[English]Kleiner Hinweis für Administratoren von Windows-Systemen in Unternehmensumgebungen. Microsoft hat die Security Baseline für das Windows 10 October 2022 Update (Version 22H2) freigegeben. Weiterhin stehen inzwischen auch die Administrativen Vorlagen sowohl für Windows 10 22H2 als auch Windows 11 22H2 zum Download bereit.
Anzeige
Ich hatte ja im Blog-Beitrag IT-Tools zum Support von Windows 10 Version 22H2 bereits darauf hingewiesen, dass Microsoft die Tools zur Unterstützung von Windows 10 Version 22H2 aktualisiert hat. Dort waren auch Aktualisierung für die administrativen Gruppenrichtlinien-Vorlagen (Administrative Templates) und die Security Baseline für Windows 10 22H2 angesprochen.
ADMX-Vorlagen für Windows 10/11 22H2
In Unternehmensumgebungen mit Windows 10 21H2 Enterprise und Education (oder bei Windows 10 21H2 Pro-Systemen) lassen sich Einstellungen über Gruppenrichtlinien verwalten. Bei jedem Windows-Funktionsupdate werden neue administrative Vorlagen benötigt, die dann zu importieren sind. Microsoft hat daher für beide Plattformen: Windows 10 und Windows 11 die ADMX-Vorlagen für die Version 22H2 aktualisiert. Die Kollegen von deskmodder.de haben hier die Download-Adressen für die .admx-Dateien zusammen getragen.
- Administrative Templates (.admx) for Windows 10 2022 Update (22H2)
- Administrative Templates (.admx) for Windows 11 2022 Update (22H2)
Die Vorlagen wurden am 21. Oktober 2022 veröffentlicht und enthalten die admx-Varianten für verschiedene Sprachen. Microsoft behauptet zwar, dass die .admx-Vorlagedateien für Windows 11, Windows 10, Windows 8, Windows 8.1, Windows 7, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 und Windows Server 2008 R2 verfügbar seien.
Einen Überblick der Richtlinien für Windows 10 22H2 findet sich als Kalkulationstabelle unter Group Policy settings reference spreadsheet for Windows 10, version 22H2. Zu beachten ist auch, dass es zwischen Windows 10 und Windows 11 Konflikte zwischen den Richtlinien gibt und bestimmte Einstellungen nicht mehr genutzt werden sollen. Ich hatte das in nachfolgenden zwei Blog-Beiträgen aufgegriffen.
Anzeige
- Windows 10/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen
- GPO-Konflikt zwischen Windows 11 und Windows 10, Richtlinien nicht änderbar?
Und ich hatte im Blog-Beitrag Administrative Templates (.admx) v2.0 bis Windows 10 November 2021 Update (21H2) auf die unterschiedlichen admx-Vorlagedateien hingewiesen.
Windows 10 22H2 Security Baseline
Das Security Baseline-Paket ist ein Satz von Tools, die es Sicherheitsadministratoren in Unternehmen ermöglichen, von Microsoft empfohlene Sicherheitskonfigurations-Baselines für Windows und andere Microsoft-Produkte herunterzuladen, zu analysieren, zu testen, zu bearbeiten und zu speichern und sie mit anderen Sicherheitskonfigurationen zu vergleichen.
Harjit Dhaliwal, Product Marketing Manager for Windows Commercial bei Microsoft, weist in obigem Tweet auf die Freigabe der Windows 10 22H2 Security Baseline hin. Details dazu finden sich im Techcommunity-Beitrag Windows 10, version 22H2 Security baseline vom 18. Oktober 2022.
Anzeige
beißen sich die Template von Win10 und 11 (wie bei 21H2) immer noch?
Man hat ja nur EINE Template Store in der domain. und wenn man die clients auf W11 umstellen will, sind für eine gewisse Zeit auch immer noch W10 Geräte in der Domain. Ergo benötigt man die W11 Templates. Wenn diese aber nicht abwärtskompatibel sind hat man in diesem W10/11 Mixedmode ein Problem.
Moment, das sind aber zwei paar Schuhe.
A) du musst den central store nicht nutzen! Technisch ergibt es Sinn ihn zu nutzen, weil damit alle AD Member die selbe GPO Basis haben, aber Zwang ist es nicht. Am Ende administrierst du dann die GPOs für Windows 10 über einen Windows 10 Client und die für 11 über einen 11er Client und kannst damit in beiden Fällen die jeweils notwendigen Einstellungen vornehmen. Über Kreuz vom 11er Client eine 10er und umgekehrt GPO administrieren ist dann nur potentiell gefährlich bei den Problem Setting.
B) die admx Files beschreiben ja "nur" das, was die GPO Konsole anzeigen soll. Technisch funktioniert die Richtlinie ja deswegen dennoch. Das Problem ist leider, Microsoft scheint bisschen unfähig um das anständig aufzuarbeiten. Es mag ja sein, dass gewisse Settings in Windows 10 anders sind wie in Windows 11 und die gleiche Option andere Werte braucht, weil etwas anders funktioniert. Alles gar kein Thema, aber dann wäre ein admx File für 10 und eins für 11 genau so gegangen anstatt sich das gegenseitig überschreiben zu lassen. Man kann nämlich ganz einfach die gleichen Reg. Schlüssel in mehreren GPOs setzen und dann matcht einfach die Reihenfolge der GPOs welcher Wert am Ende da drin steht. Egal ob man den central store nutzt oder nicht, wahrscheinlich wird man bei mixed Umgebungen aber eh mit Filtern arbeiten und die Settings in einzelne Richtlinien auslagern. Eine für 10, eine für 11 – und nie wirken beide zusammen. Wäre meiner Meinung nach die bessere Option ggü. der Lösung heute.
Bei den MS Office admx Files macht man übrigens genau das. Jede Version hat ein eigenes admx Template mit genau den Setting, die eben diese Version kann. Schon effektiv immer würde ich behaupten.2003er Office hatte sowas schon. Damals noch adm ohne x. Seit 2007 gibt es 100% eigene Files. Wobei 2019 und 2016 Office beides v16.x sind und damit die gleichen Settings greifen. O365 zählt auch dazu.
Mittlerweile wird schon wieder das Gegenteil empfohlen, also weg mit dem Central Store und hin zu GPOs pro W10 Version. Oder eben neue GPOs für W11.
Leider gibt es immer wieder Einstellungen, die von einer Version verarbeitet werden, von der nächsten schon nicht mehr.
Oder es fallen Einstellungen komplett aus dem ADMX-Template raus, dann kann ich sie ja nicht auf nicht konfiguriert umstellen, weil sie nicht mehr vorhanden ist. Also bleibt die Einstellung im System und man weiß nicht, ob sie noch Auswirkungen hat oder nicht.
Solche Einstellungen lassen sich aber relativ simpel über das "Remove-GPRegistryValue" cmdlet via PowerShell entfernen.
Siehe Windows 10 or Windows 11 GPO ADMX – Which One To Use For Your Central Store? bzw. die Kommentare -> ja, beißen sich immer noch.
Administrative Templates (.admx) for Windows 11 2022 Update (22H2) – v3.0
Dieses Update behebt die Differenzen.
https://www.microsoft.com/en-us/download/details.aspx?id=105390