Neue GPO-Einstellungen für Windows 10 1809 und Server 2019, ADMX-Download

    Teaser-Bild für GPOMit den jüng­sten Updates des Client- und Server-Betriebs­systems kamen Ein­stellungen für die Gruppen­richtlinien hin­zu, die Vor­lagen gibt es wieder als separaten Down­load. Zuwachs gab es bei der Konfi­guration von Edge, zur Steuerung der Group Policy Preferences und zu neuen Features wie der erwei­terten Zwischen­ablage.

    Das von Microsoft favorisierte Modern Management kommt bekanntlich ohne AD-Domänen­dienste und Gruppen­richtlinien aus, vielmehr erfolgt dort das Management über Configuration Service Provider (CSP). Obwohl GPOs aus dieser Sicht ein Auslauf­modell sind, erweitert Microsoft die dafür verfügbaren Einstellungen mit jedem Upgrade von Windows.

    Schlampige Dokumentation

    Als Referenz für die verfügbaren Optionen im GPO-Editor dient eine Excel-Tabelle, die der Hersteller für jedes Release aktualisiert (hier meine Version mit den deutschen Namen der Einstellungen). Betrachtet man den Zustand dieser Übersicht, dann erhält man den Eindruck, dass die Gruppen­richtlinien doch keine große Bedeutung mehr haben.

    Obwohl es sich um die wohl wichtigste Dokumentation zu den Einstellungen für GPOs handelt, scheut Microsoft den über­schaubaren Aufwand, um diese Daten in einem ordentlichen und konsistenten Zustand zu halten.

    Die aktuelle Version des Spreadsheets ist ziemlich wertlos, wenn man die Änderungen seit der 1803 nachverfolgen will. So kam für Edge eine größere Zahl von Einstellungen hinzu, in der Excel-Tabelle für Windows 10 1809 fehlt aber der komplette Abschnitt für diesen Browser (siehe dazu: Microsoft Edge mit GPOs konfigurieren: Neue Einstellungen in Windows 10 1809).

    Die Excel-Tabelle verspricht ein Füllhorn voller neuer Einstellungen, die meisten sind aber alte Kamellen.

    Filtert man die Liste nach den Settings, die als neu in 1809 markiert sind, dann kommt man auf die erstaunliche Zahl von 166 Optionen (und das, obwohl jene für Edge fehlen). Bei näherer Betrachtung zeigt sich aber, dass diese Information in den meisten Fällen falsch ist.

    So wurden viele schon lange existierende Einstellungen für die MMC in eine Datei namens mmcsnapins2.admx ausgelagert und als neu ausgewiesen. Ähnliches gilt für den RD Session Host, das Startmenü oder den Media Player, wo eine ganze Latte von teils uralten Einstellungen als neu gekenn­zeichnet ist.

    Neue Einstellungen für die GPP

    Neu in Bezug auf die MMC ist dagegen die Möglichkeit, den Zugriff auf die Snapins der Group Policy Preferences zu unter­binden. Die dafür zuständigen Einstellungen finden sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Management Console => Eingeschränkte/Zugelassene Snap-Ins => Gruppen­richtlinie => Einstellungs-Snap-In-Erweiterungen.

    Die Snap-ins für jede Komponente der Group Policy Preferences lässt sich nun sperren.

    Weitere neue Optionen erlauben es, die Ausführung der Group Policy Preferences granular zu steuern. Damit lässt sich für jede einzelne Richtlinie (wie etwa Laufwerks­zuordnungen, INI-Dateien, Registrierung und alle Einstellungen der Systemsteuerung) festlegen, ob sie über langsame Netzwerke ausgeführt oder mit welcher Priorität sie im Hintergrund laufen soll.

    Die Ausführung von GPP kann man nun über eigene Einstellungen kontrollieren.

    Ergänzend dazu gibt es für jede Option in den GPP eine weitere neue Einstellung, mit denen man die Protokollierung aktivieren kann. Dort lässt sich die Aufzeichnung von Ereignissen für die Zweige Computer und Benutzer getrennt aktivieren, um Fehlern bei der Ausführung eines GPO auf die Spur zu kommen.

