Gruppenrichtlinienverwaltung & unterschiedliche Windows Versionen

Für die meisten Administratoren ist die Verwaltung von Windows Maschinen mit Hilfe von Gruppenrichtlinien etwas Alltägliches. Die zentrale Verwaltung und Umsetzung von Unternehmensrichtlinien, sowie die Konfiguration spezifischer Einstellungen für einzelne Maschinen (oder eine Gruppe von Maschinen) sind ein großer Vorteil von Gruppenrichtlinien. Werden unterschiedliche Windows Versionen verwaltet, so gibt es allerdings ein paar Dinge zu beachten, auf die ich im Folgenden eingehen werde.

Grundlagen Gruppenrichtlinien

Bis einschließlich Windows XP wurde für die Verwaltung der Gruppenrichtlinieneinstellungen das ADM-Dateiformat benutzt. Diese ADM-Dateien nutzen eine eigene Auszeichnungssprache und sind für jede Sprachversion unterschiedlich.  Die ADM-Dateien wurden dabei jeweils in der GPO selbst gespeichert.

Seit Windows Vista wird das neue ADMX-Format genutzt. Die neuen Templates für die Gruppenrichtlinien basieren auf XML und werden nicht mehr in der GPO gespeichert. Die Dateigröße wurde dadurch deutlich reduziert. Außerdem sind sie unabhängig von der installierten Sprache der zu verwaltenden Windows Maschinen. Damit Gruppenrichtlinien erstellt und bearbeitet werden können, nutzt man in der Regel einen zentralen Speicher, in welchem die ADMX-Templates gespeichert werden. Hierbei handelt es sich um einen Ordner auf einem Domänencontroller im SYSVOL-Ordner. Wie dieser Speicher erstellt wird, kann man in dem Microsoft Support-Artikel unter [1] nachlesen.

Da Windows XP Maschinen aufgrund des offiziellen Supportendes durch Microsoft nur noch selten im Einsatz sind, könnte man meinen das Problem der Gruppenrichtlinienverwaltung unterschiedlicher Windows Versionen betrifft nur diese speziellen Umgebungen mit Windows XP Maschinen. Der Wechsel von ADM zu ADMX ist zwar ein Spezialfall, auf den ich am Ende weiter eingehe werde, allerdings gibt es auch bei den ADMX-Dateien der „neuen“ Windows Versionen Unterschiede, die zu Problemen führen können.

Neue Windows Version, neue ADMX Version

Wer bereits den zentralen Speicher für die administrativen Vorlagen nutzt und mehrere Windows Versionen per Gruppenrichtlinie verwaltet, der weiß, dass jede neue Windows Version auch neue Vorlagendateien mit sich bringt. In den meisten Fällen erweitern die neuen Templates die bestehenden nur. Man kopiert daher einfach die neuen Administrativen Vorlagen in den zentralen Speicher und überschreibt gegebenenfalls die bestehenden Vorlagen.

Für Windows 10 ist hierbei zu beachten, dass auch jedes Funktionsupdate neue Vorlagen mit sich bringt. So gibt es beispielsweise für Windows 10, Version 1607 und das Windows 10 Creators Update jeweils eigene Vorlagen.

In einzelnen Fällen kann es jetzt vorkommen, dass eine neue Vorlage bestimmte Einstellungsmöglichkeiten entfernt, die in alten Versionen noch vorhanden waren. Dies ist aus zwei Gründen problematisch:

1. Bestehende Gruppenrichtlinien:
   Eine Gruppenrichtlinie, die unter Windows 10 Version 1607 erstellt wurde und eine Einstellung enthält, die unter Windows 10 Version 1709 entfernt wurde, kann nun nicht mehr bearbeitet werden. Die entfernte Einstellung wird nun als Extra Registry Setting angezeigt. Die Bearbeitung oder das Löschen dieser speziellen Einstellung ist nicht möglich.
   

2. Neue Gruppenrichtlinien für ältere Windows Versionen:
   Möchte man eine Einstellung für eine alte Windows Version setzen, die in der aktuellen Version nicht mehr vorhanden ist, so ist dies ebenfalls nicht möglich. In den neuen ADMX-Vorlagen ist diese Einstellung schließlich nicht mehr vorhanden.

