{"id":264844,"date":"2022-05-02T08:38:11","date_gmt":"2022-05-02T06:38:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264844"},"modified":"2022-05-03T00:40:57","modified_gmt":"2022-05-02T22:40:57","slug":"gpo-konflikt-zwischen-windows-11-und-windows-10-richtlinien-nicht-nderbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/02\/gpo-konflikt-zwischen-windows-11-und-windows-10-richtlinien-nicht-nderbar\/","title":{"rendered":"GPO-Konflikt zwischen Windows 11 und Windows 10, Richtlinien nicht änderbar?"},"content":{"rendered":"

\"Windows\"[English<\/a>]Gibt es Probleme bei der Verwaltung von Gruppenrichtlinien zwischen Windows 10 und Windows 11? Darauf deutet ein Post hin, der mir die Tage in der patchmanagement.org<\/em>-Mailingliste unter die Augen gekommen ist. Die Aussage lautet, dass sich unter Windows 11 gesetzte Gruppenrichtlinien auf Windows 10 Clients in einigen Einstellungen u.U. nicht mehr anpassen lassen. Ich stelle es mal im Blog ein, verbunden mit der Frage, ob jemandem \u00e4hnliches aufgefallen ist.<\/p>\n

<\/p>\n

Konflikt bei der GPO-Verwaltung?<\/h2>\n

\"\"Ich stelle das alles hier im Blog-Beitrag mal mir einem Fragezeichen ein. In der patchmanagement.org<\/em>-Mailingliste ist mir die Tage ein Thread unter dem Titel ADMX files Windows 10 21H2 <\/em>vom 17. November 2021 unter die Augen gekommen. Dem Thread-Starter war aufgefallen, dass es f\u00fcr Windows 11 21H2 separate ADMX-Template-Dateien gibt und er fragte, ob er diese f\u00fcr alle seine Clients verwenden k\u00f6nne:<\/p>\n

Before upgrading to W10 21H2 I thought I'd check for newer admx files, and instead found the Windows 11<\/u> 21H2 admx templates to download. Would it make more sense\/would it be safer to stay with the W10 21H1 templates or lay down the W11 21H2 templates? It sounds like they are backwards compatible, any W11 specifics just wouldn't apply for my PCs, from what I have read. Not going to Windows 11 for a little while\u2026<\/p><\/blockquote>\n

oder ob er lieber unter seinen Windows 10-Clients mit den admx-Dateien f\u00fcr diese Plattform arbeiten sollte. Zu diesem Thema habe ich nachfolgend ja einiges ausgef\u00fchrt. Als ich die Diskussionen des Eintrags der patchmanagement.org<\/em>-Mailingliste durchging, fiel mir aber folgender Eintrag von James Ferry<\/a> (nur mit Anmeldung sichtbar) vom 10. April 2022 ins Auge:<\/p>\n

Some items are not editable on the w10 device if somebody else creates them on a w11 machine even with the same w11 version admx.<\/p>\n

Similar happened with the ie11 settings on w8 when running on a w7 device.<\/p>\n

Only matters if you use those settings.\u00a0 If it does happen they'll pop up in \"other registry settings\".<\/p>\n

Basically,\u00a0 in the admx rules there are flags for when a setting can be shown.\u00a0 It doesn't take into account that an admin could be on a different type of system.<\/p>\n

You can manually edit the value though in notepad, or if keen, just get rid of the restriction on the admx on you support PC.<\/p><\/blockquote>\n

Die Kernaussage: Wenn Gruppenrichtlinien f\u00fcr Windows 10-Maschinen auf Windows 11-Clients erzeugt\/gepflegt werden, kann es zu Konflikten kommen. Der betreffende Admin schreibt, dass diese betroffenen Richtlinien dann unter Windows 10 auf dem Client nicht \u00e4nderbar seien. Nur die manuelle Anpassung per Notepad sei noch m\u00f6glich.<\/p>\n

