Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich


    Tags: , ,

    Teaser-Bild für GPOWindows 11 brachte eine Reihe neuer Gruppen­­­richt­linien. Nach der Frei­­gabe von Windows 10 21H2 zeigt sich, dass die ältere OS-Version davon einige wich­tige Einstel­lungen erhalten hat. Die Gruppen­­­richt­­­linien für Windows 11 sind jedoch nicht abwärts­kompa­tibel, was sich nach­­teilig auf gemischte Umge­bungen aus­­wirkt.

    Als Windows 11 Anfang Oktober auf den Markt kam, stellte Microsoft auch gleichzeitig die administrativen Vorlagen sowie die Dokumentation in Form der gewohnten Excel-Tabelle zur Verfügung. Deren Auswertung ergab, dass Microsoft das neue OS um zirka 60 Einstellungen ergänzt hat.

    Zu diesem Zeitpunkt befand sich Windows 10 21H2 noch in der Preview, so dass nicht klar war, welche der Neuerungen auch in dieses OS gelangen würden. Das Rätselraten hat nun ein Ende, nachdem der ADMX-Download sowie die Referenz für die Einstellungen zur Verfügung stehen.

    Idealerweise hätte Microsoft einfach einen Teil der neuen Einstellungen aus Windows 11 in die Version 10 21H2 übernommen, so dass sich beide Ausführungen mit einem einzigen Satz an ADMX- Vorlagen verwalten lassen. Aber so einfach möchte es Microsoft den Admins nicht machen.

    Bei näherem Hinsehen stellt sich nämlich heraus, dass Windows 10 21H2 einige Einstellungen umfasst, die in Windows 11 nicht enthalten sind. Umgekehrt gilt das sowieso, denn das neuere OS bietet zusätzliche Funktionen, welche die Gruppen­richtlinien abbilden müssen.

    Einstellungen aus Win 10 21H2, die in Win 11 fehlen

    Per Script ließen sich diese Einstellungen aus 21H2 ermitteln, die in Windows 11 nicht enthalten sind:

    1. Path: InetRes.adml
      Value: Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash)
    2. Path: EAIME.adml
      Value: Lexikonaktualisierung aktivieren (Turn on lexicon update)
    3. Path: InetRes.adml
      Value: Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode)
    4. Path: Printing.adml
      Value: Beschränkt die Installation von Drucker­treibern auf Admini­stratoren (Limits print driver installation to Administrators)
    5. Path: WindowsDefender.adml
      Value: Scannen von gepackten ausführbaren Dateien (Scan packed executables)
    6. Path: MicrosoftEdge.adml
      Value: Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification)

    Das Fehlen von 1) erklärt sich damit, dass der IE bei Windows 11 als eigen­ständige Anwendung nicht mehr an Bord ist. Möchte man jedoch mit über einen zentralen Store mit den neuesten ADMX eine gemischte Umgebung verwalten, dann lässt sich diese Einstellung nicht mehr editieren, wenn sie in vorhandenen GPOs aktiviert wurde.

    Die Einstellung 3) betrifft den IE-Modus in Edge ("Zoom für HTML-Dialogfelder"), den auch Windows 11 unterstützt. Warum er sich mit dieser Option nicht mehr mittels GPO konfigurieren lässt, ist unklar.

    Auf der Strecke blieb auch die Warnung vor einem veralteten Edge. Sie wird in Windows 11 nicht mehr benötigt, weil dort schon von Anfang an die Chromium-Version an Bord ist. Aber auch sie wäre in gemischten Umgebungen wünschens­wert.

    Die Einstellung unter 4) führte Microsoft als Reaktion auf die PrintNightmare genannten Schwach­stellen im Windows-Spooler ein. Sie deaktiviert de facto Point and Print. Die Option ist in den Vorlagen von Windows 10 21H2 enthalten, unter Windows 11 hingegen nicht. Dort bekommt man sie nur über die SecGuide.admx aus der Security Baseline.

    Unübersichtlich ist die Lage bei Windows Defender Antivirus. Windows 11 brachte dafür mehrere neue Einstellungen, etwa für den Ausschluss von bestimmten IP-Adressen oder das Scannen von Scripts, das als Best Practice in die Baseline aufgenommen wurde.

    Die Einstellung zum Scannen gepackter Programmdateien fehlt in Windows 11

    Diese fehlen unter Windows 10 21H2, dafür erhält dieses OS die Option zum Scannen von gepackten ausführbaren Dateien, welche wiederum in Windows 11 nicht vorhanden ist - und das, obwohl sie angeblich nur Windows 8 oder Server 2012 voraussetzt.

    Fehlende Einstellungen in Windows 10 21H2

    Die Liste der Gruppen­richtlinien, die Windows 11 vorbehalten bleiben, ist wesentlich länger. Dazu zählen die Optionen aus den folgenden Vorlagen, die nicht mit Windows 10 21H2 ausgeliefert werden:

    • NewsAndInterests.admx
    • sam.admx
    • TenantRestrictions.admx
    • WindowsSandbox.admx

    Auf der Strecke blieb wider Erwarten auch die Unterstützung für DNS over HTTPS (DoH).

