Marco31 33 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Hallo Forum, ich habe mal eine Frage zu den aktuellen ADMX für Windows 10; sind diese auch uneingeschränkt unter Windows 10 1511 nutzbar? Hintergrund ist, dass bis auf einen Testrechner mit 1607 momentan noch alle Windows 10 Rechner auf Version 1511 stehen. Ich würde mich jetzt gerne mal mit den ADMX für 1607 etwas vertraut machen und das ganze mit meiner Testmaschine ausprobieren. Jetzt ist halt die Frage, ob es sinnvoll ist, die ADMX im Central Store auf die aktuelle Version anzuheben. Gerade im Hinblick auch massive Änderungen zwischen 1511 und 1607 bei den GPO's würde ich da gerne mal den ein oder anderen Erfahrungsbericht hören. Zu Zeit ist es ja ein leichtes, sich mit Microsoft-Upgrades funktionierende Vorgänge zu zerschießen ;-) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Sicher bin ich mir nicht, meine aber gelesen/gehört zu haben, es gibt Unterschiede. Und zwar so, dass man mit den Templates der 1607 diverse Einstellungen der 1511 nicht mehr sieht bzw. sie nicht einstellen/umstellen kann. Etwas genaueres weiß ich aber nicht. Mußt Du ganz einfach selbst anschauen und vergleichen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Ja ein paar Sachen bei Bitlocker wurden geändert. Aber nur zu - der Rollback ist ja schnell erledigt Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 26. Oktober 2016 Autor Melden Teilen Geschrieben 26. Oktober 2016 Genau da liegt ja mein Problem - ich frage mich OB ein Rollback dann tatsächlich schnell erledigt ist! Nicht dass mir dann durch die mit den 1607er ADMX gesetzten Keys die Einstellungen meiner 1511er Clients so verbogen werden, dass der reine ADMX-Rollback nichts mehr nützt und ich auch die Clients zurücksetzen muss... Momentan traue ich da MS überhaupt nicht über den Weg, das Chaos mit neuen Einstellungen mit den 1607er GPO's (Stichwort WSUS) hat mir die Lust am testen neuer Versionen eigentlich gründlich verleidet. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Häh? Du weißt schon, wie admx funktionieren, oder? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Moin, um das noch mal in Kürze aufzuklären: Die ADMX-Dateien haben mit der Anwendung und der Funktion der Gruppenrichtlinien nichts zu tun. Sie dienen nur der Verwaltung. Mit den ADMX-Dateien arbeitet ausschließlich der Administrator, der die Gruppenrichtlinien konfiguriert. Der Client, der die Gruppenrichtlinien anwendet, hat mit den ADMX-Dateien nichts zu tun. Anderenfalls könnte man in einem Netzwerk ja keine heterogenen Clients haben, wenn man mit Gruppenrichtlinien arbeitet. Tatsächlich kann es sein, dass der Administrator mit "neuen" ADMX-Dateien einzelne vorhandene Einstellungen nicht mehr korrekt sieht, die mit "älteren" ADMX-Dateien erzeugt wurden. Die Einstellungen selbst bleiben dann aber unverändert und wirken weiter. Hier hat Mark das gut beschrieben, das Prinzip stimmt immer noch: http://www.gruppenrichtlinien.de/artikel/wie-funktioniert-ein-adm-template/ Ein Detail hat sich (leider) verändert: Mittlerweile hat Microsoft tatsächlich vereinzelt Einträge aus neueren ADMX-Versionen entfernt. Wie oben dargelegt, wirkt sich das aber nicht auf die Wirksamkeit der Einstellungen aus, sondern nur auf deren Administration. Soweit ich es bei einem schnellen Blick gesehen habe, ist es (bislang) aber unwahrscheinlich, dass diese entfernten Einträge überhaupt genutzt worden waren. Gruß, Nils Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 26. Oktober 2016 Autor Melden Teilen Geschrieben 26. Oktober 2016 Ich denke dass ich grundsätzlich schon weiß wie das funktioniert. Aber das (mögliche) Problem hier sind Einstellungen, welche