Jump to content

ADMX Windows 10 1511 vs 1607


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Forum,

 

ich habe mal eine Frage zu den aktuellen ADMX für Windows 10; sind diese auch uneingeschränkt unter Windows 10 1511 nutzbar? Hintergrund ist, dass bis auf einen Testrechner mit 1607 momentan noch alle Windows 10 Rechner auf Version 1511 stehen. Ich würde mich jetzt gerne mal mit den ADMX für 1607 etwas vertraut machen und das ganze mit meiner Testmaschine ausprobieren.

 

Jetzt ist halt die Frage, ob es sinnvoll ist, die ADMX im Central Store auf die aktuelle Version anzuheben. Gerade im Hinblick auch massive Änderungen zwischen 1511 und 1607 bei den GPO's würde ich da gerne mal den ein oder anderen Erfahrungsbericht hören. Zu Zeit ist es ja ein leichtes, sich mit Microsoft-Upgrades funktionierende Vorgänge zu zerschießen ;-)

Link to comment

Genau da liegt ja mein Problem - ich frage mich OB ein Rollback dann tatsächlich schnell erledigt ist! Nicht dass mir dann durch die mit den 1607er ADMX gesetzten Keys die Einstellungen meiner 1511er Clients so verbogen werden, dass der reine ADMX-Rollback nichts mehr nützt und ich auch die Clients zurücksetzen muss... Momentan traue ich da MS überhaupt nicht über den Weg, das Chaos mit neuen Einstellungen mit den 1607er GPO's (Stichwort WSUS) hat mir die Lust am testen neuer Versionen eigentlich gründlich verleidet.

Link to comment

Moin,

 

um das noch mal in Kürze aufzuklären: Die ADMX-Dateien haben mit der Anwendung und der Funktion der Gruppenrichtlinien nichts zu tun. Sie dienen nur der Verwaltung. Mit den ADMX-Dateien arbeitet ausschließlich der Administrator, der die Gruppenrichtlinien konfiguriert. Der Client, der die Gruppenrichtlinien anwendet, hat mit den ADMX-Dateien nichts zu tun.

 

Anderenfalls könnte man in einem Netzwerk ja keine heterogenen Clients haben, wenn man mit Gruppenrichtlinien arbeitet.

 

Tatsächlich kann es sein, dass der Administrator mit "neuen" ADMX-Dateien einzelne vorhandene Einstellungen nicht mehr korrekt sieht, die mit "älteren" ADMX-Dateien erzeugt wurden. Die Einstellungen selbst bleiben dann aber unverändert und wirken weiter.

 

Hier hat Mark das gut beschrieben, das Prinzip stimmt immer noch:

http://www.gruppenrichtlinien.de/artikel/wie-funktioniert-ein-adm-template/

 

Ein Detail hat sich (leider) verändert: Mittlerweile hat Microsoft tatsächlich vereinzelt Einträge aus neueren ADMX-Versionen entfernt. Wie oben dargelegt, wirkt sich das aber nicht auf die Wirksamkeit der Einstellungen aus, sondern nur auf deren Administration. Soweit ich es bei einem schnellen Blick gesehen habe, ist es (bislang) aber unwahrscheinlich, dass diese entfernten Einträge überhaupt genutzt worden waren.

 

Gruß, Nils

Link to comment

Ich denke dass ich grundsätzlich schon weiß wie das funktioniert. Aber das (mögliche) Problem hier sind Einstellungen, welche in 1607 vorhanden sind und in 1511 nicht oder mit anderem Namen. Beispiel ist wohl die Delivery Optimization, die MS mit 1607 gründlich verändert hat. Die Frage stellt sich da bei mir: Wie wirken sich diese auf 1511 aus? Wirken diese nur auf Windows 10 1607? Was macht Win10 1511 damit?

Mir ist schon klar dass Richtlinien und deren Einstellungen normalerweise gelöscht werden, wenn diese nicht mehr auf das Objekt verknüpft sind.

Aber ich bin mir halt nicht sicher, ob hier vom System klar erkannt wird, ob die Richtlinien für 1511 oder 1607 verarbeitet werden müssen. Kann das überhaupt getrennt sein? Unterscheidet MS hier bei Gruppenrichtlinien nach Betriebssystem-Version UND Build-Nummer oder NUR nach Betriebssystem-Version? Was passiert mit Richtlinien, welche in 1511 und 1607 komplett überarbeitet wurden und teilweise komplett neue Namen bekommen haben und (zumindest in der GPO-GUI) an einem ganz anderen Ort liegen?

 

Deshalb frage ich ja nach Erfahrungsberichten. Das vertrauen auf einen funktionierenden Upgrade-Mechanismus für Windows 10 ist bei mir momentan nicht vorhanden, wir sind zu klein um das ganze komplett in einer Laborumgebung zu testen. Und bevor ich mir hier Sachen "zerschieße" frage ich lieber dreimal...

Link to comment

Moin,

 

Ich denke dass ich grundsätzlich schon weiß wie das funktioniert.

 

hm ... nimm es mir nicht übel, aber da zweifle ich. wink.gif

 

 

Aber das (mögliche) Problem hier sind Einstellungen, welche in 1607 vorhanden sind und in 1511 nicht oder mit anderem Namen. Beispiel ist wohl die Delivery Optimization, die MS mit 1607 gründlich verändert hat. Die Frage stellt sich da bei mir: Wie wirken sich diese auf 1511 aus? Wirken diese nur auf Windows 10 1607? Was macht Win10 1511 damit?

