none
admx Templates Windows 10 / Server 2016 RRS feed

  • Frage

  • Hallo,
    kann man die neusten admx Templates einfach in den PolicyDefinitions ersetzen?
    Sollte man für Windows10/Server 2016 komplett neue GPO's erstellen?
    Oder kann man vorhandene weiter nutzen und dort nur die jeweiligen Einstellungen für Windows 10/Server 2016 anpassen?

    Danke und Gruß
    Dennis
    Mittwoch, 15. Februar 2017 12:00

Antworten

  • Hallo Dennis,

    wenn du neue hinzugekommene Einstellungen von Server 2016/ Win10 per GPO verwalten willst, brauchst du neue Admx-Templates.

    Lange Zeit war Central Store einrichten und den immer mit den neuesten Admx Vorlagen betanken, die besste Lösung.

    Leider hat sich Microsoft entschieden, neue Admx-Vorlagen nicht mehr unbendingt abwärtskompatibel zu halten.

    Hast du eine homogene Umgebung, auf aktuellem Stand, ändert sich nichts am Vorgehen --> Central Store aktualisieren.

    So bald du aber eine heterogene Umgebung hast, kann es sein, dass du mit den neuesten Admx Files Einstellungen in deinen alten GPOs (bzw. manche Einstellungen in neuen GPOs für ältere Systeme) nicht mehr verändern kannst.

    ADMX Version History

    EDIT: in einer heterogenen Umgebung könnte man dem Problem zum Beispiel damit begegnen, für jede zu verwaltende OS-Version, einen eigenen "GPO-Verwaltungs-Client" einzurichten, der dann eben nicht einen Central Store, sondern lokal Admx Templates für das entsprechende System bekommt.

    Gruß TechnikSC885

    • Bearbeitet TechnikSC885 Mittwoch, 15. Februar 2017 12:25 EDIT:
    • Als Antwort markiert HaschkeD Mittwoch, 15. Februar 2017 13:43
    Mittwoch, 15. Februar 2017 12:18
  • Da wir Win7 mit Server 2008R2 und Server 2012R2 haben

    So lange keinen Win10/Srv16 im Spiel sind, tut's ein Central-store mit Admx Templates auf Stand 2012r2.

    Mit den neuren Templates kannst du an den alten Systemen auch nicht mehr einstellen.

    Wie verhält sich das mit vorhandenen GPO's?
    Diese kann man dann trotzdem anpassen von der Station mit den neuen admx?

    Genau das eben nicht! Zumindest nicht wenn der Bereich, den du in deinem GPO bearbeiten möchtest, im neuen Template nicht mehr vorhanden ist. Das GPO wirkt aber natürlich unverändert auf die verlinkten OUs - die Einstellungen sind ja noch da, nur ändern kann man sie über den Gruppenrichtlinien-Editor eben nicht mehr.
    Aber auch dafür gibt es Lösungen: Bearbeiten von Zusätzliche Registry Einstellungen - edit Extra Registry Settings - Arbeiten ohne GPEditor
    ;-)

    Was sich mit welcher Version der Admx Templates ändert, ist recht übersichtlich in dem in meinem ersten Post verlinkten Artikel beschrieben.

    Gruß TechnikSC885

    • Als Antwort markiert HaschkeD Mittwoch, 15. Februar 2017 13:43
    Mittwoch, 15. Februar 2017 13:36

Alle Antworten

  • Hallo Dennis,

    wenn du neue hinzugekommene Einstellungen von Server 2016/ Win10 per GPO verwalten willst, brauchst du neue Admx-Templates.

    Lange Zeit war Central Store einrichten und den immer mit den neuesten Admx Vorlagen betanken, die besste Lösung.

    Leider hat sich Microsoft entschieden, neue Admx-Vorlagen nicht mehr unbendingt abwärtskompatibel zu halten.

    Hast du eine homogene Umgebung, auf aktuellem Stand, ändert sich nichts am Vorgehen --> Central Store aktualisieren.

    So bald du aber eine heterogene Umgebung hast, kann es sein, dass du mit den neuesten Admx Files Einstellungen in deinen alten GPOs (bzw. manche Einstellungen in neuen GPOs für ältere Systeme) nicht mehr verändern kannst.

    ADMX Version History

    EDIT: in einer heterogenen Umgebung könnte man dem Problem zum Beispiel damit begegnen, für jede zu verwaltende OS-Version, einen eigenen "GPO-Verwaltungs-Client" einzurichten, der dann eben nicht einen Central Store, sondern lokal Admx Templates für das entsprechende System bekommt.

