Jump to content
Sign in to follow this  
phatair

Erstellt ihr für jede neue Win 10 Version eigene GPOs?

Recommended Posts

Hallo zusammen,

 

wir setzen bei uns im Unternehmen noch Windows 10 1703 ein. Da diese Version ja EoL ist, updaten wir die Clients jetzt Stück für Stück auf Version 1803. Hier setzen wir auch neue GPOs ein, die nur für diese Version angewendet werden können.

 

Ich bin mir nun unsicher ob ich diese Einstellungen einfach in einer Windows 10 GPO vereinen kann und diese allen Win 10 Geräten zuweise, ganz egal ob Sie noch 1703 oder schon 1803 sind, oder ob ich eine extra Richtlinie für 1803 erstelle und diese z.B. per WMI Filter oder Sicherheitsgruppe nur den PCs mit der neuen Win 10 Version zuweise.

 

Weiß jemand ob es Probleme macht wenn einer Windows 10 1703 Version auch Richtlinien für Windows 10 1803 zugewiesen wurden. Ignoriert der PC einfach die Einstellungen oder schreibt er diese trotzdem und es kann zu einem möglicherweise ungewolltem Verhalten kommen?

 

Danke euch schon mal.

Gruß

 

Share this post


Link to post
Share on other sites

Moin,

 

ein Client, der eine Richtlinien-Einstellung aufgrund seiner Windows-Version nicht "versteht", wendet sie einfach nicht an. Es ist also fast nie wirklich nötig, GPOs nach Windows-Versionen zu unterscheiden. Dass dieselbe Einstellung unterschiedliche Reaktionen hervorruft, ist so gut wie nie der Fall.

 

(Genau betrachtet, ist es noch etwas anders: Der Client wendet die Einstellung an, schreibt den Wert also in seine Registry. Wenn aber das Betriebssystem diesen Registry-Wert gar nicht verwendet, dann bleibt er einfach ohne Funktion. Das Betriebssystem schaut an der Stelle einfach gar nicht nach und reagiert also auch nicht. Ein solcher Wert, der nicht verwendet wird, richtet aber auch keinen Schaden an.)

 

Gruß, Nils

  • Thanks 1

Share this post


Link to post
Share on other sites

Hi Nils,

 

danke - so habe ich mir das auch vorgestellt.

 

Ich sehe nur ein Problem (das aber schon sehr konstruiert ist). Wenn dieser Wert in der Registry erstellt wird und man z.B. über eine GPO oder ein anderes Programm wie z.B. SCCM oder ZCM diesen Wert abprüft um davon z.B. auf die Windows Version zu schließen, könnte es zu Problemen kommen. Aber das ist wie gesagt schon sehr konstruiert und wird in der Realität nicht vorkommen.

 

Aber es ist gut zu wissen, dass die Regedit Einträge geschrieben und nicht ignoriert werden, wenn sie nicht für die Windows Version gemacht wurden.

Ich werde dann weiterhin nur 2 Win 10 GPOs haben - eine für User Einstellungen und eine für Computer Einstellungen.

Share this post


Link to post
Share on other sites

Richtig, hatte ich ja erwähnt.

Für mich ist es nur gut zu wissen, dass die Registry Keys trotzdem erstellt werden. Wer weiß ob einem dies doch mal irgendwie in die Suppe spuckt und dann ist diese Info Gold wert :)

Share this post


Link to post
Share on other sites

Moin,

 

möglicherweise hast du eine unpassende Vorstellung von Registry-Keys. Aber das eigentliche Thema ist ja beantwortet.

 

Ein schönes Wochenende, Nils

 

Share this post


Link to post
Share on other sites

Hm... weiß nicht genau was du jetzt meinst.

Die  GPO Einstellung schreiben meist in HKLM oder HKCU einen Wert z.B. Reg_SZ oder DWORD.

Nach deiner Erklärung werden diese Werte, also z.B. ein DWORD, auch geschrieben, wenn die GPO eigentlich nicht für die Windows Version geeignet ist.

"Alte Windows" Versionen lesen diesen Wert, in diesem Falle ein DWORD, nicht aus und somit ist diese Einstellung aus der GPO auch nicht wirksam. Neuere Windows Versionen lesen den Wert, also das DWORD, aus und somit ist auch die Einstellung aus der GPO wirksam.

 

Diese Info finde ich ganz hilfreich und ich glaube nicht das ich eine unpassende Vorstellung von Registry-Keys habe. Vielleicht habe ich mich nur falsch ausgedrückt..

 

Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist.

 

Danke - dir ebenso ein schönes Wochenende.

 

 

 

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb phatair:

Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist.

Nein, das hätte nicht sein können, weil per default keine Prüfung erfolgt, auf welches os ein gpo angewandt wird.

Share this post


Link to post
Share on other sites

Seit 1703 gibt es aber eventuell ein paar neue GPO Funktionnen die interessant sind.

Es gibt Listen mit den neuen Einstellungen die man vornehmen kann.

Wenn du irgendwas davon haben möchtest musst du neue ADMX Datein "installieren". Neue RSTA Tools auf einem aktuellen PC wenn ihr das ganze Remote verwaltet.

 

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb Vinc211:

Seit 1703 gibt es aber eventuell ein paar neue GPO Funktionnen die interessant sind.

Die würde man sehen, wenn man sich an die Regel hält, immer das aktuellste OS für die Erstellung und Bearbeitung der GPOs zu verwenden. Alternativ kann man natürlich auch einfach immer den Central Store aktualisieren.

Share this post


Link to post
Share on other sites

Genau so läuft es bei uns auch.

Die neuesten ADMX Templates verwenden wir im Central Store und bearbeiten die GPOs immer über das entsprechende OS.

 

Am 9.11.2018 um 16:48 schrieb NorbertFe:

Nein, das hätte nicht sein können, weil per default keine Prüfung erfolgt, auf welches os ein gpo angewandt wird.

Genau das hat sich ja in dieser Diskussion für mich geklärt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...