ADMX Templates
Wie Microsoft kürzlich in einem Artikel bekanntgab, wird das Handling von ADMX Templates in einer Umgebung mit Windows 10 und Windows 11 Clients deutlich komplizierter.
ADMX Templates sind Group Policy Vorlagen. Wenn wir also in unserer Domain eine Group Policy erstellen, basieren die Einstellungen, die wir vornehmen können auf diesen Templates. ADMX Templates gibt’s für alles Mögliche und um die Microsoft Welt.
Die Templates waren bis vor kurzem auch immer rückwärtskompatibel, bedeutet man konnte jeweils das bestehende Template mit dem neuesten überschreiben und alle Einstellungen und auch über verschiedene Windows Versionen waren verfügbar.
Um auch diese Templates an einer zentralen Stelle zu haben, erstellt man in der Regel einen «Central Store», also eine Ablage für die Templates innerhalb unseres Sysvols und somit von jedem Domain Controller zur Verfügung gestellt.
Der Bruch und die Inkompatibilität
Leider und dies sehr zum Missfallen der IT-Fachleute, hat Microsoft nun mit der Tradition der Rückwärtskompatibilität gebrochen. Konkret heisst dies, dass wenn man die aktuellen Windows 11 21H2 Templates nutzen will, danach einige Einstellungen von Windows 10 nicht mehr verfügbar sind.
Sollte man sich jedoch entscheiden die aktuellen Windows 10 Templates zu nutzen, dann hat man diverse Windows 11 Einstellungen nicht zur Verfügung.
Da es nicht möglich ist in einem Central Store oder auch lokal gleichzeitig verschiedene Versionen eines Templates gleichzeitig zu nutzen, muss man sich hier entscheiden welches das kleinere Übel ist. Insbesondere jedoch in Umgebungen wo Windows 10 und 11 zum Einsatz kommt, ist das längerfristig ein Problem.
Übersicht der fehlenden Einstellungen in Windows 11
| Template | Fokus | Einstellung | |
| AppPrivacy | Computer | Let Windows apps take screenshots of various windows or displays | |
| AppPrivacy | Computer | Let Windows apps turn off the screenshot border | |
| AppxPackageManager | Computer | Archive infrequently used apps | |
| AppxPackageManager | Computer | Do not allow sideloaded apps to auto-update in the background | |
| AppxPackageManager | Computer | Do not allow sideloaded apps to auto-update in the background on a metered network | |
| CloudContent | Computer | Turn off cloud consumer account state content | |
| CloudContent | User | Turn off Spotlight collection on Desktop | |
| ControlPanelDisplay | Computer | Prevent lock screen background motion | |
| DataCollection | Computer | Limit Diagnostic Log Collection | |
| DataCollection | Computer | Limit Dump Collection | |
| DeliveryOptimization | Computer | Discovery Mode: Local Discovery | |
| DnsClient | Computer | Configure DNS over HTTPS (DoH) name resolution | |
| EAIME | User | Configure Korean IME version | |
| FileSys | Computer | Enable NTFS non-paged pool usage | |
| FileSys | Computer | NTFS parallel flush threshold | |
| FileSys | Computer | NTFS parallel flush worker threads | |
| FileSys | Computer | Configure NTFS default tier | |
| Globalization | Beide | Restrict Language Pack and Language Feature Installation | |
| InetRes | Beide | Replace JScript by loading JScript9Legacy in place of JScript via MSHTML/WebOC. | |
| Netlogon | Computer | Use lowercase DNS host names when registering domain controller SRV records | |
| NewsAndInterests | Computer | Allow News and Interests | |
| Sam | Computer | Configuration settings for the Security Account Manager | |
| Sensors | Computer | Force instant Wake | |
| Sensors | Computer | Force instant Lock | |
| Sensors | Computer | Configure Lock Timeout | |
| StartMenu | Beide | Locked Start Layout: Re-Apply Layout at every logon | |
| StartMenu | Beide | Show or hide „Most used“ list from Start menu | |
| TaskBar | Computer | Configure the Chat icon on the taskbar | |
| TenantRestrictions | Computer | Configure Cloud Policy Details | |
| TerminalServer | Computer | Enable auto-subscription | |
| TerminalServer | Computer | Do not allow location redirection | |
| TerminalServer | Computer | Allow UI Automation redirection | |
| WindowsDefender | Computer | Configure scheduled task times randomization window | |
| WindowsDefender | Computer | Define the directory path to copy support log files | |
| WindowsDefender | Computer | Configure IP Address Exclusions | |
| WindowsDefender | Computer | Turn on script scanning | |