    Eine systemweite Konfiguration von DoH mittels GPO ist in Windows 10 21H2 nicht vorgesehen.

    Erfreulich ist jedoch, dass es einige interessante Neuerungen in dieses OS geschafft haben. Dazu gehören vor allem die Möglichkeit eines Whitelistings für Geräte, die Benutzer installieren dürfen, sowie die Konfiguration von ver­schiedenen Quellen je nach Update-Typ ("Quell­dienst für bestimmte Klassen von Windows-Updates angeben" bzw. "Specify source service for specific classes of Windows Updates").

    Für verschiedene Typen von Updates kann man nun zwischen WSUS und Windows Update wählen.

    Nachdem es mittlerweile jede Menge veralteter Einstellungen für Windows Update gibt, hat Microsoft die Optionen für dieses Feature in Windows 11 mittels einer neuen Ordnerstruktur aufgeräumt. Es hätte nichts dagegen gesprochen, diese auch für Windows 10 21H2 zu übernehmen. Dort findet sich aber weiterhin eine lange flache Liste mit zahlreichen irrelevanten Einträgen.

    In Windows 10 hat Microsoft die neue Struktur für die Einstellungen von Windows Update nicht übernommen.

    Fazit

    Windows 10 21H2 enthält nicht bloß eine Teilmenge der Gruppen­richtlinien aus Windows 11, sondern auch solche, die im neuen OS nicht existieren. Dies erschwert das Management gemischter Umgebungen.

    Wenn man die paar exklusiven Einstellungen von Windows 10 21H2 nicht braucht, dann kann man jedoch gleich zu den ADMX von Windows 11 wechseln.

    Andernfalls muss man eines der beiden Betriebs­systeme über eine eigens dafür konfigurierte Workstation verwalten. Dort kann man das Laden der Vorlagen aus dem Central Store verhindern, indem man einen Registry-Schlüssel setzt.

    Anhang

    Die beiden folgenden Listen (Deutsch und Englisch) enthalten Einstellungen aus Windows 11, die nicht in die Version 10 21H2 eingegangen sind. Sie betreffen den Vergleich der ADMX-Vorlagen, welche beiden Systemen gemeinsam sind. Sie berücksichtigen somit nicht die vier oben genannten Templates, die in Windows 10 fehlen.

    Deutsche Bezeichnungen

    Path: \de-de\AppxPackageManager.adml
    Value : Archivieren Sie selten verwendete Apps

    Path: \de-de\WindowsDefender.adml
    Value : Mit diesen Einstellungen wird gesteuert, ob der Netzwerkschutz für den Block-oder Überwachungsmodus unter Windows Server konfiguriert werden darf.

    Path: \de-de\Taskbar.adml
    Value : Konfiguriert das Chat-Symbol in der Taskleiste

    Path: \de-de\ControlPanelDisplay.adml
    Value : Sperrbild­schirm­hintergrund­animation verhindern

    Path: \de-de\AppxPackageManager.adml
    Value : Nicht zulassen, dass quergeladene Apps im Hintergrund automatisch aktualisiert werden

    Path: \de-de\CloudContent.adml
    Value : Inhalte des Cloud-Verbraucherkontostatus deaktivieren

    Path: \de-de\WindowsDefender.adml
    Value : Mit dieser Einstellung wird die Datagramm-Verarbeitung für den Netzwerk Schutz gesteuert.

    Path: \de-de\AppxPackageManager.adml
    Value : Nicht zulassen, dass quergeladene Apps im Hintergrund in einem getakteten Netzwerk automatisch aktualisiert werden

    Path: \de-de\CloudContent.adml
    Value : Blickpunkt­sammlung auf dem Desktop deaktivieren

    Path: \de-de\DnsClient.adml
    Value : Namens­auflösung von DNS über HTTPS (DoH) konfigurieren

    Path: \de-de\WindowsDefender.adml
    Value : Ausschlüsse von IP-Adressen

    Path: \de-de\InetRes.adml
    Value : Ersetzen Sie JScript, indem Sie JScript9Legacy von JScript über mit MSHTML/Webbrowser Steuer Element laden.

    Path: \de-de\EAIME.adml
    Value : IME-Version für Koreanisch konfigurieren

    Path: \de-de\DataCollection.adml
    Value : Diagnoseprotokollsammlung einschränken

    Path: \de-de\DataCollection.adml
    Value : Absturzabbildsammlung einschränken

    Path: \de-de\WindowsDefender.adml
    Value : Ermöglicht Microsoft Defender Antivirus die Aktualisierung und Kommunikation über eine getaktete Verbindung.

