Windows 10/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen

Windows[English]Heute noch ein Thema für Administratoren von Windows-Systemen (Windows 10 und Windows 11) zu dem sich Microsoft die Tage geäußert hat. Es geht um Gruppenrichtlinien, die in diesen Clients zur Verwaltung von Restriktionen eingesetzt werden können. Einmal sieht es so aus, dass die Gruppenrichtlinien zwischen Windows 10 und Windows 11 auseinander laufen. Zudem hat Microsoft kürzlich erläutert, welche Gruppenrichtlinien für Updates nicht mehr genutzt werden sollten, weil sich die Bedingungen seit Windows 10 Version 1507 geändert haben.


Anzeige

Diese Themen liegen hier bei mir bereits einige Tage auf Halde, aber ich greife sie einfach mal aus. Falls jemand das alles bereits kennt, kann er den Artikel ja überspringen.

Gruppenrichtlinien für Windows 10/11 unterschiedlich

Solange nur Windows 10 in Unternehmen verwendet wurden, reichte es, sich die neuesten ADMX-Vorlagedateien (Templates) von Microsoft herunterzuladen und im Central Store abzulegen.  Danach konnten alle neuen Einstellungen im Gruppenrichtlinien-Editor konfiguriert werden. Microsoft stellte sicher, dass die Vorlagen auch zu älteren Windows-Versionen abwärtskompatibel waren.

Nun hat Microsoft aber im Oktober 2021 Windows 11 freigegeben und schreibt, dass solange Windows 10 unterstütz wird, könne es vorkommen, dass neue Funktionen von Windows 10 nicht in den ADMX-Dateien von Windows 11 enthalten sind und umgekehrt. Administratoren, die gemischte Windows 10- und Windows 11-Clients in Unternehmensumgebungen verwalten, müssen dies nun berücksichtigen.

Bereits am 16. Januar 2022 hat Helmut Wagensonner (Customer Engineer bei Microsoft) im Techcommunity-Beitrag Windows 10 or Windows 11 GPO ADMX – Which One To Use For Your Central Store? die Frage aufgeworfen, welche ADMX-Vorlagen für Gruppenrichtlinien in gemischten Windows 11/Windows 10-Umgebung ausgewählt werden sollten. Eine Tabelle am Ende dieses Artikels zeigt die Unterschiede zwischen den Win10- und Win11-Vorlagen (Stand: 16. Dezember 2021).

Ergänzung: Blog-Leser Karl hat mich auf Twitter noch auf einen weiteren Aspekt in Verbindung mit Windows 11 GPOs hingewiesen. Die ADMX-Filterung nach Betriebssystemen lässt kaum Rückschlüsse zu.

Gruppenrichtlinien, die man nicht verwenden sollte

Dann bin ich die Tage über nachfolgenden Tweet und den Techcommunity-Beitrag Why you shouldn't set these 25 Windows policies von Aria Carley gestolpert, die sich mit einer weiteren brisanten Frage befasst.

Windows 10: Outdated Update GPOs


Anzeige

Die für Windows Update verfügbaren Gruppenrichtlinien hätten sich in den letzten Jahren drastisch verändert. Benachrichtigungen, die Möglichkeit, das Verhalten von Update-Downloads, -Installationen und -Neustarts zu bestimmen, und die Einstellungen sind in den aktuellen Windows 10-Builds gegenüber der alten Windows 10, Version 1511, gravierend überarbeitet worden.

Als Folge enthalten die Vorlagedateien (ADMX) Gruppenrichtlinien, die auf Geräten mit Windows 10, Version 20H2 oder höher keine Auswirkungen mehr haben, und daher nicht mehr wie beschrieben funktionieren. Oder die Richtlinien funktionieren zwar, wurden aber durch aktualisierte Richtlinien abgelöst.

Um diese Komplexität zu reduzieren, haben die Microsoft Entwickler mit Windows 11 einen Unterordner unter "Windows Update" für Gruppenrichtlinien erstellt, um "Legacy Policies" festzulegen (siehe Screenshot in obigem Tweet). Während diese Unterordner nur in den Windows 11 ADMX-Vorlagen verfügbar sind, können die gleichen Empfehlungen für Windows 10, Version 20H2 und höher, gegeben werden.

