20
Neue ADMX-Vorlagen bei jedem W10 Funktionsupdate
Hallo Zusammen,
ich administriere hier ein Netzwerk mit etwa 30 VM´s, 110 W7-Clients und 10-15 W10-Clients.
Nun habe ich bereits vor längerem einiges an Gruppenrichtlinien eingerichtet und für Windows 7 angepasst - funktioniert auch soweit.
Nun ist es aber so, dass mit jedem Funktionsupdate für Windows 10 immer wieder neue ADMX-Vorlagen kommen, sodass beim aktualisieren der alten Vorlagen die Gruppenrichtlinien nicht mehr funktionieren - weil diese entweder nicht mehr vorhanden sind oder an anderer Stelle stehen.
Ich habe soweit wie möglich versucht, Windows 8 und 10 als Betriebssystem hier nicht einzusetzen und alles auf gleichem Stand zu halten, jedoch macht hier neue Hardware und Treiber einen Strich durch die Rechnung, sodass ich zwingend bei einigen auf W10 Pro laufen lassen muss.
Gibt es jemand mit dem gleichen Problem und wie geht ihr damit um? Die ADMX-Vorlagen gar nicht zu aktualisieren ist auch nicht das wahre, da gewisse Einstellungen dann nicht mehr greifen.
Vielen Dank!
ich administriere hier ein Netzwerk mit etwa 30 VM´s, 110 W7-Clients und 10-15 W10-Clients.
Nun habe ich bereits vor längerem einiges an Gruppenrichtlinien eingerichtet und für Windows 7 angepasst - funktioniert auch soweit.
Nun ist es aber so, dass mit jedem Funktionsupdate für Windows 10 immer wieder neue ADMX-Vorlagen kommen, sodass beim aktualisieren der alten Vorlagen die Gruppenrichtlinien nicht mehr funktionieren - weil diese entweder nicht mehr vorhanden sind oder an anderer Stelle stehen.
Ich habe soweit wie möglich versucht, Windows 8 und 10 als Betriebssystem hier nicht einzusetzen und alles auf gleichem Stand zu halten, jedoch macht hier neue Hardware und Treiber einen Strich durch die Rechnung, sodass ich zwingend bei einigen auf W10 Pro laufen lassen muss.
Gibt es jemand mit dem gleichen Problem und wie geht ihr damit um? Die ADMX-Vorlagen gar nicht zu aktualisieren ist auch nicht das wahre, da gewisse Einstellungen dann nicht mehr greifen.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 375996
Url: https://administrator.de/contentid/375996
Printed on: April 19, 2024 at 10:04 o'clock
20 Comments
Latest comment
Moin,
schon recht, sehr ungeil das Ganze. Leider wird Dir das aber nicht erspart bleiben, es sei denn, Du wechselt komplett auf Linux. Schau mal bei Heise, da sind ganz viele tolle Checker, die können das innerhalb weniger Minuten. Die gesamte Infrastruktur, ganz problemlos, das geht alles tootal easy.
Dass Gruppenrichtlinien nicht mehr gegriffen haben, hatten wir bisher nicht (Glück gehabt), allerdings bastelt MS da immer wieder lustige Fehler ein, indem z.B. Sprachdateien fehlen oder Dateien mit einem falschen Versionsstand im Paket landen. QM ist ohnehin Mist, das können die Anwender viel besser. "Lösung": Letzteres selbst hinfrickeln, immer wenn es neue Vorlagen gibt, das Netz auf einschlägigen Seiten nach gemachten Änderungen durchforsten.
Und gerade jetzt durch die neue Datenschutzverordnung nehmen wir das umso ernster, weil mit einer neuen Version höchstwahrscheinlich auch mal wieder neue Schnüffelversuche unterbunden werden müssen / sollen.
Ergo: Mehr Arbeit, aber dafür ist Windows 10 ja auch viel besser.
Gruß
schon recht, sehr ungeil das Ganze. Leider wird Dir das aber nicht erspart bleiben, es sei denn, Du wechselt komplett auf Linux. Schau mal bei Heise, da sind ganz viele tolle Checker, die können das innerhalb weniger Minuten. Die gesamte Infrastruktur, ganz problemlos, das geht alles tootal easy.