    Optionen zur Protokollierung der GPP-Ausführung

    Neue Optionen für das Security Center

    Zahlreiche neue Einstellungen meldet die Excel-Tabelle für die Konfiguration des Windows Defender Security Center ("Windows-Sicherheit"). Wie sich beim Vergleich mit 1803er-Liste schnell zeigt, waren bis auf drei alle bereits vorher vorhanden. Neu sind:

    • Schaltfläche "TPM löschen" deaktivieren
    • Empfehlung zum TPM-Firmwareupdate ausblenden
    • Windows-Sicherheits-Systray ausblenden

    Historie der Zwischenablage deaktivieren

    Ein neues Feature von Windows 10 1809 ist die mehrstufige Zwischenablage, deren Inhalt zwischen Geräten synchronisiert werden kann. Sowohl die Clipboard-Historie als auch ihre Synchronisierung lassen sich mit diesen Einstellungen deaktivieren:

    • Synchronisierung der Zwischenablage geräteübergreifend zulassen
    • Zwischenablageverlauf zulassen

    Privacy und Diagnosedaten

    Im Lauf der letzten Upgrades hat Microsoft die Zahl der Privacy-Einstellungen, die man bei ersten Start von Windows 10 nach der Installation (OOBE-Phase) setzen muss, deutlich erhöht. Nun kann man mittels "Oberfläche für Daten­schutz­einstellung bei Benutzer­anmeldung nicht starten" diesen Dialog ausblenden, wenn man diese Einstellung etwa schon im Image konfiguriert hat, von dem Windows 10 installiert wurde.

    Weitere neue Optionen mit Bezug zur Privatsphäre betreffen die von Microsoft gesammelten Diagnose­daten. Der mit 1803 eingeführte Viewer lässt sich nun blockieren, außerdem kann man das Löschen dieser Informationen in der App Einstellungen unterbinden.

    • Deaktivieren Sie das Löschen der Diagnosedaten
    • Diagnosedatenanzeige deaktivieren.

    Das Aufschieben von Updates lässt sich als Option aus der App Einstellungen entfernen.

    Schließlich erhält auch Windows-Update die Möglichkeit, das Verzögern von Updates durch den Benutzer zu verhindern. Dazu blendet man mit Hilfe von Zugriff auf Feature "Updates aussetzen" entfernen die entsprechende Option in der App Einstellungen aus.

    Nicht mehr vorhandene Einstellungen

    Interessant ist nicht nur die Information, welche neuen Einstellungen hinzuge­kommen sind, sondern auch, welche von Microsoft entfernt wurden. In diesem Fall ergibt sich nämlich das Problem, dass die betreffenden Richtlinien in bestehenden GPOs nicht mehr bearbeitet werden können.

    Die Excel-Tabelle gibt darüber keinen Aufschluss. Vergleicht man sie aber mit der Version für Windows 10 1803, dann fehlen in der aktuellen Ausführung folgende Optionen:

    • globalization.admx => Eingabeanpassung zulassen
    • passport.admx => Anmeldung per Handy verwenden

    Verfügbarkeit der Vorlagen

    Wenn man die aktuellen administrativen Vorlagen nutzen möchte, dann kann man dies am einfachsten auf einer Workstation mit Windows 10 1809 tun.

    Verwendet man einen Central Store für die Templates, dann kopiert man sie von einem PC mit dem neuen OS aus dem Verzeichnis %systemroot%\ PolicyDefinitions dorthin. Im gemischten Betrieb kann man den Central Store auf bestimmten Workstations deaktivieren.

    Alternativ bietet Microsoft die ADMX-Dateien als eigenen Download an. Wenn man einen deutschen GPO-Editor einsetzt, wird man allerdings auch bei den Templates auf Qualitäts­probleme stoßen

    Eine ganze Reihe der neuen Einstellungen für Microsoft Edge wurde nicht in die deutsche ADML-Datei übernommen, so dass man beim Start des Editors von ent­sprechenden Fehler­meldungen begrüßt wird.

    Die neuen Einstellungen für Edge wurden in der deutschen Sprachdatei nicht berücksichtigt.

    In diesem Fall kann man die monierten Einstellungen aus der englischen in die deutsche Sprachdatei kopieren oder gleich mit einem englischen Windows auf dem Admin-PC arbeiten. Dass Microsoft diese Mängel in absehbarer Zeit behebt, ist aber eher unwahr­scheinlich.

    1 Kommentar

    Bild von WillyWurm
    WillyWurm sagt:
    22. November 2018 - 8:21

    Die deutsche ADML-Datei ist nur der .msi "kaputt" bzw. die bisherige aus 1803.
    Auf einem installierten Windows 1809 liegt eine aktualisierte deutsche ADML-Datei vor. Als Workaround kann man diese Datei in den CentralStore kopieren