Microsoft empfiehlt im Techcommunity-Beitrag daher, dass Administratoren die verwendeten Gruppenrichtlinieneinstellungen überprüfen und nur den empfohlenen Richtliniensatz verwenden. Eine Übersicht über die Richtlinien finden sich im Techcommunity-Beitrag Why you shouldn't set these 25 Windows policies.

Gute Entwicklung, oder aus dem Ruder gelaufen?

Wie seht ihr als Administratoren eigentlich diese Geschichte? Ich werde den Eindruck nicht los, dass das alles mit dem Windows-as-a-service-Ansatz komplexer geworden ist und das Ganze den Leuten im Feld auf die Füße fällt. Ständig wird irgend etwas geändert, jetzt laufen die GPOs von Windows 10 und Windows 11 auseinander – und jeden Monat haut Microsoft Updates raus, die zusätzlichen Kollateralschäden führen und vielleicht auch GPOs tangieren.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Windows 10/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen

  1. MOM20xx sagt:

    ehm sorry, die vertreiben seit jahren admx files wo explizit drinnen steht, dass es auch für windows 10 so und so passt. und dann kommt einer und erklärt einem, dass teile dieser policy eigentlich nie implementiert wurden.

    gehts denen noch ganz gut?

    vor allem templates für win 10 und win 11 sind unterschiedlich. na viel spass. soll der admin dann unterschiedliche domains fahren?

    • Sebastian sagt:

      Ich habe noch nie mit diesen Templates gearbeitet, aber ist es nicht möglich, sie über Filter jeweils nur auf Win10/Win11-Clients anzuwenden?

      Dass das alles wenig elegant erscheint, eine potentielle Fehlerquelle ist und zusätzliche Arbeit schafft, ist klar.

    • Tom sagt:

      Also wir haben bei uns die wenigen verbliebenen Windows 7 Rechner in einer eigenen Organisation Unit (OU). Genauso gib es eigene OUs für Windows 10 Clients und Windows 11 Clients.

      Schon alleine deshalb, um auf unterschiedliche Anforderungen reagieren zu können. Da braucht es keine getrennte Domains ;-)

      • MOM20xx sagt:

        es geht um die admx templates im central store. wenn es da bspw. ein template gibt für win 10 und win 11 das windowsupdate.admx heisst und die einstellungen nur für eines der genannten systeme brauchbar sind, dann bekommst du ein problem.

      • JohnRipper sagt:

        Hä…darum geht es nicht.

        Dafür brauche ich nichtmal unterschiedliche OUs. Auch wenn das tw. eine gute Idee ist, wenn wir über viele Richtlinien sprechen. Bei weniger ist es wieder nur zu komplex.

  2. Hannes Krock sagt:

    Wer kein Windows 11 einsetzt hat auch (noch) keine Probleme…

    Solange Windows 10 (Enterprise) noch irgendwie im Support ist würde ich einen Schwenk Vermeiden.

    Aber die Admins die in den GPO Aktiv sind werden das Sicherlich auch wissen.

  3. Markus K. sagt:

    Alleine wenn ich mir ansehe, wie oft das AMDX template für WindowsUpdate geändert wurde, ist mir klar, dass da keiner mehr einen Überblick haben kann.
    Wieso man das Zeug das dann eh nie funktioniert hat bzw. Probleme macht aus dem ADMX template Satz entfernt ist mir rätselhaft.
    Lieber alle Optionen da lassen, dass man weiterhin erst jedesmal den Artikel lesen muss, vor man hingreift.
    Ob das gut ist?

    Am Ende des Blog Eintrags wird einem dann geraten nichts anzugreifen! Ja ganz einfach weils nicht zu durchschauen ist und sich niemand mehr damit auskennen kann :).
    Ich greif meine Konfig sicher nicht mehr an, solange Microsoft da nichts kaputt macht, denn jetzt funktioniert es genau so wie ich es will.