Dass Gruppenrichtlinien nicht mehr gegriffen haben, hatten wir bisher nicht (Glück gehabt), allerdings bastelt MS da immer wieder lustige Fehler ein, indem z.B. Sprachdateien fehlen oder Dateien mit einem falschen Versionsstand im Paket landen. QM ist ohnehin Mist, das können die Anwender viel besser. "Lösung": Letzteres selbst hinfrickeln, immer wenn es neue Vorlagen gibt, das Netz auf einschlägigen Seiten nach gemachten Änderungen durchforsten.
Und gerade jetzt durch die neue Datenschutzverordnung nehmen wir das umso ernster, weil mit einer neuen Version höchstwahrscheinlich auch mal wieder neue Schnüffelversuche unterbunden werden müssen / sollen.
Ergo: Mehr Arbeit, aber dafür ist Windows 10 ja auch viel besser.
Gruß
Ergo: Mehr Arbeit, aber dafür ist Windows 10 ja auch viel besser.
Gruß
Gruß
Stimmt, MS sorgt dafür das wir unsere Arbeit behalten!
Gruß
Holli
1
Das bedeutet im Prinzip, dass ihr alle konfigurierten Gruppenrichtlinien komplett überarbeitet? ....
Ich habe auch noch keine Änderung feststellen können, bin aber noch auf 1709 (bleibe ich auch erstmal) oder darunter und habe auch noch nicht danach gesucht.
Mich würden auch Empfehlungen für Seiten interessieren auf denen genau diese Information übersichtlich dargestellt wird. Bisher habe ich mir das meiste zusammen geklaubt, was irgendwie mit MS Datenübermittlung nach irgendwo zu tun hatte. Ob das vollständig oder aktuell ist ist schwer zu beurteilen.
Mich würden auch Empfehlungen für Seiten interessieren auf denen genau diese Information übersichtlich dargestellt wird. Bisher habe ich mir das meiste zusammen geklaubt, was irgendwie mit MS Datenübermittlung nach irgendwo zu tun hatte. Ob das vollständig oder aktuell ist ist schwer zu beurteilen.
Zitat von @westberliner:
Das bedeutet im Prinzip, dass ihr alle konfigurierten Gruppenrichtlinien komplett überarbeitet? ....
Das bedeutet im Prinzip, dass ihr alle konfigurierten Gruppenrichtlinien komplett überarbeitet? ....
Hallo.
Ja, irgendwie schon.
Central-Store für die Templates im AD-DC, und tatsächlich bei jedem halbjährlichen, großen Inplace-Upgrade für Windows 10, ggf. auch für Server 2016 (od. demnächst für Server 2019, sobald im Einsatz/Vorhanden) die neuesten Templates installieren/importieren/einpflegen. Und danach die bisherigen Einstellungen überprüfen und nötigenfalls ändern/anpassen.
Eine gute Informationsquelle, auch mit Downloadlinks zu den jeweils neuesten Templates, ist oftmals hier zu finden:
https://www.windowspro.de/news/admx-download-fuer-windows-10-1803-securi ...
Und für Office letztlich das Gleiche, gleichwohl es da "nur" alle 3 Jahre, also erst mit einer neuen Office-Version, Änderungen gibt (natürlich nur, wenn auch Office mit GPOs beeinflusst wird oder werden soll).
Und für den jüngsten Firefox (Version 60) gibt es jetzt auch GPO-taugliche Templates, für Google Chrome schon länger.
Viele Grüße
von
departure69
1
Hi,
man muss das differenzieren!
Wenn man im Mischbetrieb der Builds läuft, dann ggf. einzelne GPO-Objekte je Build erstellen. Und das immer von einem Rechner mit dieser Build aus. Also hier keinen Central Storage für ADMX einrichten. Edit: Nur notwendig, wenn man eine Einstellung an eine Build verteilen muss, welche es bei den anderen nicht gibt. Wobei man dann hier aber auf die GPP "Registry" ausweichen kann.
Wenn man immer im "Uni-Betrieb" plant, also wenn dann immer alle Clients "gleichzeitig" auf das selbe Build hebt, dann kann man auch einen Central Storage für ADMX betreiben und in diesem einfach immer die ADMX auf dem Laufenden halten.