    Gruß TechnikSC885

    • Bearbeitet TechnikSC885 Mittwoch, 15. Februar 2017 12:25 EDIT:
    • Als Antwort markiert HaschkeD Mittwoch, 15. Februar 2017 13:43
    Mittwoch, 15. Februar 2017 12:18
  • Das ja mal ziemlich bescheiden......
    Da wir Win7 mit Server 2008R2 und Server 2012R2 haben am besten nicht den zentralen Store aktualisieren sondern das von einer separaten Station machen mit lokalem admx Store.........

    Wie verhält sich das mit vorhandenen GPO's?
    Diese kann man dann trotzdem anpassen von der Station mit den neuen admx?
    Mittwoch, 15. Februar 2017 13:19
  • Da wir Win7 mit Server 2008R2 und Server 2012R2 haben

    So lange keinen Win10/Srv16 im Spiel sind, tut's ein Central-store mit Admx Templates auf Stand 2012r2.

    Mit den neuren Templates kannst du an den alten Systemen auch nicht mehr einstellen.

    Wie verhält sich das mit vorhandenen GPO's?
    Diese kann man dann trotzdem anpassen von der Station mit den neuen admx?

    Genau das eben nicht! Zumindest nicht wenn der Bereich, den du in deinem GPO bearbeiten möchtest, im neuen Template nicht mehr vorhanden ist. Das GPO wirkt aber natürlich unverändert auf die verlinkten OUs - die Einstellungen sind ja noch da, nur ändern kann man sie über den Gruppenrichtlinien-Editor eben nicht mehr.
    Aber auch dafür gibt es Lösungen: Bearbeiten von Zusätzliche Registry Einstellungen - edit Extra Registry Settings - Arbeiten ohne GPEditor
    ;-)

    Was sich mit welcher Version der Admx Templates ändert, ist recht übersichtlich in dem in meinem ersten Post verlinkten Artikel beschrieben.

    Gruß TechnikSC885

    • Als Antwort markiert HaschkeD Mittwoch, 15. Februar 2017 13:43
    Mittwoch, 15. Februar 2017 13:36
  • Am 15.02.2017 schrieb HaschkeD:

    kann man die neusten admx Templates einfach in den PolicyDefinitions ersetzen?
    Sollte man für Windows10/Server 2016 komplett neue GPO's erstellen?
    Oder kann man vorhandene weiter nutzen und dort nur die jeweiligen Einstellungen für Windows 10/Server 2016 anpassen?

    Grundsätzlich geht das. Was Technik angesprochen hat, betrifft
    hauptsächlich die Windows 10 Rechner. Ab Edition 1607 hat MSFT so
    manche Einstellung aus den GPOs entfernt. D.h. ein W10 1511 kann an
    der Stelle nicht mehr zu 100% verwaltet werden. Wenn Du allerdings von
    W10 1511 auf W10 1607 umsteigst, kannst Du die ADMX Templates
    ersetzen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 15. Februar 2017 17:36
  • Also ich habe es jetzt so verstanden das wenn ich die neusten admx ersetze ich teilweise Einstellungen für Win7/2008/2012 nicht mehr setzen kann. Ziehen tun die natürlich noch nach wie vor....sind ja nur die Templates.
    Deshalb in unserem Fall (da Win7/2008/2012 im Einsatz) die jetzigen 2012er admx lassen und zur Verwaltung ein einzelner Rechner mit lokalen Win10/2016er admx Templates einrichten und dort GPO's für Win10/2016 erstellen.
    Heißt: Für Win10/2016 neue GPO's erstellen oder?

    Gruß

    Dennis

    Donnerstag, 16. Februar 2017 10:01
  • Also ich habe es jetzt so verstanden das wenn ich die neusten admx ersetze ich teilweise Einstellungen für Win7/2008/2012 nicht mehr setzen kann. Ziehen tun die natürlich noch nach wie vor....sind ja nur die Templates.

    Richtig! :)

    Deshalb in unserem Fall (da Win7/2008/2012 im Einsatz) die jetzigen 2012er admx lassen und zur Verwaltung ein einzelner Rechner mit lokalen Win10/2016er admx Templates einrichten und dort GPO's für Win10/2016 erstellen.

    Welcher Satz Templates Default (im Central Store) ist - und welcher Ausnahme (auf einem GPO-Verwaltungs-Client der nicht den Central Store verwendet), wird sich vermutlich nach der Verteilung der zu verwaltenden Systeme bzw. der Anzahl der zu ändernden GPOs und/oder der diese bearbeitenden Admins richten. Da wirst du wahrscheinlich eine Lösung für "jetzt" finden müssen - und regelmäßig ein Auge darauf haben ob es noch "passt" (z.B. wenn nur noch sehr wenige Altsysteme im Verwaltungsbereich liegen).

    Heißt: Für Win10/2016 neue GPO's erstellen oder?

    Neue GPOs brauchst du nur da, wo Einstellungen genutzt werden sollen, die mit neuen Templates eingeführt wurden.

    Hattest Du dir meinen ersten Link (ADMX Version History) mal angeschaut?