in 1607 vorhanden sind und in 1511 nicht oder mit anderem Namen. Beispiel ist wohl die Delivery Optimization, die MS mit 1607 gründlich verändert hat. Die Frage stellt sich da bei mir: Wie wirken sich diese auf 1511 aus? Wirken diese nur auf Windows 10 1607? Was macht Win10 1511 damit? Mir ist schon klar dass Richtlinien und deren Einstellungen normalerweise gelöscht werden, wenn diese nicht mehr auf das Objekt verknüpft sind. Aber ich bin mir halt nicht sicher, ob hier vom System klar erkannt wird, ob die Richtlinien für 1511 oder 1607 verarbeitet werden müssen. Kann das überhaupt getrennt sein? Unterscheidet MS hier bei Gruppenrichtlinien nach Betriebssystem-Version UND Build-Nummer oder NUR nach Betriebssystem-Version? Was passiert mit Richtlinien, welche in 1511 und 1607 komplett überarbeitet wurden und teilweise komplett neue Namen bekommen haben und (zumindest in der GPO-GUI) an einem ganz anderen Ort liegen? Deshalb frage ich ja nach Erfahrungsberichten. Das vertrauen auf einen funktionierenden Upgrade-Mechanismus für Windows 10 ist bei mir momentan nicht vorhanden, wir sind zu klein um das ganze komplett in einer Laborumgebung zu testen. Und bevor ich mir hier Sachen "zerschieße" frage ich lieber dreimal... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 (bearbeitet) Moin, Ich denke dass ich grundsätzlich schon weiß wie das funktioniert. hm ... nimm es mir nicht übel, aber da zweifle ich. Aber das (mögliche) Problem hier sind Einstellungen, welche in 1607 vorhanden sind und in 1511 nicht oder mit anderem Namen. Beispiel ist wohl die Delivery Optimization, die MS mit 1607 gründlich verändert hat. Die Frage stellt sich da bei mir: Wie wirken sich diese auf 1511 aus? Wirken diese nur auf Windows 10 1607? Was macht Win10 1511 damit? Wenn ein Betriebssystem per GPO eine Einstellung bekommt, die es nicht versteht (weil es die zu konfigurierende Komponente nicht hat), dann ignoriert es die Einstellung. Genau das meinte ich oben mit den heterogenen Clients: Du kannst z.B. Windows 7 und Windows 10 parallel betreiben und mit denselben Gruppenrichtlinien konfigurieren. Die Einstellungen, die Windows 7 nicht kennt, wendet es nicht an. Die Einstellungen für Windows 7, für die Windows 10 keine Komponenten mehr hat, wendet Windows 10 nicht an. Mir ist schon klar dass Richtlinien und deren Einstellungen normalerweise gelöscht werden, wenn diese nicht mehr auf das Objekt verknüpft sind. Das ist durchaus korrekt, aber hier überhaupt nicht das Thema. Aber ich bin mir halt nicht sicher, ob hier vom System klar erkannt wird, ob die Richtlinien für 1511 oder 1607 verarbeitet werden müssen. Kann das überhaupt getrennt sein? Unterscheidet MS hier bei Gruppenrichtlinien nach Betriebssystem-Version UND Build-Nummer oder NUR nach Betriebssystem-Version? Was passiert mit Richtlinien, welche in 1511 und 1607 komplett überarbeitet wurden und teilweise komplett neue Namen bekommen haben und (zumindest in der GPO-GUI) an einem ganz anderen Ort liegen? Seit vielen Jahren steht bei "allen" (sprich: den meisten ...) Einstellungen dabei, auf welche Client-Versionen sie sich auswirken. Bei Windows 10 wird tatsächlich nach den einzelnen Releases unterschieden (1511, 1607 ...), nach Build-Nummern (zumindest bislang) nicht. Das werten die Clients selbst aus, siehe oben. Deshalb frage ich ja nach Erfahrungsberichten. Das vertrauen auf einen funktionierenden Upgrade-Mechanismus für Windows 10 ist bei mir momentan nicht vorhanden, wir sind zu klein um das ganze komplett in einer Laborumgebung zu testen. Und bevor ich mir hier Sachen "zerschieße" frage ich lieber dreimal... Die Skepsis ist verständlich, aber funktionale Fehler stehen auf einem