Tags: Gruppenrichtlinien, Windows 11, Windows 10
Windows 11 brachte eine Reihe neuer Gruppenrichtlinien. Nach der Freigabe von Windows 10 21H2 zeigt sich, dass die ältere OS-Version davon einige wichtige Einstellungen erhalten hat. Die Gruppenrichtlinien für Windows 11 sind jedoch nicht abwärtskompatibel, was sich nachteilig auf gemischte Umgebungen auswirkt.
Als Windows 11 Anfang Oktober auf den Markt kam, stellte Microsoft auch gleichzeitig die administrativen Vorlagen sowie die Dokumentation in Form der gewohnten Excel-Tabelle zur Verfügung. Deren Auswertung ergab, dass Microsoft das neue OS um zirka 60 Einstellungen ergänzt hat.
Zu diesem Zeitpunkt befand sich Windows 10 21H2 noch in der Preview, so dass nicht klar war, welche der Neuerungen auch in dieses OS gelangen würden. Das Rätselraten hat nun ein Ende, nachdem der ADMX-Download sowie die Referenz für die Einstellungen zur Verfügung stehen.
Idealerweise hätte Microsoft einfach einen Teil der neuen Einstellungen aus Windows 11 in die Version 10 21H2 übernommen, so dass sich beide Ausführungen mit einem einzigen Satz an ADMX- Vorlagen verwalten lassen. Aber so einfach möchte es Microsoft den Admins nicht machen.
Bei näherem Hinsehen stellt sich nämlich heraus, dass Windows 10 21H2 einige Einstellungen umfasst, die in Windows 11 nicht enthalten sind. Umgekehrt gilt das sowieso, denn das neuere OS bietet zusätzliche Funktionen, welche die Gruppenrichtlinien abbilden müssen.
Einstellungen aus Win 10 21H2, die in Win 11 fehlen
Per Script ließen sich diese Einstellungen aus 21H2 ermitteln, die in Windows 11 nicht enthalten sind:
- Path: InetRes.adml
Value: Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash) - Path: EAIME.adml
Value: Lexikonaktualisierung aktivieren (Turn on lexicon update) - Path: InetRes.adml
Value: Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode) - Path: Printing.adml
Value: Beschränkt die Installation von Druckertreibern auf Administratoren (Limits print driver installation to Administrators) - Path: WindowsDefender.adml
Value: Scannen von gepackten ausführbaren Dateien (Scan packed executables) - Path: MicrosoftEdge.adml
Value: Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification)
Das Fehlen von 1) erklärt sich damit, dass der IE bei Windows 11 als eigenständige Anwendung nicht mehr an Bord ist. Möchte man jedoch mit über einen zentralen Store mit den neuesten ADMX eine gemischte Umgebung verwalten, dann lässt sich diese Einstellung nicht mehr editieren, wenn sie in vorhandenen GPOs aktiviert wurde.
Die Einstellung 3) betrifft den IE-Modus in Edge ("Zoom für HTML-Dialogfelder"), den auch Windows 11 unterstützt. Warum er sich mit dieser Option nicht mehr mittels GPO konfigurieren lässt, ist unklar.
Auf der Strecke blieb auch die Warnung vor einem veralteten Edge. Sie wird in Windows 11 nicht mehr benötigt, weil dort schon von Anfang an die Chromium-Version an Bord ist. Aber auch sie wäre in gemischten Umgebungen wünschenswert.
Die Einstellung unter 4) führte Microsoft als Reaktion auf die PrintNightmare genannten Schwachstellen im Windows-Spooler ein. Sie deaktiviert de facto Point and Print. Die Option ist in den Vorlagen von Windows 10 21H2 enthalten, unter Windows 11 hingegen nicht. Dort bekommt man sie nur über die SecGuide.admx aus der Security Baseline.
Unübersichtlich ist die Lage bei Windows Defender Antivirus. Windows 11 brachte dafür mehrere neue Einstellungen, etwa für den Ausschluss von bestimmten IP-Adressen oder das Scannen von Scripts, das als Best Practice in die Baseline aufgenommen wurde.
Diese fehlen unter Windows 10 21H2, dafür erhält dieses OS die Option zum Scannen von gepackten ausführbaren Dateien, welche wiederum in Windows 11 nicht vorhanden ist - und das, obwohl sie angeblich nur Windows 8 oder Server 2012 voraussetzt.
Fehlende Einstellungen in Windows 10 21H2
Die Liste der Gruppenrichtlinien, die Windows 11 vorbehalten bleiben, ist wesentlich länger. Dazu zählen die Optionen aus den folgenden Vorlagen, die nicht mit Windows 10 21H2 ausgeliefert werden:
- NewsAndInterests.admx
- sam.admx
- TenantRestrictions.admx
- WindowsSandbox.admx
Auf der Strecke blieb wider Erwarten auch die Unterstützung für DNS over HTTPS (DoH).