  4. Cornelia sagt:

    Die im Schlusskommentar auf techcommunity erwähnte Aussage "defaults provide the best experience" finde ich ziemlich fragwürdig.
    In anbetracht der zahlreichen Probleme, die durch Windows Updates im letzten Jahr verursacht wurden, kann man sehr wohl arbumentieren, dass es NICHT sinnvoll ist, die Updates entsprechend der Standardeinstellung immer gleich nach Verfügbarkeit zu installieren, besonders für betriebsrelevante Systeme.

    Was ich andererseits für die Privatnutzung kritisch betrachte, ist die Tatsache, dass der Computer nach der Installation von Updates ausserhalb der "Nutzungszeit" automatisch neugestartet werden kann. Potenzieller Datenverlust ist da vorprogrammiert, wenn man den Computer nicht stets zur gleichen Tageszeit, sondern zu ganz unterschiedlichen Zeiten nutzt. – Dass ich mitunter deswegen von Windows Home nichts halte, erwähnte ich bereits an anderer Stelle.

    Trotzdem bin ich der Ansicht, dass Updates möglichst zeitnah installiert werden sollen; sowohl im Geschäfts- als auch im Privatumfeld.

  5. Andy sagt:

    Beim Thema GPO bin ich seit einer ganzen Weile schon massiv genervt.
    Erst hat Microsoft mit dem Schwenk auf Windows 10 / Server 2016/2019 einfach wichtige Steuerungsmöglichkeiten entfernt. Das wird ja hier jetzt thematisiert, hat uns damals aber unendlich Nerven gekostet. Und auch die Nutzer haben sich über Dinge gewundert, die sie nicht hätten sehen sollen, wie Update-Nachrichten.
    Dann fing Microsoft an, die Administratoren mit ständigen Änderungen der GPO vor sich her zu treiben. Neue Windows-Version? Neue Edge-Version? Also ständig: neue GPO.
    Das macht richtig Spaß, wenn man ungefähr ein Dutzend unterschiedliche Client-Netze betreibt, die alle nach anderen Prämissen gesteuert werden und man jedes Mal aufs Neue ins Rudern kommt. Da wird ja nicht einfach eine Münze geworfen und dann passt das…
    Dass dann auch noch neue Versionen rauskommen, aber die ADMX noch nicht fertig sind, fand ich dann richtig abstrus. Ist jetzt aber schon einen Moment her.
    Wenn dann noch der Eindruck erweckt wird, die ADMX bleiben gleich, aber dann kommen doch neue, was es auch schon gab, dann brennt die Bude.
    Da stehen dann ja plötzlich Sachen auf Standardeinstellung "enabled", die es nie sein dürften. Schnell ein Fall für eine Datenschutz-Meldung, wenn man da nicht aufpasst.
    Über die letzten ~10 Jahre ist mein persönlicher Eindruck, dass Microsoft mit der "Weiterentwicklung" der GPOs nicht mehr das Ziel verfolgt, die Administration von on premise Netzen zu vereinfachen.
    Mir kommt das eher wie ein weiterer Nudging-Austragungsort für die Cloud- und Online-Dienste-Schiene von Microsoft vor.
    Und wenn man sich nudgen lässt, dann stellt man schnell fest, dass man aus rechtlichen Gründen maximal hybrid werden kann und dann gar kein Problem gelöst hat, sondern die Probleme verdoppelt.
    Eigentlich könnte man Microsofts Vorgehen also als konkludent vorgetragene "Kritik" an dem Arbeitsziel, eine rechtskonforme Datenverarbeitung durchzuführen, verstehen.

    Und dabei erinnere ich mich noch gut, dass ich von dem System "GPO" mal richtig begeistert war…

    • Markus K. sagt:

      templates findet man auf einem aktuell gepatchten client unter c:\windows\policydefinitions
      Da kann man CU für CU sehen, wie sich die Templates ändern. Nichts bleibt so wie man es erwarten würde.

