Geänderte GPO-Einstellungen von Windows 10 bearbeiten: Central Store deaktivieren

    GPO bearbeiten im Gruppenrichtlinienverwaltungs-EditorWindows 10 brachte nicht nur neue GPO-Ein­stel­lungen, son­dern hat auch vor­han­dene modi­fiziert oder ent­fernt. Der GPO-Editor kann alte GPOs auf Basis der neuen ADMX-Dateien aber oft nicht mehr bear­beiten. Das erweist sich als Problem, wenn man einen Central Store nutzt.

    Der Gruppen­richtlinien­verwaltungs-Editor blieb seit Vista, das die Vorlagen im ADMX-Format einführte, weitgehend unverändert. Dennoch kommt er mit den neuesten Einstellungen von Windows 10 zurecht, weil er die Optionen für eine bestimmte Einstellung und die dazugehörige Beschreibung einfach aus den jeweiligen ADMX- bzw. ADML-Dateien ausliest.

    GPOs unabhängig von den ADMX-Vorlagen

    Speichert man bestimmte Einstellungen in einem Gruppenricht­linienobjekt, dann benötigt dieses nachher keine Verbindung mehr zur ADMX-Vorlage. Aus diesem Grund lassen sich die Gruppen­richtlinien einer neuen Windows-Version auch dann nutzen, wenn die Workstation des Admins oder die Domänen-Controller noch unter einem älteren Windows laufen.

    In diesem Fall aktualisiert man einfach die ADMX- und ADML-Vorlagen und hat im GPO-Editor sofort Zugriff auf die neuesten Einstellungen. Schwierigkeit können aber dann auftreten, wenn nicht bloß neue Optionen hinzukommen, sondern sich welche ändern oder ganz verschwinden.

    In diesem Fall ist die betreffende Einstellung zwar noch in bestehenden GPOs "eingefroren", lässt sich aber nicht mehr bearbeiten, weil sie im GPO-Editor nicht mehr dargestellt oder mit neuen Auswahl­möglichkeiten versehen wird.

    Liste aller geänderten Gruppenrichtlinien

    Ein Support-Dokument von Microsoft listet nun alle GPO-Einstellungen auf, die sich in Windows 10 1511 und 1607 geändert haben. Oft besteht der Unterschied etwa nur darin, dass eine Einstellung vorher nur für den Zweig Computer- oder Benutzerkonfiguration verfügbar war und danach in beiden. Hier sind keine Konflikte zu erwarten.

    Dagegen fiel etwa die Einstellung weg, mit der man das Ausführen von Scripts im Edge-Browser steuern konnte. Hat man sie in einem GPO konfiguriert, dann funktioniert dieses zwar weiterhin, es lässt sich aber nicht mehr ändern.

    Ein prominentes Beispiel für eine geänderte Auswahl ist jene zum Zurückstellen von Upgrades in Windows Update for Business. Sie erhielt in Windows 10 1607 neue Optionen, so dass man sie in einem bestehenden GPO nicht mehr bearbeiten kann, wenn dieses in einem früheren Release von Windows 10 angelegt wurde.

    Das Support-Dokument schlägt in dieser Situation vor, entweder das bestehende GPO zu löschen und neu einzurichten oder die zuständige ADMX-Vorlage durch eine passende ältere Version zu ersetzen, in der die betreffende Einstellung noch in der benötigten Form vorhanden ist.

    Central Store als Hindernis

    Letzteres lässt sich nur schwer realisieren, wenn man einen Central Store verwendet. Dabei kopiert man die Vorlagen auf einen DC unter \\FQDN\SYSVOL\FQDN\policies, sie finden sich dann beispielsweise unter

    \\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions

    Sobald ein solcher Central Store mit den ADMX-und ADML-Dateien bestückt ist, dann lädt der GPO-Editor auf allen Rechnern in der Domäne die Einstellungen nur mehr von da. Tauscht man dort eine administrative Vorlage gegen eine ältere Version aus, um ein vorhandenes GPO zu bearbeiten, dann wirkt sich das auf alle Admins aus, die Gruppenricht­linienobjekte verwalten.

    Zentralen Speicher umgehen

    Eine Lösung besteht darin, dass man einzelne Workstations über einen Registry-Eintrag so konfiguriert, dass diese die ADMX-Vorlagen vom lokalen Store unter %SYSTEMROOT%\PolicyDefinitions laden. Dort kann man dann etwa alle Templates in einer früheren Version vorhalten, um die zugehörigen GPOs auf dieser Maschine zu editieren.

    Während man unter Windows 8.x noch einen Hotfix installieren musste, damit diese Änderung in der Registry greift, unterstützt Windows 10 diese Einstellung aus der Box. Dazu legt man unter

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows

    den Schlüssel Group Policy an und erstellt dort einen neuen REG_DWORD mit dem Wert 1.

    Registry-Schlüssel zum Umgehen des Central Stores.

    Einfacher geht es, wenn man folgenden Code in einer Datei mit der Endung .reg speichert und diese durch Doppelklick startet:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy]
    "EnableLocalStoreOverride"=dword:00000001

    Anschließend sollte der GPO-Editor den Central Store ignorieren.

    Hinweis auf Speicherort des ADMX-Vorlagen im GPO-Editor

    Dies lässt sich leicht an dem Hinweis neben Administrative Vorlagen ablesen.

    Keine Kommentare