Erfreulich ist jedoch, dass es einige interessante Neuerungen in dieses OS geschafft haben. Dazu gehören vor allem die Möglichkeit eines Whitelistings für Geräte, die Benutzer installieren dürfen, sowie die Konfiguration von verschiedenen Quellen je nach Update-Typ ("Quelldienst für bestimmte Klassen von Windows-Updates angeben" bzw. "Specify source service for specific classes of Windows Updates").
Nachdem es mittlerweile jede Menge veralteter Einstellungen für Windows Update gibt, hat Microsoft die Optionen für dieses Feature in Windows 11 mittels einer neuen Ordnerstruktur aufgeräumt. Es hätte nichts dagegen gesprochen, diese auch für Windows 10 21H2 zu übernehmen. Dort findet sich aber weiterhin eine lange flache Liste mit zahlreichen irrelevanten Einträgen.
Fazit
Windows 10 21H2 enthält nicht bloß eine Teilmenge der Gruppenrichtlinien aus Windows 11, sondern auch solche, die im neuen OS nicht existieren. Dies erschwert das Management gemischter Umgebungen.
Wenn man die paar exklusiven Einstellungen von Windows 10 21H2 nicht braucht, dann kann man jedoch gleich zu den ADMX von Windows 11 wechseln.
Andernfalls muss man eines der beiden Betriebssysteme über eine eigens dafür konfigurierte Workstation verwalten. Dort kann man das Laden der Vorlagen aus dem Central Store verhindern, indem man einen Registry-Schlüssel setzt.
Anhang
Die beiden folgenden Listen (Deutsch und Englisch) enthalten Einstellungen aus Windows 11, die nicht in die Version 10 21H2 eingegangen sind. Sie betreffen den Vergleich der ADMX-Vorlagen, welche beiden Systemen gemeinsam sind. Sie berücksichtigen somit nicht die vier oben genannten Templates, die in Windows 10 fehlen.
Deutsche Bezeichnungen
Path: \de-de\AppxPackageManager.adml
Value : Archivieren Sie selten verwendete Apps
Path: \de-de\WindowsDefender.adml
Value : Mit diesen Einstellungen wird gesteuert, ob der Netzwerkschutz für den Block-oder Überwachungsmodus unter Windows Server konfiguriert werden darf.
Path: \de-de\Taskbar.adml
Value : Konfiguriert das Chat-Symbol in der Taskleiste
Path: \de-de\ControlPanelDisplay.adml
Value : Sperrbildschirmhintergrundanimation verhindern
Path: \de-de\AppxPackageManager.adml
Value : Nicht zulassen, dass quergeladene Apps im Hintergrund automatisch aktualisiert werden
Path: \de-de\CloudContent.adml
Value : Inhalte des Cloud-Verbraucherkontostatus deaktivieren
Path: \de-de\WindowsDefender.adml
Value : Mit dieser Einstellung wird die Datagramm-Verarbeitung für den Netzwerk Schutz gesteuert.
Path: \de-de\AppxPackageManager.adml
Value : Nicht zulassen, dass quergeladene Apps im Hintergrund in einem getakteten Netzwerk automatisch aktualisiert werden
Path: \de-de\CloudContent.adml
Value : Blickpunktsammlung auf dem Desktop deaktivieren
Path: \de-de\DnsClient.adml
Value : Namensauflösung von DNS über HTTPS (DoH) konfigurieren
Path: \de-de\WindowsDefender.adml
Value : Ausschlüsse von IP-Adressen
Path: \de-de\InetRes.adml
Value : Ersetzen Sie JScript, indem Sie JScript9Legacy von JScript über mit MSHTML/Webbrowser Steuer Element laden.
Path: \de-de\EAIME.adml
Value : IME-Version für Koreanisch konfigurieren
Path: \de-de\DataCollection.adml
Value : Diagnoseprotokollsammlung einschränken
Path: \de-de\DataCollection.adml
Value : Absturzabbildsammlung einschränken
Path: \de-de\WindowsDefender.adml
Value : Ermöglicht Microsoft Defender Antivirus die Aktualisierung und Kommunikation über eine getaktete Verbindung.
Path: \de-de\Netlogon.adml
Value : Beim Registrieren von SRV-Einträgen von Domänencontrollern kleingeschriebene DNS-Hostnamen verwenden
Path: \de-de\FileSys.adml
Value : NTFS-Standardebene
Path: \de-de\FileSys.adml
Value : Verwendung des nicht ausgelagerten NTFS-Pools aktivieren
Path: \de-de\FileSys.adml
Value : Schwellenwert für parallele NTFS-Leerung
Path: \de-de\FileSys.adml
Value : Arbeitsthreads für parallele NTFS-Leerung
Path: \de-de\WindowsDefender.adml
Value : Skriptüberprüfung aktivieren.
