GPOs für Windows 10 unter Windows Server 2008 und 2012 (R2) verwalten

Um GPOs für Windows 10 erstellen zu können, benötigt man die neuen Templates im ADMX- und ADML-Format. Der Gruppenrichtlinienverwaltungs-Editor liest von dort die verfügbaren Einstellungen und ihre zulässigen Werte aus. Beim Speichern eines GPO legt er nur einen Teil der Daten im Active Directory ab, alles andere findet sich danach auf dem SYSVOL der DCs im Verzeichnis Policies.

Nachdem sich weder der Mechanismus noch das Format der Gruppen­richtlinien geändert hat, gibt es keine Notwendigkeit, um etwa das Schema des Active Directory zu erweitern bzw. zu ändern. Aus diesem Grund eignen sich Windows Server 2008 oder 2012 uneingeschränkt ohne Anpassung für das Management von Windows 10.

Keine Auswirkungen auf vorhandene GPOs

Nach dem Speichern der GPOs ist ihre anschließende Ausführung unabhängig von den Vorlagen. Daher muss man nicht befürchten, dass vorhandene GPOs durch das Einspielen neuerer Templates beeinträchtigt werden.

Der einfachste Weg zu GPOs für Windows 10 besteht darin, dass der Administrator seinen Management-Rechner auf das neue Betriebssystem aktualisiert. Zu seinem Lieferumfang gehören die neuesten Templates für Gruppenrichtlinien, sie finden sich unter %SYSTEMROOT%\PolicyDefinitions. Zusätzlich benötigt man auf diesem PC die RSAT für Windows 10, zu denen auch die Gruppenricht­linienverwaltung und der GPO-Editor gehören.

Update der Vorlagen unter Windows 7 und 8.x

Wenn man in gemischten Umgebungen in der Lage sein möchte, GPOs für Windows 10 auch unter Windows 7 oder 8.x zu bearbeiten, dann kopiert man dort die Vorlagen von Windows 10 in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions (und ersetzt damit die alten Templates). Von diesem Speicherort kann sie dann auch die ältere Version von gpme.msc laden.

Einfacher als eine solche Kopieraktion ist es vermutlich, wenn man die neuesten administrativen Vorlagen von der Microsoft-Website herunterlädt. Dort liegen sie gepackt als MSI-Datei vor, die bei ihrer Ausführung die Templates jedoch nicht an ihren eigentlichen Bestimmungsort überträgt, sondern in ein Verzeichnis unterhalb von %ProgramFiles(x86)%.

Central Store aktualisieren

Sollen GPOs für Windows 10 von mehreren PCs aus erstellt oder editiert werden, dann bietet Microsoft seit Vista die Möglichkeit, die Templates an zentrale Stelle auf den DCs abzulegen. Der wesentliche Vorteil dieses Ansatzes besteht darin, dass er die Pflege der Vorlagen deutlich vereinfacht.

Für den Central Store ist der Pfad \\FQDN\SYSVOL\FQDN\policies vorgesehen. Zum Beispiel sollte man in der Domäne contoso.com die ADMX-Dateien in

\\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions

kopieren. Die Sprachdateien mit der Endung .adml gehören in ihre jeweiligen Unterverzeichnisse, etwa die deutschen in de-de.

Der Gruppen­richtlinien­verwaltungs-Editor muss nicht extra konfiguriert werden, um die Vorlagen vom Central Store zu laden.

Vielmehr prüft er diesen Speicherort automatisch selbst, und die Templates von dort haben Vorrang gegenüber jenen auf der lokalen Maschine.