Microsoft hat zum 28. März 2025 (nach langer Zeit) seine Vorlagedateien (Administrative Templates, ADMX/ADML-Dateien) für Microsoft Office auf Version 5497.1000 aktualisiert. Die Vorlagedateien enthalten die Gruppenrichtlinien zur Verwaltung von Microsoft Office.
Ich bin von Blog-Leser Detlef H. auf diese Aktualisierung auf Version 5497.1000 hingewiesen worden (danke dafür). Microsoft bietet auf dieser Seite die "Group Policy Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise, Office LTSC 2024, Office LTSC 2021, Office 2019, and Office 2016 and also includes the OPAX/OPAL files for the Office Customization Tool (OCT) for Office 2016" zum Download an.
Anzeige
Sind die Vorlagen eigentlich abwärtskompatibel, also auch für ältere Versionen von Office zu gebrauchen?
Was steht denn oben im Screenshot und im Text, für welche Office-Versionen Microsoft diese ADMX-Dateien vorgesehen hat? Oder meinst Du etwas anderes?
ja.
Office hat seit der Version 2016 den Registry Pfad nicht geändert.
logischerweise gibt es dementsprechend Policies, die du auf einem 2016/19/21 anwenden kannst, aber dort keine Funktion zeigen, da diese zb dem Produkt 2016 fehlt.
x86 und x64.exe Download ist nur die Architektur des installiers, nicht der Office Version. Gleiches gilt für die Sprachauswahl. der installer steht nur auf Englisch bereit.
er entpackt sich und bietet dann die Lokalisierung im adml Ordner an
Wow, ich mache gerade einen Diff.
Bei den einzelproduktspezifischen Admx Dateien ist nicht so viel los, z.B. hier und da eine Internetmakroeinstellung.
Aber in der zentralen office16.admx gehts ab!
Die Category Variablen sprechen schonmal für sich, es sind 32 Neuheiten.
Die Namen sind u.a.: L_Diagnostics, L_AIMachine, L_AITrainingMachine, L_AITrainingGeneralMachine, … L_AITrainingSpecificAdaptiveFloatieMachine, L_AIContentSafetyMachine, L_AIContentSafetyGeneralMachine, L_AIContentSafetySpecificMachine,
…, L_AI, L_AITraining, L_AITrainingGeneral…
Bin damit nicht fertig, aber grobe Meiler bei den Einstellungen sind schonmal (gibts für user und computer):
– Disable local training of all features … (Training aller Features … deaktivieren)
– Disable local training of the Adaptive Floatie feature … (Training des Features „Adaptive Floatie" … deaktivieren)
– Disable local content safety in general … (Deaktivieren Sie die Sicherheit lokaler Inhalte im Allgemeinen …)
Die Detaileinstellungen dahinter sind umfangreich, alles auf KI gestützte Textumwälzung, Assistenz und "Training" ausgerichtet.
Hier eine Einstellung, willkürlich rausgepickt:
Einstellung:
Deaktivieren Sie die Sicherheit lokaler Inhalte zum und vom Szenario „Umschreiben" für den Benutzer.
Erklärung:
Diese Richtlinieneinstellung deaktiviert die lokale Inhaltssicherheit des Szenarios „Umschreiben" für den Benutzer. Bei der Richtlinie für lokale Inhaltssicherheit haben szenariospezifische Einstellungen Vorrang vor allgemeinen Einstellungen und Computereinstellungen haben Vorrang vor Benutzereinstellungen. Wenn keine Richtlinieneinstellung mit höherer Priorität konfiguriert ist, dann: – Wenn diese Richtlinieneinstellung aktiviert ist, ist die lokale Inhaltssicherheit für das Szenario „Umschreiben" für den Benutzer deaktiviert. – Wenn diese Richtlinieneinstellung deaktiviert ist, wird die lokale Inhaltssicherheit für das Szenario „Umschreiben" für den Benutzer aktiviert. – Wenn diese Richtlinieneinstellung nicht konfiguriert ist, wird die lokale Inhaltssicherheit für das Szenario „Umschreiben" durch Richtlinieneinstellungen mit niedrigerer Priorität bestimmt. – Wenn diese Richtlinieneinstellung nicht konfiguriert ist und die Richtlinieneinstellungen mit niedrigerer Priorität ebenfalls nicht konfiguriert sind, ist die lokale Inhaltssicherheit für das Szenario „Umschreiben" für den Benutzer aktiviert. Für diese Richtlinieneinstellung gilt folgende Rangfolge: 1. Deaktivieren Sie die lokale Inhaltssicherheit zum und vom Szenario „Umschreiben" für den Computer. 2. Deaktivieren der lokalen Inhaltssicherheit für den Computer im Allgemeinen. 3. Deaktivieren Sie die Sicherheit lokaler Inhalte zum und vom Szenario „Umschreiben" für den Benutzer. 4. Deaktivieren Sie die Sicherheit lokaler Inhalte generell für den Benutzer.
