Tags: Gruppenrichtlinien, Active Directory
Zwar enthält jeder Windows-PC einen eigenen Satz an administrativen Vorlagen für die Gruppenrichtlinien, diese lassen sich aber in einer zentralen Ablage besser verwalten. Dies gilt umso mehr, wenn ADMX für verschiedene Anwendungen hinzukommen. Als trickreich kann sich aber dann das Update gestalten.
Wenn man im Gruppenrichtlinien-Editor ein GPO bearbeitet, dann holt sich dieser die verfügbaren Einstellungen aus den ADMX-Dateien, die Windows unter %SystemRoot%\PolicyDefinitions mitbringt.
Umständliche lokale Verwaltung
Wenn man mehrere Workstations mit verschiedenen Versionen von Windows für das Management der Gruppenrichtlinien einsetzt, dann hat man dort überall andere Vorlagen oder man muss diese auf allen PCs auf den gleichen Stand bringen.
Hinzu kommt, dass man die ADMX-Templates nicht bloß für die Verwaltung von Windows benötigt, sondern noch solche für Office, Microsoft Edge, Chrome oder andere Anwendungen von Drittanbietern dazukommen. Diese unterliegen jeweils eigenen Update-Zyklen und müssten ebenfalls auf jedem PC regelmäßig aktualisiert werden.
Zentralen Store einrichten
Um diesen Aufwand zu vermeiden und auf allen Admin-PCs den gleichen Release-Stand der Vorlagen zu erreichen, sieht Microsoft vor, für sie einen Central Store auf einem Domänen-Controller einzurichten. Eine Konfiguration des GPO-Editors ist dafür nicht erforderlich, er sucht die ADMX-Dateien automatisch immer erst im zentralen Store.
Dieser befindet sich unter
\\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne>\Policies\PolicyDefinitions\
also zum Beispiel
\\windowspro.local\SYSVOL\windowspro.local\Policies\PolicyDefinitions
Das Verzeichnis muss man erst anlegen. Dorthin kopiert man dann die ADMX-Files sowie die Sprachdateien (*.adml) mit den lokalisierten Texten, die in Unterverzeichnisse wie en-US oder de-DE kommen. Der GPO-Editor lädt dann selbständig die ADML jener Sprache, die auf dem Admin-PC für die Anzeige von Windows eingestellt ist.
Als Quelle kann hier ein aktueller Windows-Client dienen, alternativ stellt Microsoft die ADMX als eigenen Download zur Verfügung. Dieser enthält nicht nur alle Vorlagen, sondern auch die ADML-Dateien sämtlicher unterstützter Sprachen.
Allerdings ist davon abzuraten, auch die nicht benötigten Sprachdateien in den Central Store zu kopieren, weil diese dann zusätzlich auf alle Domain-Controller repliziert werden.
Es ist absolut zu empfehlen, die ADML-Dateien aus en-US zu installieren, selbst wenn nur ein deutsches Windows verwendet wird. Die englischen Sprachdateien werden nämlich immer dann geladen, wenn die ADML-Dateien für die aktuelle Anzeigesprache von Windows nicht vorhanden sind.
Vorlagen aktualisieren
Da Microsoft mit jedem Release von Windows eine neue Version der ADMX-Dateien bringt, muss man den Central Store regelmäßig aktualisieren. Dafür kann man nicht einfach alle Vorlagen löschen und die neuen einspielen, wenn man dort auch die ADMX für andere Anwendungen hinlegt hat. Diese müsste man sonst wieder neu hinzufügen.
Hinzu kommt, dass Microsoft die Vorlagen nicht immer 1:1 ersetzt. Manchmal ändern sich Dateinamen, und bis Windows 10 1903 waren die Office-Templates mit an Bord des ADMX-Downloads, aktuell aber nicht mehr. Auch das Datum der ADMX ist kein geeignetes Filterkriterium mehr für das Löschen, dieses ändert sich nur mehr bei den modifizierten Vorlagen.
Eine Möglichkeit bestünde darin, alle Vorlagen, die nicht für Windows gedacht sind, in einem separaten Ordner vorzuhalten. Von dort könnte man sie nach dem Bereinigen des Central Store wiederherstellen.
Alternativ könnte man den ADMX-Download entpacken, in das betreffende Verzeichnis wechseln und dort mit diesem PowerShell-Befehl alle Dateien im Store löschen, die auch im Download vorhanden sind:
Get-ChildItem *.admx |
foreach{ Get-ChildItem -Recurse ("\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\" + `
$_.basename + ".adm?") |
Remove-Item -Verbose }
Vorsichtshalber sollte man den del-Befehl erst mit dem Schalter WhatIf starten, um zu sehen, welche Dateien betroffen sind. Nach dem Löschen sollte man auch mit freiem Auge erkennen können, ob im Store noch Relikte der alten Windows-Vorlagen vorhanden sind.
Central Store umgehen
Das ADMX-Update kann dazu führen, dass sich vorhandene GPOs nicht mehr vollständig bearbeiten lassen, weil Microsoft darin verwendete Einstellungen aus den Vorlagen entfernt hat. In diesem Fall benötigt man die älteren Vorlagen.
Da sich mehrere Versionen nicht parallel im Central Store vorhalten lassen, kann man dafür die lokalen ADMX einer Workstation nutzen. Um den GPO-Editor zu überreden, die Einstellungen von dort und nicht vom zentralen Store zu laden, muss man auf dem betreffenden Rechner einen Schlüssel namens Group Policy in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
anlegen. Dort erstellt man einen Wert vom Typ REG_DWORD sowie dem Namen EnableLocalStoreOverride und weist ihm den Wert 1 zu. Eine detaillierte Anleitung findet sich in diesem Beitrag.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Berechtigungen für Domain Join delegieren
- Drucker abhängig vom Standort automatisch zuordnen
- Reports zum Active Directory erzeugen mit dem kostenlosen AD Info
- SSL-Zertifikate über AD-Zertifizierungsstelle und GPO automatisch ausstellen und erneuern
- Minimale Passwortlänge: Default Domain Policy versus Set-ADDefaultDomainPasswordPolicy
Weitere Links