie in einem bestehenden GPO nicht mehr bearbeiten kann, wenn dieses in einem früheren Release von Windows 10 angelegt wurde.

Das Support-Dokument schlägt in dieser Situation vor, entweder das bestehende GPO zu löschen und neu einzurichten oder die zuständige ADMX-Vorlage durch eine passende ältere Version zu ersetzen, in der die betreffende Einstellung noch in der benötigten Form vorhanden ist.

Central Store als Hindernis

Letzteres lässt sich nur schwer realisieren, wenn man einen Central Store verwendet. Dabei kopiert man die Vorlagen auf einen DC unter \\FQDN\SYSVOL\FQDN\policies, sie finden sich dann beispielsweise unter

\\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions

Sobald ein solcher Central Store mit den ADMX-und ADML-Dateien bestückt ist, dann lädt der GPO-Editor auf allen Rechnern in der Domäne die Einstellungen nur mehr von da. Tauscht man dort eine administrative Vorlage gegen eine ältere Version aus, um ein vorhandenes GPO zu bearbeiten, dann wirkt sich das auf alle Admins aus, die Gruppenricht­linienobjekte verwalten.

Zentralen Speicher umgehen

Eine Lösung besteht darin, dass man einzelne Workstations über einen Registry-Eintrag so konfiguriert, dass diese die ADMX-Vorlagen vom lokalen Store unter %SYSTEMROOT%\PolicyDefinitions laden. Dort kann man dann etwa alle Templates in einer früheren Version vorhalten, um die zugehörigen GPOs auf dieser Maschine zu editieren.

Während man unter Windows 8.x noch einen Hotfix installieren musste, damit diese Änderung in der Registry greift, unterstützt Windows 10 diese Einstellung aus der Box. Dazu legt man unter

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows

den Schlüssel Group Policy an und erstellt dort einen neuen REG_DWORD namens Enable­LocalStore­Override mit dem Wert 1.

Einfacher geht es, wenn man folgenden Code in einer Datei mit der Endung .reg speichert und diese durch Doppelklick startet:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy]
"EnableLocalStoreOverride"=dword:00000001

Anschließend sollte der GPO-Editor den Central Store ignorieren.

Dies lässt sich leicht an dem Hinweis neben Administrative Vorlagen ablesen.