    Im ersten Absatz des Artikels ist ein Spreadsheet verlinkt, dem sich recht leicht entnehmen lässt, welche Änderungen mit welcher ADMX Template Version eingeführt wurden bzw. weggefallen sind.


    Gruß TechnikSC885


    PS: Wenn ihr nur eine überschaubare Anzahl GPOs habt, könnte ein praktikabler Ansatz sein, erstmal eine Kopie (Backup) des Central Stores in der jetzigen Fassung zu ziehen, ihn dann zu aktualisieren - und anschließend die bestehenden GPOs auf "zusätzliche Registry Einstellungen" zu prüfen.
    • Bearbeitet TechnikSC885 Donnerstag, 16. Februar 2017 10:24 PS:
    Donnerstag, 16. Februar 2017 10:18
  • Am 16.02.2017 schrieb HaschkeD:

    Also ich habe es jetzt so verstanden das wenn ich die neusten admx ersetze ich teilweise Einstellungen für Win7/2008/2012 nicht mehr setzen kann. Ziehen tun die natürlich noch nach wie vor....sind ja nur die Templates.

    Wo hab ich was von W7 geschrieben?

    Deshalb in unserem Fall (da Win7/2008/2012 im Einsatz) die jetzigen 2012er admx lassen und zur Verwaltung ein einzelner Rechner mit lokalen Win10/2016er admx Templates einrichten und dort GPO's für Win10/2016 erstellen.
    Heißt: Für Win10/2016 neue GPO's erstellen oder?

    Nein, lies doch mein Posting einfach nochmal. Oder ja, Du kannst
    natürlich alles neu erstellen.

    Achja, das hier könnte auch für dich interessant werden:
    https://technet.microsoft.com/en-us/itpro/windows/manage/group-policies-for-enterprise-and-education-editions

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 16. Februar 2017 17:01
  • Hey,
    folgendes gelesen:

    Windows 10 - Windows Update Gruppenrichtlinien<o:p></o:p>

    Da Microsoft stetig Änderungen an Windows Update vornimmt ist es notwendig, hier
    regelmäßig die verwendeten ADMX Dateien zu aktualisieren und der verwendeten
    Windows 10 Version anzupassen.
    <o:p></o:p>

    Sie sollten in keinem Fall dieselben GPOs für Windows 7 und Windows 10 verwenden.
    Dasselbe gilt für Windows 10 Threshold1 (1507) + Threshold2 (1511) und
    Redstone1 (1607), da hier Inkompatibilitäten auftreten können, die ein
    unkontrolliertes Updateverhalten sogar über das Internet auslösen können.
    <o:p></o:p>

    Weitere
    Informationen finden Sie in den folgenden Quellen:
    <o:p></o:p>

    http://clientsolutions.azurewebsites.net/?p=69<o:p></o:p>

    https://4sysops.com/archives/managing-windows-update-changes-in-windows-10-1607-with-group-policy/

    In dem speziellen Fall wird die Update Prozedur unter Win10 angesprochen.
    Heißt.....ich kann das nur sauber trennen in dem ich mit Sicherheitsfilter,OU's arbeite auf denen dann die Win10 GPO's angewendet werden oder?
    Weil momentan ist mein Konzept halt für Win7/8 und WSUS konzipiert. 
    Dienstag, 28. Februar 2017 09:05
  • Am 28.02.2017 schrieb HaschkeD:

    Heißt.....ich kann das nur sauber trennen in dem ich mit Sicherheitsfilter,OU's arbeite auf denen dann die Win10 GPO's angewendet werden oder?

    Kannst Du natürlich, kannst Du auch ignorieren. Ein W10 1607 wird
    andere Einstellungen annehmen als ein 1511, und umgekehrt. Verstehst
    Du?

    Weil momentan ist mein Konzept halt für Win7/8 und WSUS konzipiert. 

    Und was hat das mit W10 zu tun?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Dienstag, 28. Februar 2017 17:07
  • > Sie sollten in keinem Fall dieselben GPOs für Windows 7 und Windows 10 verwenden.
     
    Quatsch. Man sollte nur wissen, was man tut. Und die Trennung ist eine gute Gelegenheit, altes Zeug loszuwerden. "In keinem Fall" ist aber definitiv falsch.
     
    > Heißt.....ich kann das nur sauber trennen in dem ich mit Sicherheitsfilter,OU's arbeite auf denen dann die Win10 GPO's angewendet werden oder?
    > Weil momentan ist mein Konzept halt für Win7/8 und WSUS konzipiert.
     
    Nein. Sauber trennen geht nur mit WMI-Filter auf Buildlevel/Version des Betriebssystems. OUs wissen nix von Windows-Versionen, und Sicherheitsgruppen auch nicht.
     
     
    Montag, 6. März 2017 14:23
    Beantworter