[English]Gibt es Probleme bei der Verwaltung von Gruppenrichtlinien zwischen Windows 10 und Windows 11? Darauf deutet ein Post hin, der mir die Tage in der patchmanagement.org-Mailingliste unter die Augen gekommen ist. Die Aussage lautet, dass sich unter Windows 11 gesetzte Gruppenrichtlinien auf Windows 10 Clients in einigen Einstellungen u.U. nicht mehr anpassen lassen. Ich stelle es mal im Blog ein, verbunden mit der Frage, ob jemandem ähnliches aufgefallen ist.
Konflikt bei der GPO-Verwaltung?
Ich stelle das alles hier im Blog-Beitrag mal mir einem Fragezeichen ein. In der patchmanagement.org-Mailingliste ist mir die Tage ein Thread unter dem Titel ADMX files Windows 10 21H2 vom 17. November 2021 unter die Augen gekommen. Dem Thread-Starter war aufgefallen, dass es für Windows 11 21H2 separate ADMX-Template-Dateien gibt und er fragte, ob er diese für alle seine Clients verwenden könne:
Before upgrading to W10 21H2 I thought I’d check for newer admx files, and instead found the Windows 11 21H2 admx templates to download. Would it make more sense/would it be safer to stay with the W10 21H1 templates or lay down the W11 21H2 templates? It sounds like they are backwards compatible, any W11 specifics just wouldn’t apply for my PCs, from what I have read. Not going to Windows 11 for a little while…
oder ob er lieber unter seinen Windows 10-Clients mit den admx-Dateien für diese Plattform arbeiten sollte. Zu diesem Thema habe ich nachfolgend ja einiges ausgeführt. Als ich die Diskussionen des Eintrags der patchmanagement.org-Mailingliste durchging, fiel mir aber folgender Eintrag von James Ferry (nur mit Anmeldung sichtbar) vom 10. April 2022 ins Auge:
Some items are not editable on the w10 device if somebody else creates them on a w11 machine even with the same w11 version admx.
Similar happened with the ie11 settings on w8 when running on a w7 device.
Only matters if you use those settings. If it does happen they’ll pop up in „other registry settings“.
Basically, in the admx rules there are flags for when a setting can be shown. It doesn’t take into account that an admin could be on a different type of system.
You can manually edit the value though in notepad, or if keen, just get rid of the restriction on the admx on you support PC.
Die Kernaussage: Wenn Gruppenrichtlinien für Windows 10-Maschinen auf Windows 11-Clients erzeugt/gepflegt werden, kann es zu Konflikten kommen. Der betreffende Admin schreibt, dass diese betroffenen Richtlinien dann unter Windows 10 auf dem Client nicht änderbar seien. Nur die manuelle Anpassung per Notepad sei noch möglich.
Das impliziert aber, dass eine Verwaltung gemischter Clients (Windows 11 und ältere Windows-Versionen bis hoch zu Windows 10) Probleme bereiten kann, wenn GPOs wechselseitig mit Clients unter Windows 10 und Windows 11 verwaltet werden. Die Frage, die sich mir stellt: Gibt es Administratoren unter der Leserschaft, die das bestätigen können?
Der Poster erwähnt einen alten Fall, der zwischen Windows 8 und Windows 7 mit Internet Explorer 11-GPOs auftrat.
Auf Mewe hat ein Admin ebenfalls geschrieben: Windows 11 nutzt andere ADM(x)-Vorlagen für die GPOs. Diese sind nicht zu 100% kompatibel zu denen, welche Windows 10 nutzt. Somit werden diese zwar dargestellt, wirken aber unter Umständen nicht und sind nicht bearbeitbar.
Das gab es auch schon auf AD-Ebene mit dem IE. Durch ein Update wurden die ADM-Vorlagen für die GPOs auf einem AD-Server gelöscht. Dadurch konnten einst erstellte IE-GPOs nicht mehr bearbeitet werden und nur sehr umständlich wieder aus der kompletten AD entfernt werden.
Von Microsoft gibt es zudem einen Support-Beitrag Cannot edit Group Policy settings on a site in Windows für Windows 7 bis 8.1 und die Server Pendants, der sich mit nicht editierbaren GPO-Einstellungen in gemischten Umgebungen befasst. Der Fall aber nicht ganz vergleichbar und Microsoft hat seinerzeit einen Fix für Windows 8.x herausgebracht.
Windows 10/11-GPOs unterschiedlich
Die Gruppenrichtlinien (GPOs) unterscheiden sich zwischen Windows 11 und früheren Versionen bis Windows 10. Inzwischen veröffentlicht Microsoft ja separate ADMX-Dateien für Windows 11, Windows Server 2022 sowie die älteren Windows-Versionen bis einschließlich Windows 10 und die Server-Pendants. Ich hatte im Blog-Beitrag Administrative Templates (.admx) v2.0 bis Windows 10 November 2021 Update (21H2) auf die unterschiedlichen admx-Vorlagedateien hingewiesen. Wolfgang Sommergut hat auf Windows Pro diesen Artikel veröffentlicht, der sich mit den Unterschieden befasst – einen englischsprachigen Post (Thread-Start 16. Januar 2022) von einem Microsoft-Mitarbeiter mit einem Vergleich der GPOs für Windows 10/11 sowie sich daran anschließenden Nutzerdiskussionen gibt es in der Techcommunity. Microsoft hat zudem einen Beitrag zum Thema erstellt, den ich im Blog-Beitrag Windows 10/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen aufgegriffen habe.