E.
man muss das differenzieren!
- Ja, man muss immer damit rechnen, dass in einer neuen Build neue GPO-Richtlinien verfügbar und/oder bisherige nicht mehr verfügbar sind.
- Ja, man muss damit rechnen, dass einzelne Einstellungen aus vorhanden GPO-Objekten bei Rechnern mit neuem Built nicht mehr wirken, wenn diese Einstellungen aus der GPO-Verarbeitung entfernt wurden. (Punkt 1) (kleine Minderheit)
- Nein, vorhandene GPO-Objekte mit Einstellungen, welche auch bei neuen Builds wirken (große Mehrheit) müssen nicht neu erstellt oder bearbeitet werden, damit sie bei neuen Builts weiterhin wirken.
Wenn man im Mischbetrieb der Builds läuft, dann ggf. einzelne GPO-Objekte je Build erstellen. Und das immer von einem Rechner mit dieser Build aus. Also hier keinen Central Storage für ADMX einrichten. Edit: Nur notwendig, wenn man eine Einstellung an eine Build verteilen muss, welche es bei den anderen nicht gibt. Wobei man dann hier aber auf die GPP "Registry" ausweichen kann.
Wenn man immer im "Uni-Betrieb" plant, also wenn dann immer alle Clients "gleichzeitig" auf das selbe Build hebt, dann kann man auch einen Central Storage für ADMX betreiben und in diesem einfach immer die ADMX auf dem Laufenden halten.
E.
@westberliner
Fast. Wir gehen so vor:
- Internetrecherche, was sich mit den neuen Vorlagen geändert hat
- Installation der neuesten Vorlage
- GPMC öffnen und ein wenig rumklicken, um die (in der Regel nicht systemkritischen) Fehler auszubügeln (Falsche oder fehlende Sprachdatei etc.).
Nur um sicher zu gehen.
- Test-PC in die entsprechende OU verschieben. Gpresult laufen lassen und auswerten. Für uns wichtige Punkte auf dem PC manuell überprüfen.
- Ggf. anpassen, den Rest erledigen wir nach dem MS-Prinzip: Warten, bis es jemandem auffällt
@4400667902
Wir sind bei 1803, rollen immer eine Handvoll weniger kritische Clients aus und harren der Dinge... Passiert nichts grobes, ziehen wir die anderen nach.
Dass MS nicht gleich selbst das "Change Log" mitliefert, ist schon ein Armutszeugnis. Aber auch hier gilt: Wozu selbst die Arbeit machen, können andere viel besser. Allerdings trotzdem fragwürdig, diese anderen müssen die Info ja auch irgendwoher bekommen. Ich unterstelle also mal, dass die Quelle MS ist. Warum die das Zeug nicht selbst rausrücken? Keine Ahnung...
Wir googeln einfach nach "windows 10 1803 admx changes", je nachdem, welches Build gerade hip ist.Sehr schön aufbereitet findet man das z.B. hier:
https://www.vacuumbreather.com/index.php/blog/item/67-group-policy-chang ...
Gruß
Das bedeutet im Prinzip, dass ihr alle konfigurierten Gruppenrichtlinien komplett überarbeitet? ....
- Internetrecherche, was sich mit den neuen Vorlagen geändert hat
- Installation der neuesten Vorlage
- GPMC öffnen und ein wenig rumklicken, um die (in der Regel nicht systemkritischen) Fehler auszubügeln (Falsche oder fehlende Sprachdatei etc.).
Nur um sicher zu gehen.
- Test-PC in die entsprechende OU verschieben. Gpresult laufen lassen und auswerten. Für uns wichtige Punkte auf dem PC manuell überprüfen.
- Ggf. anpassen, den Rest erledigen wir nach dem MS-Prinzip: Warten, bis es jemandem auffällt
@4400667902
Wir sind bei 1803, rollen immer eine Handvoll weniger kritische Clients aus und harren der Dinge... Passiert nichts grobes, ziehen wir die anderen nach.
Dass MS nicht gleich selbst das "Change Log" mitliefert, ist schon ein Armutszeugnis. Aber auch hier gilt: Wozu selbst die Arbeit machen, können andere viel besser. Allerdings trotzdem fragwürdig, diese anderen müssen die Info ja auch irgendwoher bekommen. Ich unterstelle also mal, dass die Quelle MS ist. Warum die das Zeug nicht selbst rausrücken? Keine Ahnung...