 

Wenn ein Betriebssystem per GPO eine Einstellung bekommt, die es nicht versteht (weil es die zu konfigurierende Komponente nicht hat), dann ignoriert es die Einstellung. Genau das meinte ich oben mit den heterogenen Clients: Du kannst z.B. Windows 7 und Windows 10 parallel betreiben und mit denselben Gruppenrichtlinien konfigurieren. Die Einstellungen, die Windows 7 nicht kennt, wendet es nicht an. Die Einstellungen für Windows 7, für die Windows 10 keine Komponenten mehr hat, wendet Windows 10 nicht an.

 

 

Mir ist schon klar dass Richtlinien und deren Einstellungen normalerweise gelöscht werden, wenn diese nicht mehr auf das Objekt verknüpft sind.

 

Das ist durchaus korrekt, aber hier überhaupt nicht das Thema.

 

 

Aber ich bin mir halt nicht sicher, ob hier vom System klar erkannt wird, ob die Richtlinien für 1511 oder 1607 verarbeitet werden müssen. Kann das überhaupt getrennt sein? Unterscheidet MS hier bei Gruppenrichtlinien nach Betriebssystem-Version UND Build-Nummer oder NUR nach Betriebssystem-Version? Was passiert mit Richtlinien, welche in 1511 und 1607 komplett überarbeitet wurden und teilweise komplett neue Namen bekommen haben und (zumindest in der GPO-GUI) an einem ganz anderen Ort liegen?

 

Seit vielen Jahren steht bei "allen" (sprich: den meisten ...) Einstellungen dabei, auf welche Client-Versionen sie sich auswirken. Bei Windows 10 wird tatsächlich nach den einzelnen Releases unterschieden (1511, 1607 ...), nach Build-Nummern (zumindest bislang) nicht. Das werten die Clients selbst aus, siehe oben.

 

 

Deshalb frage ich ja nach Erfahrungsberichten. Das vertrauen auf einen funktionierenden Upgrade-Mechanismus für Windows 10 ist bei mir momentan nicht vorhanden, wir sind zu klein um das ganze komplett in einer Laborumgebung zu testen. Und bevor ich mir hier Sachen "zerschieße" frage ich lieber dreimal...

 

Die Skepsis ist verständlich, aber funktionale Fehler stehen auf einem anderen Blatt und haben mit der Anwendungslogik von GPOs nichts zu tun.

 

Gruß, Nils

Edited by NilsK
Link to comment

OK, Nils' Erklärung bringt da zumindest etwas Licht. Ein Windows 1511 würde also Einstellungen, die nur Windows 1607 betreffen, einfach ignorieren weil es diese gar nicht kennt. Ein Problem könnten aber Einstellungen sein, welche von 1511 nach 1607 entfernt oder umbenannt wurden - die Einstellungen sind auf einem 1607er immer noch aktiv, können mit den aktuellen Vorlagen aber nicht bearbeitet werden. Weil "Die orginalen Microsoft Templates sind kumulativ, d.h. jedes neuere Template bringt alle vorherigen Einstellungen mit und erweitert sie um zusätzliche" ja nicht mehr ohne weiteres gilt. Leider. Man müsste dann die alten Vorlagen zurückspielen, die Veränderungen vornehmen, und dann wieder die neuen Vorlagen nutzen.

 

Gibt es denn eigentlich ein Tool, mit dem man die Vorlagen vergleichen kann? Wo man verschiedene Vorlagen sozusagen "übereinander legen" kann, um die Änderungen zu sehen?


Moin,

 

 

hm ... nimm es mir nicht übel, aber da zweifle ich. wink.gif

 

 

Da hattest du wohl recht  :D  Aber ich denke jetzt hab ich's soweit verstanden. Man lernt nie aus :thumb1:

Link to comment

Ein Detail hat sich (leider) verändert: Mittlerweile hat Microsoft tatsächlich vereinzelt Einträge aus neueren ADMX-Versionen entfernt. Wie oben dargelegt, wirkt sich das aber nicht auf die Wirksamkeit der Einstellungen aus, sondern nur auf deren Administration. Soweit ich es bei einem schnellen Blick gesehen habe, ist es (bislang) aber unwahrscheinlich, dass diese entfernten Einträge überhaupt genutzt worden waren.

Gibt noch einen Sonderfall, den Mark neulich gefunden hat. Der selbe Wert die selbe Policy, aber es gibt auf einmal weniger Settings. Also statt vorher Dropdownliste mit drei Einstellungsmöglichkeiten wurde reduziert auf Aktiv/Deaktiv. ;)

 

Bye

Norbert

Link to comment

1. Ja Rollback ist schnell erledigt. ADMX definiert nur die Darstellung im GPEdit, nicht den tatsächlichen aktuellen Inhalt. Und wenn Du eh schon CentralStore hast: Vorher wegkopieren, bei Nichtgefallen einfach zurückkopieren.

2. Wenn in den ADMX-Templates kein passender Reg-Wert gefunden wird, sind es "Zusätzliche Registrierungseinstellungen". Kann man dann aber trotzdem noch direkt in registry.pol bearbeiten - entweder mit dem Skript, das ich bei Nils vor ewigen Zeiten mal veröffentlicht habe, oder mit TorchSoft Registry Workshop.

3. Wenn der Zustandswert nicht stimmt, das hab sogar ich noch nicht ausprobiert :)

Link to comment

Gibt es denn eigentlich ein Tool, mit dem man die Vorlagen vergleichen kann? Wo man verschiedene Vorlagen sozusagen "übereinander legen" kann, um die Änderungen zu sehen?

 

Kennst du diese Tapete?

Group Policy Settings Reference for Windows and Windows Server

<https://www.microsoft.com/en-us/download/confirmation.aspx?id=25250>

see sheet: Administrative Templates -> Column H

 

Ansonsten kannst du die ADMX-Dateien mit jedem Filecompare Tool vergleichen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...