Ergänzung: Mark Heitbrink hat auf Facebook noch folgenden Kommentar hinterlassen:
Kein Mensch der ernsthaft mit Richtlinien arbeitet, verwendet einen Client als Editor OS
und auf eine Frage nach dem „warum“ folgendes geantwortet:
weil es in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) mindesten 2wei Phänomene gab, die immer nur am Client aufgetaucht sind, auf einem Member Server nie.
- 1 Stunde Zeitversatz in GPP Task
- String statt Sid in gpttmpl.inf
… Und das Killerargument: Am Server muss ich nichts runterladen oder irgendwelche regkeys für Feature on Demand (FoD) setzen. Ich füge die AD oder GPMC einfach hinzu. Außerdem hat ein Server OS zwei RDP Sitzungen und dieser Gpeditor-Server muss nicht gebackuped werden.Es ist ein Server mit onboard Features. Das kann jeder Server usw usw usw.
Ähnliche Artikel
Windows 10/11: 56 neue Gruppenrichtlinien
Windows 10/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen
Administrative Templates (.admx) v2.0 bis Windows 10 November 2021 Update (21H2)
Zentralen Windows ADMX-Store sichern und aktualisieren
Das ist seit mindestens Windows 10 das Standardverhalten. Bei den älteren OS hat MS nach meiner Meinung stets darauf geachtet, dass älter GPOs auf neueren OS immer zur Verfügung standen, auch wenn die Funktion eigentlich nicht mehr vorhanden war. Hatte den Vorteil, dass man mit dem aktuellen Satz von ADMX-Vorlagen immer alle Clients verwalten konnte. Besonders praktisch, wenn man die ADMX-Vorlagen im central store (https://www.windowspro.de/wolfgang-sommergut/zentralen-store-fuer-admx-vorlagen-einrichten-aktualisieren) genutzt hatte. Seit Windows 10 ist das Schnee von gestern. Im central store geht nur eine Version. Trifft man auf GPO-Settings, die in neueren ADMX-Vorlagen fehlen, dann funktioniert zwar die GPO für die betreffenden Clients, man kann sie nur nicht mehr konfigurieren. Dafür muss man dann wieder einen Client mit lokal vorgehaltenen ADMX-Vorlagen für diese Window 10 Version vorhalten. Gilt dann genauso für Windows 11. Auch hier sieht man, dass sich Windows mehr und mehr zum Frickelsystem entwickelt.
Wenn es nur das Fehlen. von Vorlagen wäre. In der Vergangenheit ging man ja auch soweit, dass bspw. die IE11 Richtlinien und ADMX Files nur von einem GPO Client Windows 8 oder Windows 8.1 und höher lesbar waren.
Oh, das kenne ich zu genüge. Inzwischen lösen wir das Meiste direkt per Registry. Nicht die schönste Lösung, funktioniert dann aber wenigstens überall.
Gibt es irgendwo eine Liste der 10er Einstellungen, die mit einem 11er ADMX nicht mehr unterstützt werden?
mir wäre eine Liste der Settings, die überhaupt implementiert sind im OS dann, und zwar für alle OS bei weitem lieber.
Es gibt KEINE (!) Konflikte durch fehlende ADMx Settings. Die Werte stehen im registry.pol File und werden angwendet unabhängig davon, ob der Editor Zugriff auf den Wert hat oder nicht.
Wenn der Wert für 10 nicht funktioniert, wird er trotzdem angewendet, macht aber nichts kaputt, da 10 ihn nun mal nicht unterstützt und vice-versa.
Möchtet ihr über: Set-GPRegistryValue und Remove-GPRegistryValue oder den Registry Workshop von Torchsoft mit mir reden?
Die Richtlinien sind nicht kaputt. Es fehlen schlicht die Schablonen zum editieren. Das ist völlig stressfrei und war noch nie ein Problem.
Kurze Performance Empfehlung:
GPP Registry nicht mehr verwenden, wenn es kein ILT benötigt. Statt dessen die Werte mit „Set-GPRegistryValue“ direkt ins registry.pol File schreiben. Performance Faktor ca. 10
Betr. „Registry Workshop von Torchsoft“:
Machen Sie hier allen Ernstes Werbung für einen Anbieter, der seine Downloads über ungesicherte http: -Verbindungen anbietet und weder Sitz noch Firma zu erkennen gibt?
Mir ist das auch noch nicht untergekommen. Wir nutzen immer die aktuellsten ADMX-Dateien unserer eingesetzten Windows 10-Version. Weil wir Windows 11 noch nicht im Einsatz haben, verwenden wir die Windows 10 ADMX-Dateien. Warum auch die für Windows 11? Ich habe noch nie gesehen, dass irgendwas blockiert gewesen wäre.
Ist auch die richtige Vorgehensweise. Nur wenn du mal an das Projekt Win 11 Migration rangehst, und für die GPO-Vorbereitungen das Win 11 ADMX ins AD importierst, wirst du gewisse Einstellungen für Win 10 nicht mehr ändern können. Ob das schlimm ist, oder nicht, musst du selbst abschätzen müssen, je nachdem welche GPO-Einstellungen du für Win 10 vorgenommen hast. Nach der Win 11 Migration spielen diese Einstellungen wahrscheinlich eh keine Rolle mehr, weil Win 11 sie vielleicht garnicht mehr kennt.