:)
In der Gliederung im Editor ist das Zeugs hauptsächlich hier:
Microsoft Office 2016
AI
Inhalt Sicherheit
Allgemein
Spezifisch
Alternativer Text
Bildfragen und -antworten
Promptunterstützung
Text zu Tabelle
Umschreiben
Zusammenfasung
Zusammenfassung mit Verweisen
Training
General
Specific
Adaptive Floatie
oops, einrückungen sind weg :)
Microsoft Office 2016
-AI
–Inhalt-Sicherheit
—Allgemein
—Spezifisch
—-Alternativer Text
—-Bildfragen und -antworten
—-Promptunterstützung
—-Text zu Tabelle
—-Umschreiben
—-Zusammenfasung
—-Zusammenfassung mit Verweisen
–Training
—General
—Specific
—-Adaptive Floatie
Super Aufstellung! Vielen Dank von meiner Seite für die Arbeit / Mühe.
Falls jemand direkt proaktiv drosseln möchte wie ich, hier die Regsettings:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\ai\contentsafety\general]
"disablecontentsafety"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\ai\training\general]
"disabletraining"=dword:00000001
Das wird in den neuen GPOs unter
AI -> Allgemein -> Disable local content saftey in general for the computer
und unter
Training -> General -> Training aller Features auf dem Computer deaktivieren
widergespiegelt. Die beiden aktivieren sollte dann das Selbe bewirken.
Ist niemandem aufgefallen, dass bei den Sprachfiles zumindest im Deutschen etliche Übersetzungen fehlen? Mir zeigt es z.B. nach dem Setzen dieser beiden Settings per GPO die Werte als "Zusätzl. Reg.-einst." an statt dem Pfad, an dem ich die Einstellungen aktiviert habe – wo sie dementsprechend auch nur überall englisch auftauchen.
das ist imho schon ewig so
Im Downloadlink sind die ADMX / ADML nur in Englisch zum runterladen.
Dann folgende Fragen:
1. Kann man diese auch für Standalone PCs (Workgroup) verwenden? Ich betreue mehrere Personen, welche ein MS Windows 11 Pro und MS Office LTSC Professional Plus haben und auch nutzen.
2. Wohin (Laufwerk, Pfad) kopiert man am besten die Administrative Template files (ADMX/ADML) for Microsoft Office?
Vielen Dank für sinnvolle Antworten.
Hier findet man Antworten zu den Fragen die vermutlich weiterhelfen (habe es selber noch nicht implementiert):
https://learn.microsoft.com/en-us/answers/questions/505088/how-to-update-group-policy-templates-in-for-local
Ob es mit ADMX/ADML für Office funktioniert, muss man ausprobieren. Aus meiner Sicht spricht nichts dagegen, da am Ende das Resulat von GPO und lokalen Policy-Objects auf dem Client in der Registry drin stehen.
Nachtrag: Gruppenrichtlinien funktionieren nicht in Windows-Home-Versionen. Für welche Officeversionen die Office-ADMX funktionieren steht oben im Blog-Beitrag.
Die sind mehrsprachig.
1. Ja, kann man, lokal platzieren, dann mit gpedit.msc
2. Ich mache es lokal minimalistisch manuell, falls es ne einfache Variante gibt, ist mir die wahrscheinlich zu schmerzfrei.
Entpacken mit 7zip.