Wir googeln einfach nach "windows 10 1803 admx changes", je nachdem, welches Build gerade hip ist.Sehr schön aufbereitet findet man das z.B. hier:
https://www.vacuumbreather.com/index.php/blog/item/67-group-policy-chang ...
Gruß
1
Ich finde es eigentlich unmöglich das MS uns neue Builds als Update verkauft und will das die immer schön nachgezogen werden dabei hat man ähnliche Arbeiten wie bei einem OS Wechsel. Für 100 Clients kann man das machen, ich habe vielleicht 50. Davon sind 15 Notebooks im VPN die ich jedes mal mit erheblichem Aufwand upgraden darf und der Rest macht fast nur RDP. Ich kann mich nicht alle 3 Monate mit meinem Client GPOs auseinander setzen, dafür fehlt mir schlicht die Zeit und auch die Nerven.
Ich bleibe jetzt auf 1709 und gucke mir das zum Jahreswechsel wieder an *freu*.
Ich bleibe jetzt auf 1709 und gucke mir das zum Jahreswechsel wieder an *freu*.
Hi,
E.
Ich kann mich nicht alle 3 Monate mit meinem Client GPOs auseinander setzen, dafür fehlt mir schlicht die Zeit und auch die Nerven.
Dann rechne doch mal Deinen notwendigen Aufwand monetär gegen die Kosten für LTSB-Lizenzen. Vielleicht rechnet sich das ja in Deinem Fall und Du bist damit den Stress los.E.
Vorher prüfe ich mal wieder die Einführung von Linux auf den stationären Clients aber leider bleibt mir der Windows Aufwand aufgrund der Notebooks dennoch nicht erspart, am Ende ist es dann noch mehr Aufwand.
Aber ganz erlich, ich sehe nicht ein MS hunderte von Euros für einen Client zu zahlen (Hardware 200 Euro) der nur RDP und ein bischen USB macht und dann auch noch drauf zu zahlen damit sie mir meine Einstellungen nicht zerschießen. Sobald ich hier einen Azubi kriege darf der Linux Clients aufsetzen
Aber ganz erlich, ich sehe nicht ein MS hunderte von Euros für einen Client zu zahlen (Hardware 200 Euro) der nur RDP und ein bischen USB macht und dann auch noch drauf zu zahlen damit sie mir meine Einstellungen nicht zerschießen. Sobald ich hier einen Azubi kriege darf der Linux Clients aufsetzen
der nur RDP und ein bischen USB macht
Warum dann nicht gleich ein einfacher ThinClient, z.B. von Igel mit einem "smarten" Linux drauf? Man kann Feuerzeuge auch mit Atomreaktoren betreiben. Das geht.1
Wir hatten in der Vergangenheit ThinClients, zum testen auch welche von Igel. Aber am Ende war immer das Monitor Setup (mehrere Monitore mit teilweise QHD) gar nicht oder nur mit teuren High-End Geräten zu machen.
Wir hatten in der Vergangenheit ThinClients, zum testen auch welche von Igel. Aber am Ende war immer das Monitor Setup (mehrere Monitore mit >> teilweise QHD) gar nicht oder nur mit teuren High-End Geräten zu machen.
Evtl. hilft das:
https://www.igel.de/desktop-converter-udc/
https://wiki.openthinclient.org/dashboard.action
Ansonsten beantwortet das jetzt nicht mehr die Frage des TO...
Na, doch.
TO fragte:
TO fragte:
Gibt es jemand mit dem gleichen Problem und wie geht ihr damit um?
Wir hier gehen damit um, dass wir nur dort wo wirklich nötig FatClients hinstellen. Bildschirme können da schnell ein KO-Kriterium werden, ich weiß.
