Tags: Gruppenrichtlinien, Windows Server 2012, Windows 10
Nach dem Erscheinen von Windows 10 ist ein neuer Server noch nicht in Sicht. Dennoch lassen sich Gruppenrichtlinien für das neue Betriebssystem problemlos auf einem Domänen-Controller unter einer älteren Server-Version erstellen und bearbeiten. Das umfasst auch die Einrichtung eines zentralen Speichers für die ADMX-Templates.
Microsofts aktualisierte Excel-Tabelle mit allen Einstellungen für Gruppenrichtlinien weist zwar nur 36 neue Einträge für Windows 10 auf, so dass man die allermeisten Funktionen auch mit den bisherigen Templates verwalten könnte. Ein solches Vorgehen ist jedoch nicht sinnvoll, weil man damit die Neuerungen des Systems nicht abdeckt und das Update nur geringen Aufwand verursacht.
Keine Anpassung von DCs und AD erforderlich
Um GPOs für Windows 10 erstellen zu können, benötigt man die neuen Templates im ADMX- und ADML-Format. Der Gruppenrichtlinienverwaltungs-Editor liest von dort die verfügbaren Einstellungen und ihre zulässigen Werte aus. Beim Speichern eines GPO legt er nur einen Teil der Daten im Active Directory ab, alles andere findet sich danach auf dem SYSVOL der DCs im Verzeichnis Policies.
Nachdem sich weder der Mechanismus noch das Format der Gruppenrichtlinien geändert hat, gibt es keine Notwendigkeit, um etwa das Schema des Active Directory zu erweitern bzw. zu ändern. Aus diesem Grund eignen sich Windows Server 2008 oder 2012 uneingeschränkt ohne Anpassung für das Management von Windows 10.
Keine Auswirkungen auf vorhandene GPOs
Nach dem Speichern der GPOs ist ihre anschließende Ausführung unabhängig von den Vorlagen. Daher muss man nicht befürchten, dass vorhandene GPOs durch das Einspielen neuerer Templates beeinträchtigt werden.
Der einfachste Weg zu GPOs für Windows 10 besteht darin, dass der Administrator seinen Management-Rechner auf das neue Betriebssystem aktualisiert. Zu seinem Lieferumfang gehören die neuesten Templates für Gruppenrichtlinien, sie finden sich unter %SYSTEMROOT%\PolicyDefinitions. Zusätzlich benötigt man auf diesem PC die RSAT für Windows 10, zu denen auch die Gruppenrichtlinienverwaltung und der GPO-Editor gehören.
Update der Vorlagen unter Windows 7 und 8.x
Wenn man in gemischten Umgebungen in der Lage sein möchte, GPOs für Windows 10 auch unter Windows 7 oder 8.x zu bearbeiten, dann kopiert man dort die Vorlagen von Windows 10 in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions (und ersetzt damit die alten Templates). Von diesem Speicherort kann sie dann auch die ältere Version von gpme.msc laden.
Einfacher als eine solche Kopieraktion ist es vermutlich, wenn man die neuesten administrativen Vorlagen von der Microsoft-Website herunterlädt. Dort liegen sie gepackt als MSI-Datei vor, die bei ihrer Ausführung die Templates jedoch nicht an ihren eigentlichen Bestimmungsort überträgt, sondern in ein Verzeichnis unterhalb von %ProgramFiles(x86)%.
Central Store aktualisieren
Sollen GPOs für Windows 10 von mehreren PCs aus erstellt oder editiert werden, dann bietet Microsoft seit Vista die Möglichkeit, die Templates an zentrale Stelle auf den DCs abzulegen. Der wesentliche Vorteil dieses Ansatzes besteht darin, dass er die Pflege der Vorlagen deutlich vereinfacht.
Für den Central Store ist der Pfad \\FQDN\SYSVOL\FQDN\policies vorgesehen. Zum Beispiel sollte man in der Domäne contoso.com die ADMX-Dateien in
\\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions
kopieren. Die Sprachdateien mit der Endung .adml gehören in ihre jeweiligen Unterverzeichnisse, etwa die deutschen in de-de.
Der Gruppenrichtlinienverwaltungs-Editor muss nicht extra konfiguriert werden, um die Vorlagen vom Central Store zu laden.
Vielmehr prüft er diesen Speicherort automatisch selbst, und die Templates von dort haben Vorrang gegenüber jenen auf der lokalen Maschine.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
Weitere Links
1 Kommentar
Danke, sehr schön erklärt und definitiv leicht verständlich.