Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich

Zu diesem Zeitpunkt befand sich Windows 10 21H2 noch in der Preview, so dass nicht klar war, welche der Neuerungen auch in dieses OS gelangen würden. Das Rätselraten hat nun ein Ende, nachdem der ADMX-Download sowie die Referenz für die Einstellungen zur Verfügung stehen.

Idealerweise hätte Microsoft einfach einen Teil der neuen Einstellungen aus Windows 11 in die Version 10 21H2 übernommen, so dass sich beide Ausführungen mit einem einzigen Satz an ADMX- Vorlagen verwalten lassen. Aber so einfach möchte es Microsoft den Admins nicht machen.

Bei näherem Hinsehen stellt sich nämlich heraus, dass Windows 10 21H2 einige Einstellungen umfasst, die in Windows 11 nicht enthalten sind. Umgekehrt gilt das sowieso, denn das neuere OS bietet zusätzliche Funktionen, welche die Gruppen­richtlinien abbilden müssen.

Einstellungen aus Win 10 21H2, die in Win 11 fehlen

Per Script ließen sich diese Einstellungen aus 21H2 ermitteln, die in Windows 11 nicht enthalten sind:

1. Path: InetRes.adml
   Value: Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash)
2. Path: EAIME.adml
   Value: Lexikonaktualisierung aktivieren (Turn on lexicon update)
3. Path: InetRes.adml
   Value: Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode)
4. Path: Printing.adml
   Value: Beschränkt die Installation von Drucker­treibern auf Admini­stratoren (Limits print driver installation to Administrators)
5. Path: WindowsDefender.adml
   Value: Scannen von gepackten ausführbaren Dateien (Scan packed executables)
6. Path: MicrosoftEdge.adml
   Value: Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification)

Das Fehlen von 1) erklärt sich damit, dass der IE bei Windows 11 als eigen­ständige Anwendung nicht mehr an Bord ist. Möchte man jedoch mit über einen zentralen Store mit den neuesten ADMX eine gemischte Umgebung verwalten, dann lässt sich diese Einstellung nicht mehr editieren, wenn sie in vorhandenen GPOs aktiviert wurde.

Die Einstellung 3) betrifft den IE-Modus in Edge ("Zoom für HTML-Dialogfelder"), den auch Windows 11 unterstützt. Warum er sich mit dieser Option nicht mehr mittels GPO konfigurieren lässt, ist unklar.

Auf der Strecke blieb auch die Warnung vor einem veralteten Edge. Sie wird in Windows 11 nicht mehr benötigt, weil dort schon von Anfang an die Chromium-Version an Bord ist. Aber auch sie wäre in gemischten Umgebungen wünschens­wert.

Die Einstellung unter 4) führte Microsoft als Reaktion auf die PrintNightmare genannten Schwach­stellen im Windows-Spooler ein. Sie deaktiviert de facto Point and Print. Die Option ist in den Vorlagen von Windows 10 21H2 enthalten, unter Windows 11 hingegen nicht. Dort bekommt man sie nur über die SecGuide.admx aus der Security Baseline.

Unübersichtlich ist die Lage bei Windows Defender Antivirus. Windows 11 brachte dafür mehrere neue Einstellungen, etwa für den Ausschluss von bestimmten IP-Adressen oder das Scannen von Scripts, das als Best Practice in die Baseline aufgenommen wurde.

Diese fehlen unter Windows 10 21H2, dafür erhält dieses OS die Option zum Scannen von gepackten ausführbaren Dateien, welche wiederum in Windows 11 nicht vorhanden ist - und das, obwohl sie angeblich nur Windows 8 oder Server 2012 voraussetzt.

Fehlende Einstellungen in Windows 10 21H2

Die Liste der Gruppen­richtlinien, die Windows 11 vorbehalten bleiben, ist wesentlich länger. Dazu zählen die Optionen aus den folgenden Vorlagen, die nicht mit Windows 10 21H2 ausgeliefert werden:

• NewsAndInterests.admx
• sam.admx
• TenantRestrictions.admx
• WindowsSandbox.admx

Auf der Strecke blieb wider Erwarten auch die Unterstützung für DNS over HTTPS (DoH).