Puh, das ist aber eine gewagte Auslegung. Die Lösung dieses speziellen Problems: Schmeiß doch einfach Deine PCs weg und kauf Dir Thin Clients
Windows 10-Exegese für Anfänger. Außerdem sagt der TO schon garnix mehr
Windows 10-Exegese für Anfänger. Außerdem sagt der TO schon garnix mehr
Puh, das ist aber eine gewagte Auslegung. Die Lösung dieses speziellen Problems: Schmeiß doch einfach Deine PCs weg und kauf Dir Thin Clients
Alles eine reine Kosten-Nutzen-Rechnung. Man muss da auch mit zukünftigen Kosten rechnen. Das sollte dann der zuständige Controller in der Firma ausrechnen. Persönliche befindlichkeiten dürfen da nicht zählen. Es sei denn, die Firma schwimmt im Geld. Dann könnte man aber auch noch einen Admin einstelle, der nur Updates macht. Ich denke aber, dem ist nicht so. Sonst würde man nicht fragen.
Natürlich ist die Kosten/Nutzen Rechnung (inkl. Folgekosten) Aufgabe des Kunden. Das Kernproblem ist aber das MS hier schlechtere Voraussetzungen bietet als das bisher der Fall war (Änderungen an den GPO notwendig) und schlechten Service (Übersichtliche Doku zu Änderungen, auch zu neuen "Features" in Sachen Datenabfluss). Das zu gunsten neuer schnellerer Update-Zyklen, neuen Funktionen aber am Ende zu Lasten der Leute die damit einfach nur Arbeiten wollen.
Wer MS Böswilligkeit unterstellen will wird sagen: MS will unsere Daten und zur Not gibts einfach immer neue Features und Änderungen so das der Aufwand zum unterbinden von Datenübermittlung steigt. Vielleicht wollen sie auch einfach nur dem Consumer mehr Customer Experience bieten und vernächlässigen Dabei das Business Umfeld, das ja bis Windows 7 mit einer Pro Lizenz gut gefahren ist. Jetzt sollen wir für weniger Updateaufwand und weniger Bling am besten mehr bezahlen, ich fände ja weniger bezahlen auch angemessen.
Dieses Problem trift, wie viele andere Dinge auch, kleinere Umgebungen stärker als Größere den der Aufwand skaliert ja nicht gleichermaßen. Der TO ist nicht allein, soviel steht fest.
Wer MS Böswilligkeit unterstellen will wird sagen: MS will unsere Daten und zur Not gibts einfach immer neue Features und Änderungen so das der Aufwand zum unterbinden von Datenübermittlung steigt. Vielleicht wollen sie auch einfach nur dem Consumer mehr Customer Experience bieten und vernächlässigen Dabei das Business Umfeld, das ja bis Windows 7 mit einer Pro Lizenz gut gefahren ist. Jetzt sollen wir für weniger Updateaufwand und weniger Bling am besten mehr bezahlen, ich fände ja weniger bezahlen auch angemessen.
Dieses Problem trift, wie viele andere Dinge auch, kleinere Umgebungen stärker als Größere den der Aufwand skaliert ja nicht gleichermaßen. Der TO ist nicht allein, soviel steht fest.
Zitat von @ukulele-7:
Dieses Problem trift, wie viele andere Dinge auch, kleinere Umgebungen stärker als Größere den der Aufwand skaliert ja nicht gleichermaßen.
Der TO ist nicht allein, soviel steht fest.
Dieses Problem trift, wie viele andere Dinge auch, kleinere Umgebungen stärker als Größere den der Aufwand skaliert ja nicht gleichermaßen.
Der TO ist nicht allein, soviel steht fest.
Stimm ich Dir voll zu!
Gruß
Holli
Andererseits:
Bevor man eine neue Build produktiv ausrollt, sollte man diese doch sowie zuvor testen? Dazu gehört dann auch, ggf. die paar weggefallenen oder dazugekommenden GPO-Einstellungen anzupassen, sofern sie denn überhaupt für die eigenen Umgebung Relevanz haben. Es liegt also auch nahe, dass es rein ein Verfahrensfehler in Eurem Updateprozess sein könnte.
Bevor man eine neue Build produktiv ausrollt, sollte man diese doch sowie zuvor testen? Dazu gehört dann auch, ggf. die paar weggefallenen oder dazugekommenden GPO-Einstellungen anzupassen, sofern sie denn überhaupt für die eigenen Umgebung Relevanz haben. Es liegt also auch nahe, dass es rein ein Verfahrensfehler in Eurem Updateprozess sein könnte.