Das impliziert aber, dass eine Verwaltung gemischter Clients (Windows 11 und \u00e4ltere Windows-Versionen bis hoch zu Windows 10) Probleme bereiten kann, wenn GPOs wechselseitig mit Clients unter Windows 10 und Windows 11 verwaltet werden. Die Frage, die sich mir stellt: Gibt es Administratoren unter der Leserschaft, die das best\u00e4tigen k\u00f6nnen?<\/p>\n

Der Poster erw\u00e4hnt einen alten Fall, der zwischen Windows 8 und Windows 7 mit Internet Explorer 11-GPOs auftrat.<\/p>\n

Auf Mewe hat ein Admin ebenfalls geschrieben:\u00a0Windows 11 nutzt andere ADM(x)-Vorlagen f\u00fcr die GPOs. Diese sind nicht zu 100% kompatibel zu denen, welche Windows 10 nutzt. Somit werden diese zwar dargestellt, wirken aber unter Umst\u00e4nden nicht und sind nicht bearbeitbar.<\/em><\/p>\n

Das gab es auch schon auf AD-Ebene mit dem IE. Durch ein Update wurden die ADM-Vorlagen f\u00fcr die GPOs auf einem AD-Server gel\u00f6scht. Dadurch konnten einst erstellte IE-GPOs nicht mehr bearbeitet werden und nur sehr umst\u00e4ndlich wieder aus der kompletten AD entfernt werden.<\/em><\/p>\n

Von Microsoft gibt es zudem einen Support-Beitrag Cannot edit Group Policy settings on a site in Windows<\/a> f\u00fcr Windows 7 bis 8.1 und die Server Pendants, der sich mit nicht editierbaren GPO-Einstellungen in gemischten Umgebungen befasst. Der Fall aber nicht ganz vergleichbar und Microsoft hat seinerzeit einen Fix f\u00fcr Windows 8.x herausgebracht.<\/p><\/blockquote>\n

Windows 10\/11-GPOs unterschiedlich<\/h2>\n

Die Gruppenrichtlinien (GPOs) unterscheiden sich zwischen Windows 11 und fr\u00fcheren Versionen bis Windows 10. Inzwischen ver\u00f6ffentlicht Microsoft\u00a0 ja separate ADMX-Dateien f\u00fcr Windows 11, Windows Server 2022 sowie die \u00e4lteren Windows-Versionen bis einschlie\u00dflich Windows 10 und die Server-Pendants. Ich hatte im Blog-Beitrag Administrative Templates (.admx) v2.0 bis Windows 10 November 2021 Update (21H2)<\/a> auf die unterschiedlichen admx-Vorlagedateien hingewiesen. Wolfgang Sommergut hat auf Windows Pro diesen Artikel<\/a> ver\u00f6ffentlicht, der sich mit den Unterschieden befasst\u00a0 – einen englischsprachigen Post\u00a0 (Thread-Start 16. Januar 2022) von einem Microsoft-Mitarbeiter mit einem Vergleich der GPOs f\u00fcr Windows 10\/11 sowie sich daran anschlie\u00dfenden Nutzerdiskussionen gibt es in der Techcommunity<\/a>. Microsoft hat zudem einen Beitrag zum Thema erstellt, den ich im Blog-Beitrag Windows 10\/11: Welche Update Gruppenrichtlinien beim Patchmanagement nicht mehr genutzt werden sollen<\/a> aufgegriffen habe.<\/p>\n

Erg\u00e4nzung: Mark Heitbrink hat auf Facebook noch folgenden Kommentar hinterlassen:<\/p>\n

Kein Mensch der ernsthaft mit Richtlinien arbeitet, verwendet einen Client als Editor OS<\/p><\/blockquote>\n

und auf eine Frage nach dem \"warum\" folgendes geantwortet:<\/p>\n

\n
weil es in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) mindesten 2wei Ph\u00e4nomene gab, die immer nur am Client aufgetaucht sind, auf einem Member Server nie.<\/div>\n