GPOs für Windows 8 und Server 2012 unter Windows 7 verwalten

    ADMX-Dateien im Central StoreWindows 8 und Server 2012 unterstützen eine Reihe von neuen Einstellungen für GPOs. Diese stehen im Gruppen­richt­linien­verwaltungs-Editor von Windows 7 standardmäßig nicht zur Verfügung. Wenn man das ändern möchte, dann hängt das Vorgehen davon ab, ob man einen zentralen Speicher für die administrativen Vorlagen verwendet oder nur lokale Kopien.

    Konsultiert man die von Microsoft veröffentlichte Excel-Tabelle mit allen Einstellungen für Gruppenrichtlinien, dann fallen 151 davon in die Kategorie "mindestens Server 2012, Windows 8 oder RT". Acht weitere kommen hinzu, wenn man den Filter auf "Internet Explorer unter Windows 8" setzt.

    Neueste Vorlagen unter Windows 8 nutzen

    Grundsätzlich ist das beste Vorgehen, Gruppenrichtlinien immer auf einem PC mit der neuesten Windows-Version zu bearbeiten. Der einfachste Weg, um GPOs für Windows 8 und Server 2012 zu editieren, besteht also darin, dass man dies von Windows 8 aus tut. Dort finden sich unter %systemroot%\PolicyDefinitions die Vorlagen mit allen Einstellungen für dieses Betriebssystem.

    Wenn aber nur wenige oder gar keine Rechner mit Windows 8 vorhanden sind und man möchte beispielsweise GPOs für Server 2012 erstellen, dann geht dies auch mit Windows 7. Voraussetzung dafür ist die Installation der benötigten administrativen Vorlagen.

    ADMX-Dateien für GPO-Editor bereitstellen

    Diese liegen seit Vista nicht mehr im ADM-Format vor, sondern als XML-Dateien mit der Endung .admx, ergänzt um die Sprachdateien mit der Extension .adml. Sie werden von den Management-Tools für Gruppenrichtlinien benötigt, um die Einstellungen inklusive der Beschreibungen anzeigen zu können. Diese sind also nicht fest mit dem GPO-Editor verdrahtet, sondern werden aus den administrativen Vorlagen eingelesen. Damit eröffnet sich die Möglichkeit, auch die Verwaltungs-Tools unter Windows 7 auf den neuesten Stand zu bringen.

    Nach dem Update der administrativen Vorlagen zeigt der GPO-Editor unter Windows 7 auch die Einstellungen für Server 2012.

    Sobald ein GPO erstellt ist, werden die administrativen Vorlagen für die Durchsetzung der Gruppenrichtlinien nicht mehr benötigt. Änderungen an den ADMX-Dateien, etwa indem man die neuesten Versionen übernimmt, wirken sich daher nicht auf vorhandene GPOs aus.

    ADMX in den zentralen Speicher kopieren

    Gleichzeitig mit dem XML-basierten Format für die administrativen Vorlagen führte Microsoft das Konzept des zentralen Speichers ein. Es sieht vor, dass man die ADMX- und ADML-Dateien in ein Verzeichnis unterhalb der SYSVOL-Freigabe auf einen Domain Controller kopiert, von wo sie auf alle DCs der Domäne repliziert werden.

    Der zentrale Speicher für die administrativen Vorlagen liegt in PolicyDefinitions unterhalb von \\FQDN\SYSVOL\FQDN\policies.

    Wenn man also dafür sorgen möchte, dass die aktuellsten administrativen Vorlagen für Windows 8 auf allen Rechnern ab Windows Vista vom Central Store geladen werden, dann kopiert man %systemroot%\PolicyDefinitions von Windows 8 nach \\FQDN\SYSVOL\FQDN\policies. Im Fall der Domäne contoso.com sollten sich die ADMX-Dateien also schließlich in

    \\contoso.com\sysvol\contoso.com\policies\PolicyDefinitions

    befinden. Die Sprachdateien liegen dort in eigenen Unterverzeichnissen, die deutschen beispielsweise in de-de.