anderen Blatt und haben mit der Anwendungslogik von GPOs nichts zu tun. Gruß, Nils bearbeitet 26. Oktober 2016 von NilsK Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 26. Oktober 2016 Autor Melden Teilen Geschrieben 26. Oktober 2016 OK, Nils' Erklärung bringt da zumindest etwas Licht. Ein Windows 1511 würde also Einstellungen, die nur Windows 1607 betreffen, einfach ignorieren weil es diese gar nicht kennt. Ein Problem könnten aber Einstellungen sein, welche von 1511 nach 1607 entfernt oder umbenannt wurden - die Einstellungen sind auf einem 1607er immer noch aktiv, können mit den aktuellen Vorlagen aber nicht bearbeitet werden. Weil "Die orginalen Microsoft Templates sind kumulativ, d.h. jedes neuere Template bringt alle vorherigen Einstellungen mit und erweitert sie um zusätzliche" ja nicht mehr ohne weiteres gilt. Leider. Man müsste dann die alten Vorlagen zurückspielen, die Veränderungen vornehmen, und dann wieder die neuen Vorlagen nutzen. Gibt es denn eigentlich ein Tool, mit dem man die Vorlagen vergleichen kann? Wo man verschiedene Vorlagen sozusagen "übereinander legen" kann, um die Änderungen zu sehen? Moin, hm ... nimm es mir nicht übel, aber da zweifle ich. Da hattest du wohl recht :D Aber ich denke jetzt hab ich's soweit verstanden. Man lernt nie aus :thumb1: Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Ein Detail hat sich (leider) verändert: Mittlerweile hat Microsoft tatsächlich vereinzelt Einträge aus neueren ADMX-Versionen entfernt. Wie oben dargelegt, wirkt sich das aber nicht auf die Wirksamkeit der Einstellungen aus, sondern nur auf deren Administration. Soweit ich es bei einem schnellen Blick gesehen habe, ist es (bislang) aber unwahrscheinlich, dass diese entfernten Einträge überhaupt genutzt worden waren. Gibt noch einen Sonderfall, den Mark neulich gefunden hat. Der selbe Wert die selbe Policy, aber es gibt auf einmal weniger Settings. Also statt vorher Dropdownliste mit drei Einstellungsmöglichkeiten wurde reduziert auf Aktiv/Deaktiv. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Moin, Einstellungen, die sich mit dem vorhandenen ADMX-Satz nicht (mehr) anzeigen lassen, tauchen im GPMC-Report als "Zusätzliche Registry-Einstellungen" auf, oder? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Das wär ne gute Frage. Was passiert, wenn der "Wert" zwar noch da ist, aber einen nicht im ADMX definierten Zustandswert aufweist? :) Muß ich glatt mal testen bei Gelegenheit. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 1. Ja Rollback ist schnell erledigt. ADMX definiert nur die Darstellung im GPEdit, nicht den tatsächlichen aktuellen Inhalt. Und wenn Du eh schon CentralStore hast: Vorher wegkopieren, bei Nichtgefallen einfach zurückkopieren. 2. Wenn in den ADMX-Templates kein passender Reg-Wert gefunden wird, sind es "Zusätzliche Registrierungseinstellungen". Kann man dann aber trotzdem noch direkt in registry.pol bearbeiten - entweder mit dem Skript, das ich bei Nils vor ewigen Zeiten mal veröffentlicht habe, oder mit TorchSoft Registry Workshop. 3. Wenn der Zustandswert nicht stimmt, das hab sogar ich noch nicht ausprobiert :) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Gibt es denn eigentlich ein Tool, mit dem man die Vorlagen vergleichen kann? Wo man verschiedene Vorlagen sozusagen "übereinander legen" kann, um die Änderungen zu sehen? Kennst du diese Tapete? Group Policy Settings Reference for Windows and Windows Server <https://www.microsoft.com/en-us/download/confirmation.aspx?id=25250> see sheet: Administrative Templates -> Column H Ansonsten kannst du die ADMX-Dateien mit jedem Filecompare Tool vergleichen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.