Jump to content

Erstellt ihr für jede neue Win 10 Version eigene GPOs?


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir setzen bei uns im Unternehmen noch Windows 10 1703 ein. Da diese Version ja EoL ist, updaten wir die Clients jetzt Stück für Stück auf Version 1803. Hier setzen wir auch neue GPOs ein, die nur für diese Version angewendet werden können.

 

Ich bin mir nun unsicher ob ich diese Einstellungen einfach in einer Windows 10 GPO vereinen kann und diese allen Win 10 Geräten zuweise, ganz egal ob Sie noch 1703 oder schon 1803 sind, oder ob ich eine extra Richtlinie für 1803 erstelle und diese z.B. per WMI Filter oder Sicherheitsgruppe nur den PCs mit der neuen Win 10 Version zuweise.

 

Weiß jemand ob es Probleme macht wenn einer Windows 10 1703 Version auch Richtlinien für Windows 10 1803 zugewiesen wurden. Ignoriert der PC einfach die Einstellungen oder schreibt er diese trotzdem und es kann zu einem möglicherweise ungewolltem Verhalten kommen?

 

Danke euch schon mal.

Gruß

 

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

ein Client, der eine Richtlinien-Einstellung aufgrund seiner Windows-Version nicht "versteht", wendet sie einfach nicht an. Es ist also fast nie wirklich nötig, GPOs nach Windows-Versionen zu unterscheiden. Dass dieselbe Einstellung unterschiedliche Reaktionen hervorruft, ist so gut wie nie der Fall.

 

(Genau betrachtet, ist es noch etwas anders: Der Client wendet die Einstellung an, schreibt den Wert also in seine Registry. Wenn aber das Betriebssystem diesen Registry-Wert gar nicht verwendet, dann bleibt er einfach ohne Funktion. Das Betriebssystem schaut an der Stelle einfach gar nicht nach und reagiert also auch nicht. Ein solcher Wert, der nicht verwendet wird, richtet aber auch keinen Schaden an.)

 

Gruß, Nils

Link zu diesem Kommentar

Hi Nils,

 

danke - so habe ich mir das auch vorgestellt.

 

Ich sehe nur ein Problem (das aber schon sehr konstruiert ist). Wenn dieser Wert in der Registry erstellt wird und man z.B. über eine GPO oder ein anderes Programm wie z.B. SCCM oder ZCM diesen Wert abprüft um davon z.B. auf die Windows Version zu schließen, könnte es zu Problemen kommen. Aber das ist wie gesagt schon sehr konstruiert und wird in der Realität nicht vorkommen.

 

Aber es ist gut zu wissen, dass die Regedit Einträge geschrieben und nicht ignoriert werden, wenn sie nicht für die Windows Version gemacht wurden.

Ich werde dann weiterhin nur 2 Win 10 GPOs haben - eine für User Einstellungen und eine für Computer Einstellungen.

Link zu diesem Kommentar

Hm... weiß nicht genau was du jetzt meinst.

Die  GPO Einstellung schreiben meist in HKLM oder HKCU einen Wert z.B. Reg_SZ oder DWORD.

Nach deiner Erklärung werden diese Werte, also z.B. ein DWORD, auch geschrieben, wenn die GPO eigentlich nicht für die Windows Version geeignet ist.

"Alte Windows" Versionen lesen diesen Wert, in diesem Falle ein DWORD, nicht aus und somit ist diese Einstellung aus der GPO auch nicht wirksam. Neuere Windows Versionen lesen den Wert, also das DWORD, aus und somit ist auch die Einstellung aus der GPO wirksam.

 

Diese Info finde ich ganz hilfreich und ich glaube nicht das ich eine unpassende Vorstellung von Registry-Keys habe. Vielleicht habe ich mich nur falsch ausgedrückt..

 

Es hätte ja auch sein können, dass dieses DWORD gar nicht in die Registry geschrieben wird, wenn die Windows Version unpassend ist.

 

Danke - dir ebenso ein schönes Wochenende.

 

 

 

Link zu diesem Kommentar
vor 3 Minuten schrieb Vinc211:

Seit 1703 gibt es aber eventuell ein paar neue GPO Funktionnen die interessant sind.

Die würde man sehen, wenn man sich an die Regel hält, immer das aktuellste OS für die Erstellung und Bearbeitung der GPOs zu verwenden. Alternativ kann man natürlich auch einfach immer den Central Store aktualisieren.

Link zu diesem Kommentar

Genau so läuft es bei uns auch.

Die neuesten ADMX Templates verwenden wir im Central Store und bearbeiten die GPOs immer über das entsprechende OS.

 

Am 9.11.2018 um 16:48 schrieb NorbertFe:

Nein, das hätte nicht sein können, weil per default keine Prüfung erfolgt, auf welches os ein gpo angewandt wird.

Genau das hat sich ja in dieser Diskussion für mich geklärt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...