    Path: \de-de\Netlogon.adml
    Value : Beim Registrieren von SRV-Einträgen von Domänen­controllern kleinge­schriebene DNS-Hostnamen verwenden

    Path: \de-de\FileSys.adml
    Value : NTFS-Standardebene

    Path: \de-de\FileSys.adml
    Value : Verwendung des nicht ausgelagerten NTFS-Pools aktivieren

    Path: \de-de\FileSys.adml
    Value : Schwellenwert für parallele NTFS-Leerung

    Path: \de-de\FileSys.adml
    Value : Arbeitsthreads für parallele NTFS-Leerung

    Path: \de-de\WindowsDefender.adml
    Value : Skriptüberprüfung aktivieren.

    Path: \de-de\sam.adml
    Value : Konfigurieren der Überprüfung von ROCA-anfälligen WHfB-Schlüsseln während der Authentifizierung

    Path: \de-de\WindowsDefender.adml
    Value : Konfigurieren des zufälligen Zeitfensters für geplante Aufgaben

    Path: \de-de\StartMenu.adml
    Value : Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden

    Path: \de-de\WindowsDefender.adml
    Value : Definieren Sie den Verzeichnispfad zum Kopieren von Support-Protokolldateien

    Path: \de-de\TenantRestrictions.adml
    Value : Cloudrichtliniendetails

    Path: \de-de\TerminalServer.adml
    Value : Standortumleitung nicht zulassen

    Path: \de-de\TerminalServer.adml
    Value : Umleitung von Benutzer­ober­flächen­automa­tisierung zulassen

    Englische Bezeichnungen

    Path: \en-us\AppxPackageManager.adml
    Value : Archive infrequently used apps

    Path: \en-us\WindowsDefender.adml
    Value : This settings controls whether Network Protection is allowed to be configured into block or audit mode on Windows Server.

    Path: \en-us\NewsAndInterests.adml
    Value : Allow widgets

    Path: \en-us\Taskbar.adml
    Value : Configures the Chat icon on the taskbar

    Path: \en-us\ControlPanelDisplay.adml
    Value : Prevent lock screen background motion

    Path: \en-us\AppxPackageManager.adml
    Value : Not allow sideloaded apps to auto-update in the background

    Path: \en-us\CloudContent.adml
    Value : Turn off cloud consumer account state content

    Path: \en-us\WindowsDefender.adml
    Value : This setting controls datagram processing for network protection.

    Path: \en-us\AppxPackageManager.adml
    Value : Not allow sideloaded apps to auto-update in the background on a metered network

    Path: \en-us\CloudContent.adml
    Value : Turn off Spotlight collection on Desktop

    Path: \en-us\DnsClient.adml
    Value : Configure DNS over HTTPS (DoH) name resolution

    Path: \en-us\WindowsDefender.adml
    Value : Ip Address Exclusions

    Path: \en-us\InetRes.adml
    Value : Replace JScript by loading JScript9Legacy in place of JScript via MSHTML/WebOC.

    Path: \en-us\EAIME.adml
    Value : Configure Korean IME version

    Path: \en-us\DataCollection.adml
    Value : Limit Diagnostic Log Collection

    Path: \en-us\DataCollection.adml
    Value : Limit Dump Collection

    Path: \en-us\WindowsDefender.adml
    Value : Allows Microsoft Defender Antivirus to update and communicate over a metered connection.

    Path: \en-us\Netlogon.adml
    Value : Use lowercase DNS host names when registering domain controller SRV records

    Path: \en-us\FileSys.adml
    Value : NTFS default tier

    Path: \en-us\FileSys.adml
    Value : Enable NTFS non-paged pool usage

    Path: \en-us\FileSys.adml
    Value : NTFS parallel flush threshold

    Path: \en-us\FileSys.adml
    Value : NTFS parallel flush worker threads

    Path: \en-us\WindowsDefender.adml
    Value : Turn on script scanning

    Path: \en-us\sam.adml
    Value : Configure validation of ROCA-vulnerable WHfB keys during authentication

    Path: \en-us\WindowsDefender.adml
    Value : Configure scheduled task times randomization window

    Path: \en-us\StartMenu.adml
    Value : Show or hide "Most used" list from Start menu

    Path: \en-us\WindowsDefender.adml
    Value : Define the directory path to copy support log files

    Path: \en-us\TenantRestrictions.adml
    Value : Cloud Policy Details

    Path: \en-us\TerminalServer.adml
    Value : Do not allow location redirection

    Path: \en-us\TerminalServer.adml
    Value : Allow UI Automation redirection

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Wirklich absoluter Unsinn der da getrieben wird. Es gibt nur einen Central Store. Danke für deine Anlaysen, in der Patchmanagement.org Gruppe war man ungeprüft der Meinung, dass Windows 11 ADMX die entscheidenden sind und man die Windows 10 21H2 nicht benötigt. Mit Ausnahme des Printing Nightmare wäre dies auch hiermit bestätigt.

    Ist in Windows 10 21H2 auch der Windows Update Part erneuert?

    Beste Grüße
    Karl Wester-Ebbinghaus