    Der GPO-Editor zeigt an, ob er die Vorlagen vom lokalen PC oder vom Central Store geladen hat.

    Wenn ein zentraler Speicher existiert, dann bekommen die administrativen Vorlagen von dort im GPO-Editor den Vorzug gegenüber jenen, die lokal auf dem Rechner abgelegt sind. Wenn man nicht sicher ist, von welcher Quelle die ADMX-Dateien stammen, dann kann man ihre Herkunft im Gruppen­richt­linien­verwaltungs-Editor aus dem Text der Beschriftung des Ordners Administrative Vorlagen entnehmen.

    Lokale administrative Vorlagen für Windows 8

    Möchte man trotz der Vorteile, die der Central Store bietet, die jeweils auf dem Admin-PC lokal installierten ADMX-Dateien verwenden, dann muss man die Vorlagen unter Windows 7 durch jene von Windows 8 ersetzen. Um aufwändige Kopieraktionen zu vermeiden, stellt Microsoft die aktuellsten Vorlagen als MSI-Datei bereit, die unter Windows 7, Server 2008 R2 oder höher ausgeführt werden kann.

    Während es die administrativen Vorlagen mit den Einstellungen für Windows 8 und Server 2012 nur im neuen ADMX-Format gibt, stellt Microsoft die Templates für den Internet Explorer 10 auch als ADM-Dateien zu Verfügung. Damit lassen sich die Einstellungen für den Browser auch unter Windows XP verwalten. Allerdings liegen die Templates nur auf Englisch vor.

    4 Kommentare

    Bild von Erkan Kruithoff
    Erkan Kruithoff sagt:
    4. April 2013 - 13:03

    Hallo,
    ich bekomme bei dem Aufrufen des Editors den Fehler, dass keine geeignete Ressourcendatei gefunden wurde (=Fehler 3). Der Pfad kann nicht gefunden werden.

    Wie sind denn die korrekten Pfade? Zur Zeit ist dieser
    \\FQDN\SYSVOL\FQDN\Policies\PolicyDefenitions\

    Danke

    Bild von Carsten
    Carsten sagt:
    31. Januar 2014 - 10:21

    Hallo,
    wir testen gerade Windows 8 / 8.1 in unserem Unternehmen, dabei brauchen wir auch die ein oder andere neue Win 8.1 GPO. Die DC´s sind Windows Server 2008R2

    Jetzt möchte ich erstmal nicht den gesamten Central Store updaten, sondern nur die ein oder andere GPO testen.

    Dazu habe ich auf einem 8.1 PC die RSAT installiert und mich mit einem DC verbunden. In der GPMC sehe ich aber die entsprechenden GPO´s nicht. Ich sehe nur die 8er GPO´s.

    Hat jemand eine Idee?

    Danke

    Bild von Süleyman Bedir
    Süleyman Bedir sagt:
    9. März 2014 - 17:33

    Hi,

    das liegt wohl daran, dass die RSAT automatisch auf den Central Store zugreift, daher siehst Du sie auch nicht, genau wie es die GPMC tut.

    Teste die GPO doch in einer Testdomain oder zunächst einmal lokal auf einem Client, in dem Du sie in die lokale GPO übernimmst. Es sei denn, Du probierst Domänenfunktionalitäten aus, dann kommst Du um den Central Store nicht drum herum.

    vg
    SB

    Bild von Mario
    Mario sagt:
    30. Juli 2014 - 14:11

    Gilt das nur für die Einstellungen unter Administrative Vorlagen oder auch für den Bereich Windows Einstellungen/Sicherheit? Ich vermisse unter der Server 2008R2 Konsole nämlich die in http://www.windowspro.de/wolfgang-sommergut/verknuepfte-microsoft-konten... genannte Einstellung.