Zentralen Store für ADMX-Vorlagen einrichten und aktualisieren

    , 10.08.2021
    Tags: ,

    ADMX-Vorlagen für Office 2016 und 2019Zwar enthält jeder Windows-PC einen eigenen Satz an admini­stra­tiven Vor­lagen für die Gruppen­richt­linien, diese lassen sich aber in einer zen­tralen Ablage besser ver­walten. Dies gilt umso mehr, wenn ADMX für ver­schiedene Anwen­dungen hinzu­kommen. Als trick­reich kann sich aber dann das Update gestalten.

    Wenn man im Gruppen­richt­linien-Editor ein GPO bearbeitet, dann holt sich dieser die verfügbaren Einstellungen aus den ADMX-Dateien, die Windows unter %SystemRoot%\PolicyDefinitions mitbringt.

    Umständliche lokale Verwaltung

    Wenn man mehrere Workstations mit verschiedenen Versionen von Windows für das Management der Gruppen­richt­linien einsetzt, dann hat man dort überall andere Vorlagen oder man muss diese auf allen PCs auf den gleichen Stand bringen.

    Hinzu kommt, dass man die ADMX-Templates nicht bloß für die Verwaltung von Windows benötigt, sondern noch solche für Office, Microsoft Edge, Chrome oder andere Anwendungen von Drittan­bietern dazu­kommen. Diese unterliegen jeweils eigenen Update-Zyklen und müssten ebenfalls auf jedem PC regelmäßig aktualisiert werden.

    Zentralen Store einrichten

    Um diesen Aufwand zu vermeiden und auf allen Admin-PCs den gleichen Release-Stand der Vorlagen zu erreichen, sieht Microsoft vor, für sie einen Central Store auf einem Domänen-Controller ein­zurichten. Eine Konfiguration des GPO-Editors ist dafür nicht erforderlich, er sucht die ADMX-Dateien automatisch immer erst im zentralen Store.

    Dieser befindet sich unter

    \\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne>\Policies\PolicyDefinitions\

    also zum Beispiel

    \\windowspro.local\SYSVOL\windowspro.local\Policies\PolicyDefinitions

    Das Verzeichnis muss man erst anlegen. Dorthin kopiert man dann die ADMX-Files sowie die Sprach­dateien (*.adml) mit den lokalisierten Texten, die in Unter­verzeichnisse wie en-US oder de-DE kommen. Der GPO-Editor lädt dann selbständig die ADML jener Sprache, die auf dem Admin-PC für die Anzeige von Windows eingestellt ist.

    Pfad zum Central Store für die administrativen Vorlagen

    Als Quelle kann hier ein aktueller Windows-Client dienen, alternativ stellt Microsoft die ADMX als eigenen Download zur Verfügung. Dieser enthält nicht nur alle Vorlagen, sondern auch die ADML-Dateien sämtlicher unterstützter Sprachen.

    Allerdings ist davon abzuraten, auch die nicht benötigten Sprachdateien in den Central Store zu kopieren, weil diese dann zusätzlich auf alle Domain-Controller repliziert werden.

    Es ist absolut zu empfehlen, die ADML-Dateien aus en-US zu installieren, selbst wenn nur ein deutsches Windows verwendet wird. Die englischen Sprachdateien werden nämlich immer dann geladen, wenn die ADML-Dateien für die aktuelle Anzeigesprache von Windows nicht vorhanden sind.

    In diesem Beispiel lädt der italienische GPO-Editor die englischen Vorlagen, weil die italienischen nicht existieren.

    Vorlagen aktualisieren

    Da Microsoft mit jedem Release von Windows eine neue Version der ADMX-Dateien bringt, muss man den Central Store regelmäßig aktualisieren. Dafür kann man nicht einfach alle Vorlagen löschen und die neuen einspielen, wenn man dort auch die ADMX für andere Anwendungen hinlegt hat. Diese müsste man sonst wieder neu hinzufügen.

    Vorlagen für verschiedene Anwendungen im Central Store

    Hinzu kommt, dass Microsoft die Vorlagen nicht immer 1:1 ersetzt. Manchmal ändern sich Dateinamen, und bis Windows 10 1903 waren die Office-Templates mit an Bord des ADMX-Downloads, aktuell aber nicht mehr. Auch das Datum der ADMX ist kein geeignetes Filter­kriterium mehr für das Löschen, dieses ändert sich nur mehr bei den modifizierten Vorlagen.

    Eine Möglichkeit bestünde darin, alle Vorlagen, die nicht für Windows gedacht sind, in einem separaten Ordner vorzuhalten. Von dort könnte man sie nach dem Bereinigen des Central Store wiederherstellen.

    Alternativ könnte man den ADMX-Download entpacken, in das betreffende Verzeichnis wechseln und dort mit diesem PowerShell-Befehl alle Dateien im Store löschen, die auch im Download vorhanden sind:

    Get-ChildItem *.admx |
    foreach{ Get-ChildItem -Recurse ("\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\" + `
    $_.basename + ".adm?") |
    Remove-Item -Verbose }

    Dateien im Central Store löschen, wenn sie im ADMX-Download enthalten sind

    Vorsichts­halber sollte man den del-Befehl erst mit dem Schalter WhatIf starten, um zu sehen, welche Dateien betroffen sind. Nach dem Löschen sollte man auch mit freiem Auge erkennen können, ob im Store noch Relikte der alten Windows-Vorlagen vorhanden sind.

    Central Store umgehen

    Das ADMX-Update kann dazu führen, dass sich vorhandene GPOs nicht mehr vollständig bearbeiten lassen, weil Microsoft darin verwendete Einstellungen aus den Vorlagen entfernt hat. In diesem Fall benötigt man die älteren Vorlagen.

    Da sich mehrere Versionen nicht parallel im Central Store vorhalten lassen, kann man dafür die lokalen ADMX einer Workstation nutzen. Um den GPO-Editor zu überreden, die Einstellungen von dort und nicht vom zentralen Store zu laden, muss man auf dem betreffenden Rechner einen Schlüssel namens Group Policy in der Registry unter

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows

    anlegen. Dort erstellt man einen Wert vom Typ REG_DWORD sowie dem Namen Enable­LocalStore­Override und weist ihm den Wert 1 zu. Eine detaillierte Anleitung findet sich in diesem Beitrag.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links