Erfreulich ist jedoch, dass es einige interessante Neuerungen in dieses OS geschafft haben. Dazu gehören vor allem die Möglichkeit eines Whitelistings für Geräte, die Benutzer installieren dürfen, sowie die Konfiguration von ver­schiedenen Quellen je nach Update-Typ ("Quell­dienst für bestimmte Klassen von Windows-Updates angeben" bzw. "Specify source service for specific classes of Windows Updates").

Nachdem es mittlerweile jede Menge veralteter Einstellungen für Windows Update gibt, hat Microsoft die Optionen für dieses Feature in Windows 11 mittels einer neuen Ordnerstruktur aufgeräumt. Es hätte nichts dagegen gesprochen, diese auch für Windows 10 21H2 zu übernehmen. Dort findet sich aber weiterhin eine lange flache Liste mit zahlreichen irrelevanten Einträgen.

Fazit

Windows 10 21H2 enthält nicht bloß eine Teilmenge der Gruppen­richtlinien aus Windows 11, sondern auch solche, die im neuen OS nicht existieren. Dies erschwert das Management gemischter Umgebungen.

Wenn man die paar exklusiven Einstellungen von Windows 10 21H2 nicht braucht, dann kann man jedoch gleich zu den ADMX von Windows 11 wechseln.

Andernfalls muss man eines der beiden Betriebs­systeme über eine eigens dafür konfigurierte Workstation verwalten. Dort kann man das Laden der Vorlagen aus dem Central Store verhindern, indem man einen Registry-Schlüssel setzt.

Anhang

Die beiden folgenden Listen (Deutsch und Englisch) enthalten Einstellungen aus Windows 11, die nicht in die Version 10 21H2 eingegangen sind. Sie betreffen den Vergleich der ADMX-Vorlagen, welche beiden Systemen gemeinsam sind. Sie berücksichtigen somit nicht die vier oben genannten Templates, die in Windows 10 fehlen.

Deutsche Bezeichnungen

Path: \de-de\AppxPackageManager.adml
Value : Archivieren Sie selten verwendete Apps

Path: \de-de\WindowsDefender.adml
Value : Mit diesen Einstellungen wird gesteuert, ob der Netzwerkschutz für den Block-oder Überwachungsmodus unter Windows Server konfiguriert werden darf.

Path: \de-de\Taskbar.adml
Value : Konfiguriert das Chat-Symbol in der Taskleiste

Path: \de-de\ControlPanelDisplay.adml
Value : Sperrbild­schirm­hintergrund­animation verhindern

Path: \de-de\AppxPackageManager.adml
Value : Nicht zulassen, dass quergeladene Apps im Hintergrund automatisch aktualisiert werden

Path: \de-de\CloudContent.adml
Value : Inhalte des Cloud-Verbraucherkontostatus deaktivieren

Path: \de-de\WindowsDefender.adml
Value : Mit dieser Einstellung wird die Datagramm-Verarbeitung für den Netzwerk Schutz gesteuert.

Path: \de-de\AppxPackageManager.adml
Value : Nicht zulassen, dass quergeladene Apps im Hintergrund in einem getakteten Netzwerk automatisch aktualisiert werden

Path: \de-de\CloudContent.adml
Value : Blickpunkt­sammlung auf dem Desktop deaktivieren

Path: \de-de\DnsClient.adml
Value : Namens­auflösung von DNS über HTTPS (DoH) konfigurieren

Path: \de-de\WindowsDefender.adml
Value : Ausschlüsse von IP-Adressen

Path: \de-de\InetRes.adml
Value : Ersetzen Sie JScript, indem Sie JScript9Legacy von JScript über mit MSHTML/Webbrowser Steuer Element laden.

Path: \de-de\EAIME.adml
Value : IME-Version für Koreanisch konfigurieren

Path: \de-de\DataCollection.adml
Value : Diagnoseprotokollsammlung einschränken

Path: \de-de\DataCollection.adml
Value : Absturzabbildsammlung einschränken

Path: \de-de\WindowsDefender.adml
Value : Ermöglicht Microsoft Defender Antivirus die Aktualisierung und Kommunikation über eine getaktete Verbindung.

