GPOs für Windows 10 unter Windows Server 2008 und 2012 (R2) verwalten


    Tags: , ,

    Teaser-Bild für GPONach dem Erscheinen von Windows 10 ist ein neuer Server noch nicht in Sicht. Dennoch lassen sich Gruppen­richtlinien für das neue Betriebs­system problemlos auf einem Domänen-Controller unter einer älteren Server-Version erstellen und bearbeiten. Das umfasst auch die Einrichtung eines zentralen Speichers für die ADMX-Templates.

    Microsofts aktualisierte Excel-Tabelle mit allen Einstellungen für Gruppen­richt­linien weist zwar nur 36 neue Einträge für Windows 10 auf, so dass man die allermeisten Funktionen auch mit den bisherigen Templates verwalten könnte. Ein solches Vorgehen ist jedoch nicht sinnvoll, weil man damit die Neuerungen des Systems nicht abdeckt und das Update nur geringen Aufwand verursacht.

    Keine Anpassung von DCs und AD erforderlich

    Um GPOs für Windows 10 erstellen zu können, benötigt man die neuen Templates im ADMX- und ADML-Format. Der Gruppenrichtlinienverwaltungs-Editor liest von dort die verfügbaren Einstellungen und ihre zulässigen Werte aus. Beim Speichern eines GPO legt er nur einen Teil der Daten im Active Directory ab, alles andere findet sich danach auf dem SYSVOL der DCs im Verzeichnis Policies.

    Nachdem sich weder der Mechanismus noch das Format der Gruppen­richtlinien geändert hat, gibt es keine Notwendigkeit, um etwa das Schema des Active Directory zu erweitern bzw. zu ändern. Aus diesem Grund eignen sich Windows Server 2008 oder 2012 uneingeschränkt ohne Anpassung für das Management von Windows 10.

    Keine Auswirkungen auf vorhandene GPOs

    Nach dem Speichern der GPOs ist ihre anschließende Ausführung unabhängig von den Vorlagen. Daher muss man nicht befürchten, dass vorhandene GPOs durch das Einspielen neuerer Templates beeinträchtigt werden.

    Der einfachste Weg zu GPOs für Windows 10 besteht darin, dass der Administrator seinen Management-Rechner auf das neue Betriebssystem aktualisiert. Zu seinem Lieferumfang gehören die neuesten Templates für Gruppenrichtlinien, sie finden sich unter %SYSTEMROOT%\PolicyDefinitions. Zusätzlich benötigt man auf diesem PC die RSAT für Windows 10, zu denen auch die Gruppenricht­linienverwaltung und der GPO-Editor gehören.

    Update der Vorlagen unter Windows 7 und 8.x

    Wenn man in gemischten Umgebungen in der Lage sein möchte, GPOs für Windows 10 auch unter Windows 7 oder 8.x zu bearbeiten, dann kopiert man dort die Vorlagen von Windows 10 in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions (und ersetzt damit die alten Templates). Von diesem Speicherort kann sie dann auch die ältere Version von gpme.msc laden.

    Nach dem Update der administrativen Vorlagen kann der GPO-Editor unter Windows 8.1 auch Einstellungen für Windows 10 bearbeiten.

    Einfacher als eine solche Kopieraktion ist es vermutlich, wenn man die neuesten administrativen Vorlagen von der Microsoft-Website herunterlädt. Dort liegen sie gepackt als MSI-Datei vor, die bei ihrer Ausführung die Templates jedoch nicht an ihren eigentlichen Bestimmungsort überträgt, sondern in ein Verzeichnis unterhalb von %ProgramFiles(x86)%.

    Central Store aktualisieren

    Sollen GPOs für Windows 10 von mehreren PCs aus erstellt oder editiert werden, dann bietet Microsoft seit Vista die Möglichkeit, die Templates an zentrale Stelle auf den DCs abzulegen. Der wesentliche Vorteil dieses Ansatzes besteht darin, dass er die Pflege der Vorlagen deutlich vereinfacht.

    Der zentrale Speicher für die administrativen Vorlagen liegt in PolicyDefinitions unterhalb von \\FQDN\SYSVOL\FQDN\policies.

    Für den Central Store ist der Pfad \\FQDN\SYSVOL\FQDN\policies vorgesehen. Zum Beispiel sollte man in der Domäne contoso.com die ADMX-Dateien in

    \\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions

    kopieren. Die Sprachdateien mit der Endung .adml gehören in ihre jeweiligen Unterverzeichnisse, etwa die deutschen in de-de.

    Der Gruppen­richtlinien­verwaltungs-Editor muss nicht extra konfiguriert werden, um die Vorlagen vom Central Store zu laden.

    Der GPO-Editor zeigt an, ob er die Vorlagen vom lokalen PC oder vom Central Store geladen hat.

    Vielmehr prüft er diesen Speicherort automatisch selbst, und die Templates von dort haben Vorrang gegenüber jenen auf der lokalen Maschine.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Danke, sehr schön erklärt und definitiv leicht verständlich.