Jump to content
phatair

Erstellt ihr für jede neue Win 10 Version eigene GPOs?

Empfohlene Beiträge

Hallo zusammen,

 

wir setzen bei uns im Unternehmen noch Windows 10 1703 ein. Da diese Version ja EoL ist, updaten wir die Clients jetzt Stück für Stück auf Version 1803. Hier setzen wir auch neue GPOs ein, die nur für diese Version angewendet werden können.

 

Ich bin mir nun unsicher ob ich diese Einstellungen einfach in einer Windows 10 GPO vereinen kann und diese allen Win 10 Geräten zuweise, ganz egal ob Sie noch 1703 oder schon 1803 sind, oder ob ich eine extra Richtlinie für 1803 erstelle und diese z.B. per WMI Filter oder Sicherheitsgruppe nur den PCs mit der neuen Win 10 Version zuweise.

 

Weiß jemand ob es Probleme macht wenn einer Windows 10 1703 Version auch Richtlinien für Windows 10 1803 zugewiesen wurden. Ignoriert der PC einfach die Einstellungen oder schreibt er diese trotzdem und es kann zu einem möglicherweise ungewolltem Verhalten kommen?

 

Danke euch schon mal.

Gruß

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ein Client, der eine Richtlinien-Einstellung aufgrund seiner Windows-Version nicht "versteht", wendet sie einfach nicht an. Es ist also fast nie wirklich nötig, GPOs nach Windows-Versionen zu unterscheiden. Dass dieselbe Einstellung unterschiedliche Reaktionen hervorruft, ist so gut wie nie der Fall.

 

(Genau betrachtet, ist es noch etwas anders: Der Client wendet die Einstellung an, schreibt den Wert also in seine Registry. Wenn aber das Betriebssystem diesen Registry-Wert gar nicht verwendet, dann bleibt er einfach ohne Funktion. Das Betriebssystem schaut an der Stelle einfach gar nicht nach und reagiert also auch nicht. Ein solcher Wert, der nicht verwendet wird, richtet aber auch keinen Schaden an.)

 

Gruß, Nils

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Nils,

 

danke - so habe ich mir das auch vorgestellt.

 

Ich sehe nur ein Problem (das aber schon sehr konstruiert ist). Wenn dieser Wert in der Registry erstellt wird und man z.B. über eine GPO oder ein anderes Programm wie z.B. SCCM oder ZCM diesen Wert abprüft um davon z.B. auf die Windows Version zu schließen, könnte es zu Problemen kommen. Aber das ist wie gesagt schon sehr konstruiert und wird in der Realität nicht vorkommen.

 

Aber es ist gut zu wissen, dass die Regedit Einträge geschrieben und nicht ignoriert werden, wenn sie nicht für die Windows Version gemacht wurden.

Ich werde dann weiterhin nur 2 Win 10 GPOs haben - eine für User Einstellungen und eine für Computer Einstellungen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Richtig, hatte ich ja erwähnt.

Für mich ist es nur gut zu wissen, dass die Registry Keys trotzdem erstellt werden. Wer weiß ob einem dies doch mal irgendwie in die Suppe spuckt und dann ist diese Info Gold wert :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

möglicherweise hast du eine unpassende Vorstellung von Registry-Keys. Aber das eigentliche Thema ist ja beantwortet.

 

Ein schönes Wochenende, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hm... weiß nicht genau was du jetzt meinst.

Die  GPO Einstellung schreiben meist in HKLM oder HKCU einen Wert z.B. Reg_SZ oder DWORD.

Nach deiner Erklärung werden diese Werte, also z.B. ein DWORD, auch geschrieben, wenn die GPO eigentlich nicht für die Windows Version geeignet ist.

"Alte Windows" Versionen lesen diesen Wert, in diesem Falle ein DWORD, nicht aus und somit ist diese Einstellung aus der GPO auch nicht wirksam. Neuere Windows Versionen lesen den Wert, also das DWORD, aus und somit ist auch die Einstellung aus der GPO wirksam.

 

Diese Info finde ich ganz hilfreich und ich glaube nicht das ich eine unpassende Vorstellung von Registry-Keys habe. Vielleicht habe ich mich nur falsch ausgedrückt..

 

Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist.

 

Danke - dir ebenso ein schönes Wochenende.

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb phatair:

Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist.

Nein, das hätte nicht sein können, weil per default keine Prüfung erfolgt, auf welches os ein gpo angewandt wird.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Seit 1703 gibt es aber eventuell ein paar neue GPO Funktionnen die interessant sind.

Es gibt Listen mit den neuen Einstellungen die man vornehmen kann.

Wenn du irgendwas davon haben möchtest musst du neue ADMX Datein "installieren". Neue RSTA Tools auf einem aktuellen PC wenn ihr das ganze Remote verwaltet.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Minuten schrieb Vinc211:

Seit 1703 gibt es aber eventuell ein paar neue GPO Funktionnen die interessant sind.

Die würde man sehen, wenn man sich an die Regel hält, immer das aktuellste OS für die Erstellung und Bearbeitung der GPOs zu verwenden. Alternativ kann man natürlich auch einfach immer den Central Store aktualisieren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Genau so läuft es bei uns auch.

Die neuesten ADMX Templates verwenden wir im Central Store und bearbeiten die GPOs immer über das entsprechende OS.

 

Am 9.11.2018 um 16:48 schrieb NorbertFe:

Nein, das hätte nicht sein können, weil per default keine Prüfung erfolgt, auf welches os ein gpo angewandt wird.

Genau das hat sich ja in dieser Diskussion für mich geklärt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×