Workaround

Der zentrale Speicher sollte weiterhin die administrativen Vorlagen der neuesten eingesetzten Windows Version beinhalten. Sollte es Gruppenrichtlinien geben, für die eines der oben beschriebenen Probleme zutrifft, so kann man sich für die betroffene Windows Version eine Maschine zur Administration der Gruppenrichtlinien einrichten. Hierzu genügt es eine VM mit dem jeweiligen Betriebssystem aufzusetzen und die Remoteserver-Verwaltungstools [2] zu installieren. Wenn ein zentraler Speicher für die Gruppenrichtlinien genutzt wird, muss nun noch eingestellt werden, dass die lokalen ADMX-Dateien genutzt werden sollen. Ab Windows 8.1 muss hier lediglich ein Registrierungsschlüssel angepasst werden:

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy muss der Schlüssel EnableLocalStoreOverride auf den Wert 1 gesetzt werden.

Unter Windows 7 und Windows 8 muss zunächst der Hotfix unter [3] installiert werden.

Die Gruppenrichtlinie kann nun mithilfe des Gruppenrichtlinieneditors der Remoteserver-Verwaltungstools angepasst werden.

Filtern von Gruppenrichtlinien

Was passiert nun aber mit Gruppenrichtlinien, die eine Einstellung enthalten, die nur für bestimmte Windows Versionen gelten?

Da mit den Einstellungen einer Gruppenrichtlinie lediglich bestimmte Registrierungsschlüssel gesetzt werden, könnte es uns eigentlich egal sein, wenn hier auch Schlüssel verteilt werden, die nicht unterstützt werden – besonders schön ist das allerdings nicht.

In diesem Fall bietet es sich an diese Gruppenrichtlinie nur auf Maschinen anzuwenden, die das passende Betriebssystem installiert haben. Dies lässt sich mit einem WMI Filter umsetzen, der nach der Windows Version filtert. Eine Anleitung hierzu ist in den Microsoft Docs unter [4] zu finden.

Problematische Einstellungen identifizieren

Bevor eine neue Windows Version in der Umgebung ausgerollt wird, kann man im Vorfeld problematische Gruppenrichtlinieneinstellung identifizieren und gegebenenfalls anpassen. Für Windows 10 gibt es einen eigenen Supportartikel von Microsoft [5], der auf bekannte Probleme im Zusammenhang mit dem Inhalt von ADMX-Dateien hinweist. Für ältere Windows Versionen muss man auf ein von Microsoft bereitgestelltes Excel Sheet [6] zurückgreifen, das Änderungen an den ADMX-Dateien seit Windows Vista auflistet.

Spezialfall Windows XP

Prinzipiell können Gruppenrichtlinieneinstellungen für Windows XP ganz normal konfiguriert werden. Es spielt hierbei keine Rolle, dass inzwischen ADMX-Dateien verwendet werden. Tritt allerdings eines der oben genannten Probleme auf, so sollte nicht eine XP-Maschine zum Verwalten der Gruppenrichtlinie genutzt werden, sondern eine Windows 7 Maschine. Hier sind die administrativen Vorlagen noch als Superset der alten Vorlagen zu verstehen, das heißt es wurden keine Einstellungen entfernt.

Wer im Übrigen noch alte, selbst erstellte ADM-Dateien hat, der kann diese auch weiterhin nutzen und mit dem Gruppenrichtlinieneditor verwalten. Allerdings sollte man sich so langsam überlegen auf das neue Format ADMX umzusteigen und nach Möglichkeit auch die alten XP-Maschinen in den Ruhestand zu schicken. Weitere Informationen zum Thema XP und Gruppenrichtlinien findet man in dem Blogbeitrag unter [7].

[1] https://support.microsoft.com/de-de/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra - Erstellen und Verwalten des zentralen Speichers für administrative Vorlagendateien für Gruppenrichtlinien in Windows

[2] https://support.microsoft.com/de-de/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems - Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) für Windows-Betriebssysteme

[3] https://support.microsoft.com/en-us/help/2917033/an-update-is-available-to-enable-the-use-of-local-admx-files-for-group - An update is available to enable the use of Local ADMX files for Group Policy Editor

[4] https://docs.microsoft.com/de-de/windows/security/identity-protection/windows-firewall/create-wmi-filters-for-the-gpo - Create WMI Filters for the GPO

[5] https://support.microsoft.com/en-us/help/4015786/known-issues-managing-a-windows-10-group-policy-client-in-windows-serv - Known issues managing a Windows 10 Group Policy client in Windows Server 2012 R2

[6] https://go.microsoft.com/fwlink/?linkid=829685 – Excel Übersicht ADMXVersionHistory

[7] https://blogs.technet.microsoft.com/grouppolicy/2006/08/31/windows-xp-dont-forget-about-me/ - Windows XP: Don’t Forget About Me…