Path: \de-de\Netlogon.adml
Value : Beim Registrieren von SRV-Einträgen von Domänen­controllern kleinge­schriebene DNS-Hostnamen verwenden

Path: \de-de\FileSys.adml
Value : NTFS-Standardebene

Path: \de-de\FileSys.adml
Value : Verwendung des nicht ausgelagerten NTFS-Pools aktivieren

Path: \de-de\FileSys.adml
Value : Schwellenwert für parallele NTFS-Leerung

Path: \de-de\FileSys.adml
Value : Arbeitsthreads für parallele NTFS-Leerung

Path: \de-de\WindowsDefender.adml
Value : Skriptüberprüfung aktivieren.

Path: \de-de\sam.adml
Value : Konfigurieren der Überprüfung von ROCA-anfälligen WHfB-Schlüsseln während der Authentifizierung

Path: \de-de\WindowsDefender.adml
Value : Konfigurieren des zufälligen Zeitfensters für geplante Aufgaben

Path: \de-de\StartMenu.adml
Value : Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden

Path: \de-de\WindowsDefender.adml
Value : Definieren Sie den Verzeichnispfad zum Kopieren von Support-Protokolldateien

Path: \de-de\TenantRestrictions.adml
Value : Cloudrichtliniendetails

Path: \de-de\TerminalServer.adml
Value : Standortumleitung nicht zulassen

Path: \de-de\TerminalServer.adml
Value : Umleitung von Benutzer­ober­flächen­automa­tisierung zulassen

Englische Bezeichnungen

Path: \en-us\AppxPackageManager.adml
Value : Archive infrequently used apps

Path: \en-us\WindowsDefender.adml
Value : This settings controls whether Network Protection is allowed to be configured into block or audit mode on Windows Server.

Path: \en-us\NewsAndInterests.adml
Value : Allow widgets

Path: \en-us\Taskbar.adml
Value : Configures the Chat icon on the taskbar

Path: \en-us\ControlPanelDisplay.adml
Value : Prevent lock screen background motion

Path: \en-us\AppxPackageManager.adml
Value : Not allow sideloaded apps to auto-update in the background

Path: \en-us\CloudContent.adml
Value : Turn off cloud consumer account state content

Path: \en-us\WindowsDefender.adml
Value : This setting controls datagram processing for network protection.

Path: \en-us\AppxPackageManager.adml
Value : Not allow sideloaded apps to auto-update in the background on a metered network

Path: \en-us\CloudContent.adml
Value : Turn off Spotlight collection on Desktop

Path: \en-us\DnsClient.adml
Value : Configure DNS over HTTPS (DoH) name resolution

Path: \en-us\WindowsDefender.adml
Value : Ip Address Exclusions

Path: \en-us\InetRes.adml
Value : Replace JScript by loading JScript9Legacy in place of JScript via MSHTML/WebOC.

Path: \en-us\EAIME.adml
Value : Configure Korean IME version

Path: \en-us\DataCollection.adml
Value : Limit Diagnostic Log Collection

Path: \en-us\DataCollection.adml
Value : Limit Dump Collection

Path: \en-us\WindowsDefender.adml
Value : Allows Microsoft Defender Antivirus to update and communicate over a metered connection.

Path: \en-us\Netlogon.adml
Value : Use lowercase DNS host names when registering domain controller SRV records

Path: \en-us\FileSys.adml
Value : NTFS default tier

Path: \en-us\FileSys.adml
Value : Enable NTFS non-paged pool usage

Path: \en-us\FileSys.adml
Value : NTFS parallel flush threshold

Path: \en-us\FileSys.adml
Value : NTFS parallel flush worker threads

Path: \en-us\WindowsDefender.adml
Value : Turn on script scanning

Path: \en-us\sam.adml
Value : Configure validation of ROCA-vulnerable WHfB keys during authentication

Path: \en-us\WindowsDefender.adml
Value : Configure scheduled task times randomization window

Path: \en-us\StartMenu.adml
Value : Show or hide "Most used" list from Start menu

Path: \en-us\WindowsDefender.adml
Value : Define the directory path to copy support log files

Path: \en-us\TenantRestrictions.adml
Value : Cloud Policy Details

Path: \en-us\TerminalServer.adml
Value : Do not allow location redirection

Path: \en-us\TerminalServer.adml
Value : Allow UI Automation redirection