| WindowsDefender | Computer | Allow Microsoft Defender Antivirus to update and communicate over a metered connection | |
| WindowsDefender | Computer | Configure Network Protection to be allowed to be configured into block or audit mode on Windows Server | |
| WindowsDefender | Computer | Control datagram processing for network protection | |
| Sandbox | Computer | Allow vGPU sharing for Windows Sandbox | |
| Sandbox | Computer | Allow networking in Windows Sandbox | |
| Sandbox | Computer | Allow audio input in Windows Sandbox | |
| Sandbox | Computer | Allow video input in Windows Sandbox | |
| Sandbox | Computer | Allow printer sharing with Windows Sandbox | |
| Sandbox | Computer | Allow clipboard sharing with Windows Sandbox | |
| WindowsUpdate | Changes in the folder structure |
Übersicht der fehlenden Einstellungen in Windows 10
| Template | Fokus | Einstellung |
| DataCollection | Beide | Allow Telemetry: Enhanced |
| DeliveryOptimization | Computer | Download Mode: Bypass |
| EAIME | User | Turn on Live Sticker |
| EAIME | User | Turn on lexicon update |
| InetRes | Beide | Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects |
| InetRes | Beide | Reset zoom to default for HTML dialogs in Internet Explorer mode |
| MicrosoftEdge | Beide | Suppress the display of Edge Deprecation Notification |
| Printing | Computer | Limit print driver installation to Administrators |
| TerminalServer | Computer | Set the Remote Desktop licensing mode: AAD per User |
| WindowsDefender | Computer | Scan packed executables |
Workaround
Wenn man auf beiden Seiten keine Abstriche machen will, dann lässt man am besten die Windows 10 Templates im Central Store und nimmt einen Workaround her, um trotzdem beide Welten vollumfänglich bedienen zu können- zumindest so lange bis man nur noch Clients von einem der beiden Windows Versionen hat.
Für den Workaround nimmt man sich eine Windows 10 21H2 (Wichtig, dass die Version stimmt) her und installiert darauf die GPO Konsole. Dieser bringt man dann jedoch bei, die Templates nicht im Central Store, sondern die lokal gespeicherten zu nutzen. Somit ist man in der Lage beide Welten ohne Einschränkungen aus Sicht Templates zu bedienen.
Schritt 1 – Feature in Windows 10 hinzufügen
Schritt 2 – Registry Key setzen
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group PolicyValue: EnableLocalStoreOverrideType: REG_DWORDData: 1
Schritt 3 – Templates herunterladen und lokal ablegen
Templates wie im Central Store getrennt nach ADML und ADMX Dateien unter diesem Pfad ablegen:C:\Windows\PolicyDefinitionsSchritt 4 – Kontrolle
Nach einem Neustart der Maschine oder mindestens der Konsole, sollten die Templates nun nur noch lokal gelesen werden- was dann in der Konsole auch angezeigt wird:
Vielen Dank für den Artikel.
Für mich stellt sich nun die Frage, ob ich GPOs für beide Betriebssysteme nach erfolgreichem Einbinden des Windows 10 21H2 Client ausschließlich über den Domain Controller steuern kann oder dann z.b. die Windows 10 gezielten Richtlinien auf dem Win10 Client erstellen muss.
Ich freue mich auf Ihre Rückmeldung.
Viele Grüße
Lars
Hallo Lars,
Um die Frage zu beantworten, gehe ich nochmals einen Schritt zurück. Grundsätzlich hast du in einer klassischen Active Directory Umgebung mehrere DCs auf denen einerseits die GPO Templates und anderseits die GPOs selbst liegen und an den Domain gejointen Client geschickt werden. Die von mir beschriebene Inkompatibilität bezieht sich darauf dass du einen Central Store nutzt. Das bedeutet dass du eben auch auf dem DC im Sysvol Share die Templates gespeichert hast. Dies macht man in der Regel dass auf jedem DC die gleichen Templates genutzt werden- da das Sysvol ja repliziert wird.
Wenn wir nun aber diese im Artikel beschriebenen Templates im Central Store ablegen, kommt es zu Kompatibilitätsproblemen mit den Windows 10 GPOs im GP Manager. Um dies zu umgehen, nehmen wir uns beim Workaround einen Windows 10 Client her und installieren die GP Manager Konsole. Dann bringen wir der bei das sie nicht die Templates im Central Store, sondern die lokalen für W 10 nehmen soll. Somit hast du einfach eine dedizierte GP Manager Konsole auf einer Windows 10 Maschine und änderst W 10 GPOs da- so lange du noch W 10 Maschinen hast und diese noch Domain gejoint sind. Die Einstellungen, die GPOs selber sind aber nach wie vor auf den DCs und werden an die Clients geschickt.
Grüsse, Marco