Path: \de-de\sam.adml
Value : Konfigurieren der Überprüfung von ROCA-anfälligen WHfB-Schlüsseln während der Authentifizierung
Path: \de-de\WindowsDefender.adml
Value : Konfigurieren des zufälligen Zeitfensters für geplante Aufgaben
Path: \de-de\StartMenu.adml
Value : Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden
Path: \de-de\WindowsDefender.adml
Value : Definieren Sie den Verzeichnispfad zum Kopieren von Support-Protokolldateien
Path: \de-de\TenantRestrictions.adml
Value : Cloudrichtliniendetails
Path: \de-de\TerminalServer.adml
Value : Standortumleitung nicht zulassen
Path: \de-de\TerminalServer.adml
Value : Umleitung von Benutzeroberflächenautomatisierung zulassen
Englische Bezeichnungen
Path: \en-us\AppxPackageManager.adml
Value : Archive infrequently used apps
Path: \en-us\WindowsDefender.adml
Value : This settings controls whether Network Protection is allowed to be configured into block or audit mode on Windows Server.
Path: \en-us\NewsAndInterests.adml
Value : Allow widgets
Path: \en-us\Taskbar.adml
Value : Configures the Chat icon on the taskbar
Path: \en-us\ControlPanelDisplay.adml
Value : Prevent lock screen background motion
Path: \en-us\AppxPackageManager.adml
Value : Not allow sideloaded apps to auto-update in the background
Path: \en-us\CloudContent.adml
Value : Turn off cloud consumer account state content
Path: \en-us\WindowsDefender.adml
Value : This setting controls datagram processing for network protection.
Path: \en-us\AppxPackageManager.adml
Value : Not allow sideloaded apps to auto-update in the background on a metered network
Path: \en-us\CloudContent.adml
Value : Turn off Spotlight collection on Desktop
Path: \en-us\DnsClient.adml
Value : Configure DNS over HTTPS (DoH) name resolution
Path: \en-us\WindowsDefender.adml
Value : Ip Address Exclusions
Path: \en-us\InetRes.adml
Value : Replace JScript by loading JScript9Legacy in place of JScript via MSHTML/WebOC.
Path: \en-us\EAIME.adml
Value : Configure Korean IME version
Path: \en-us\DataCollection.adml
Value : Limit Diagnostic Log Collection
Path: \en-us\DataCollection.adml
Value : Limit Dump Collection
Path: \en-us\WindowsDefender.adml
Value : Allows Microsoft Defender Antivirus to update and communicate over a metered connection.
Path: \en-us\Netlogon.adml
Value : Use lowercase DNS host names when registering domain controller SRV records
Path: \en-us\FileSys.adml
Value : NTFS default tier
Path: \en-us\FileSys.adml
Value : Enable NTFS non-paged pool usage
Path: \en-us\FileSys.adml
Value : NTFS parallel flush threshold
Path: \en-us\FileSys.adml
Value : NTFS parallel flush worker threads
Path: \en-us\WindowsDefender.adml
Value : Turn on script scanning
Path: \en-us\sam.adml
Value : Configure validation of ROCA-vulnerable WHfB keys during authentication
Path: \en-us\WindowsDefender.adml
Value : Configure scheduled task times randomization window
Path: \en-us\StartMenu.adml
Value : Show or hide "Most used" list from Start menu
Path: \en-us\WindowsDefender.adml
Value : Define the directory path to copy support log files
Path: \en-us\TenantRestrictions.adml
Value : Cloud Policy Details
Path: \en-us\TerminalServer.adml
Value : Do not allow location redirection
Path: \en-us\TerminalServer.adml
Value : Allow UI Automation redirection
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- EvergreenAdmx: Administrative Vorlagen automatisch aktualisieren
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Benutzer am Login-Bildschirm anzeigen oder ausblenden mit Gruppenrichtlinien
- Anwendungen nach Windows-Start automatisch laden
- Version 1.0 mit neuen Features: Windows Subsystem for Linux kommt künftig aus dem Store
Weitere Links
1 Kommentar
Wirklich absoluter Unsinn der da getrieben wird. Es gibt nur einen Central Store. Danke für deine Anlaysen, in der Patchmanagement.org Gruppe war man ungeprüft der Meinung, dass Windows 11 ADMX die entscheidenden sind und man die Windows 10 21H2 nicht benötigt. Mit Ausnahme des Printing Nightmare wäre dies auch hiermit bestätigt.
Ist in Windows 10 21H2 auch der Windows Update Part erneuert?
Beste Grüße
Karl Wester-Ebbinghaus