    • Michael Uray sagt:

      "…dann stellt man schnell fest, dass man aus rechtlichen Gründen maximal hybrid werden kann und dann gar kein Problem gelöst hat, sondern die Probleme verdoppelt."
      Einer meiner Ansätze bei unser Umstellung zu Office 365 war es eigentlich, dass ich mich dann nicht mehr um einen lokalen Exchange Server kümmern muss und so weniger Probleme und Verwaltungsaufwand habe. In der Realität hat sich dann aber herausgestellt, dass auch in der Hybrid-Variante ein lokaler Exchange zusätzlich von MS dringend empfohlen wird und ich jetzt erst wieder einen Exchange patchen muss, zusätzlich aber auch noch diverse Probleme habe welche am O365 auftreten.
      Ich glaube ich würde mir diesen Schritt zu O365 zu migrieren sehr gut überlegen, müsste ich es noch einmal von vorne machen, zumal auch Berechtigungen von öffentlichen Ordner beim Umzug verloren gingen und MS kein besonderen Anstalten machte diese wiederherzustellen.

      • MBDTeam sagt:

        Das musste ich nach meiner ersten Migration auch feststellen, dass ich den On Promise Exchange nicht loswerde. Nicht mal die TB and Daten in der Datenbank lassen sich wieder nutzen. Es sei denn, man setzt einen zweiten Exchange auf, übernimmt die Einstellungen des alten und nimmt diesen dann komplett raus. Danke für nichts.
        Bei einem anderen Kunden bin ich einen anderen Weg gegangen:
        https://www.codetwo.de/office-365-migration/
        Vorteil: alles wird sauber migriert, und das normal in laufenden Betrieb. Genau, wie es auch die MS Migration macht. Danach kann ich dann den Exchange gleich komplett in die Tonne treten. Nachteil: Ich muss auf zwei Ebenen Administrieren: o365 und lokale Domäne. Dafür habe ich aber auch die ewigen Synchronisationsprobleme nicht. Und wenn ich einmal einen Namen anpassen muss, dann kann ich das Problemlos machen, ohne darauf achten zu müssen, ob die Synchronisation schon soweit ist. (Beispiel: User neu angelegen, feststellen man hat sich bei Vornamen verschrieben und der Nachname wurde leider schon falsch mitgeteilt, da kann es dann schon mal zum Stress ausarten…) Von daher sehe ich diesen Nachteil eigentlich als Vorteil an. Und werde meine Migrationen künftig nur so machen!

  6. ich sagt:

    Den Central Store kann man, und sollte man mittlerweile wohl auch, wieder auflösen und die klassische Variante fahren. Für jedes OS, bzw. für jede OS-Version, 1709/1809 und so weiter, eine eigene VM aufsetzen und darin die GPOs für die einzelnen Versionen konfigurieren. Via WMI lassen sich sicher die GPOs mit ihren Einstellungen unterscheiden, Build Nummer wäre eine Variante. Hier ein Beispiel: https://www.dalecom.de/wmi-filter-auf-basis-der-windows-version/

    Wenn bei uns der Umstieg auf 11 kommt, werden wir den Central Store wieder auflösen, so viel ist sicher.

  7. JohnRipper sagt:

    Meine Umgebung ist nicht die größte, sodass ich noch mit den Central Store hinkommen. Dort liegen die ADMX für eine "Zielversion" die ich in der Umgebung sehen will 1809, 20H2 oder 21H2. Davon ziehe ich mir ein Backup, falls es mal benötigt wird.

    Sollte man was prüfen müssen wir die in den Central Store zurückgelegt oder auf eie VM mit der entsprechenden Version.

    Geht schon. Nervig ist es trotzdem.

    Wobei man sagen muss: zu jedem Problem findet man fast die entsprechende Richtlinie, aber die Komplexität (insbesondere bei Microsoft Update!!!!) Ist wirklich extrem. Dafür habe ich aber SCCM.

  8. Michael Uray sagt:

    Sieht eigentlich jemand von euch einen reellen Nutzen von Windows 11 im (business) Einsatz?

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.