*.admx sind sprachunabhängig kommen nach "C:\Windows\PolicyDefinitions".
Für Deutsch gucke ich, ob die *.adml oder die *.admlN das bedient und benenne ggf. die *.admlN in *.adml um.
Die kommen dann nach "C:\Windows\Policydefinitions\de-DE".
Englisch wäre analog, aber nach "C:\Windows\Policydefinitions\en-US".
(Man kann die für den gemeinsamen Einsatz entsprechend auch im AD zentral platzieren, aber das sollte man mit allen GPO-Autoren koordinieren.)
Ist es möglich einzelne GPOs aus \\dc01\sysvol\domain.tld\Policies auf einen Computer ausserhalb der Domäne zu kopieren und dort zu aktivieren?
Das Ziel wäre, Computer von Mitarbeitern im Aussendienst und Montage, deren Rechner bewusst nicht ins AD eingebunden sind,
regelmässig mit einheitlichen und aktuellen Gruppenrichtlinien-Einstellungen zu versorgen. Zum Beispiel indem man im AD
eine OU "noAD-Montage" erstellt und zu dieser dann mit einer Gruppenrichtlinie alle Einstellung macht. Diese Mitarbeiter arbeiten via VPN auf RDS-Farmen, die Rechner habe keinen direkten Zugang auf interne Ressourcen.
Für den Transport der GPO kann ein vorhandenes MDM genutzt werden, dass aber kein Feature zum direkten Konfigurieren von GPOs hat. Filetransfer, Skripte und Tasks starten ist jedoch alles möglich.
Wenn das MDM das echt nicht kann, dann wüsste ich zwei Sachen:
1.) Wenn Du von einem Rechner eine lokal(!) konfigurierte Policy mit allem Drum und Dran auf einen Rechner übertragen möchtest, kannst Du kackfrech die Inhalte des Ordners "C:\Windows\System32\GroupPolicy" übertragen und ersetzend überschreiben. Ich praktiziere das aber nur selten an Nichtdomänenrechnern.
2.) Ich habe schon öfters A: Ein GPO Backup einer AD GPO gemacht, B: dieses Backup mit LGPO.EXE (v 2.0) in eine Textdatei exportiert und C: diese Textdatei mit LGPO.EXE in die lokale Policy eines Zielrechners integriert (additiv). Das überträgt die Registrierungsbasierten Einstellungen, aber keine Skripte, ist aber nicht schlecht.
*kruschkrusch*
Export aussm Backup (vielleicht auch direkt aussm sysvol):
LGPO.exe /parse /m "…\\DomainSysvol\\GPO\\Machine\\registry.pol" > "machine.txt"
LGPO.exe /parse /u "…\DomainSysvol\\GPO\\User\\registry.pol" > "user.txt"
Import in die lokale Policy:
LGPO.exe /t "machine.txt"
LGPO.exe /t "user.txt"
Wow, danke Dir für die wertvollen Tipps!
Die Lösung mit LGPO.exe lässt sich gut mit unserem MDM realisieren. Skripte könnte man mit dem MDM direkt ans richtige Ziel kopieren. Vorerst sind wir schon mal froh die Einstellungen zum Abschalten von KI-Features, und was da
sonst noch so alles aus Redmond kam und noch kommt, einfacher steuern zu können.
Damit die Reputation des MDM nicht allzu stark ramponiert wird: APP-Verwaltung, AppLocker, SRP ist mit dem MDM alles möglich, nur die generische Unterstützung von Gruppenrichtlinien leider bisher nicht. Einfach .reg-Dateien reinhauen ist aufwändiger und führt bei bester Verwaltung und Dokumentation irgendwann ins Chaos. Weil es ein Multiplattform-MDM ist (Apple, Android, Windows, Linux), kann damit der ganze "Zoo" mit einem Tool gesteuert werden. Auf diesen Vorteil möchten wir nicht verzichten. : )
Die Einstellung "Manage user setting for new Outlook automatic migration" wurde aus der GPO entfernt.
Keine Ahnung, ob diese Einstellung einfach entfernt wurde oder Outlook selbst diesen Wert gar nicht mehr prüft.