Definieren von administrativen Vorlagen

  • 7 Minuten

Administrative Vorlagendateien stellen die meisten der verfügbaren GPO-Einstellungen bereit, die bestimmte Registrierungsschlüssel ändern. Die Verwendung von administrativen Vorlagen wird als registrierungsbasierte Richtlinie bezeichnet, da alle Einstellungen, die Sie in administrativen Vorlagen konfigurieren, zu Änderungen der Registrierung führen. Bei vielen Apps ist die Verwendung einer registrierungsbasierten Richtlinie die einfachste und optimale Methode zur Unterstützung der zentralisierten Verwaltung von Richtlinieneinstellungen.

Übersicht über administrative Vorlagen

Mithilfe von administrativen Vorlagen können Sie die Umgebung eines Betriebssystems und die Benutzerfunktionalität steuern. Es gilt zwei Arten von administrativen Vorlagen:

  • Computerbezogene Einstellungen
  • Benutzerbezogene Einstellungen

A screenshot of the Group Policy Management Editor. The administrator has expanded the Administrative Templates node for both the Computer Configuration and User Configuration nodes.

Wenn Sie Einstellungen im Knoten "Administrative Vorlagen" des GPOs konfigurieren, nehmen Sie Änderungen an der Registrierung vor. Administrative Vorlagen weisen folgende Merkmale auf:

  • Sie verfügen über untergeordnete Knoten, die bestimmten Bereichen der Umgebung entsprechen, z. B. Netzwerk, System und Windows-Komponenten.
  • Mit den Einstellungen im Computerabschnitt des Knotens "Administrative Vorlagen" wird die HKEY_LOCAL_MACHINE-Struktur in der Registrierung bearbeitet.
  • Mit den Einstellungen im Benutzerabschnitt des Knotens "Administrative Vorlagen" wird die HKEY_CURRENT_USER-Struktur in der Registrierung bearbeitet.
  • Einige Einstellungen sind für Benutzer und Computer vorhanden.

Wichtig

Im Fall von in Konflikt stehenden Einstellungen hat die Einstellung des Computers Vorrang.

  • Einige Einstellungen sind nur für bestimmte Versionen von Windows-Betriebssystemen verfügbar. Sie können beispielsweise mehrere neue Einstellungen nur in Windows 10 anwenden.

Tipp

Um festzustellen, welche Windows-Versionen unterstützt werden, wählen Sie die gewünschte Einstellung und dann die Registerkarte "Erweitert" aus.

In der folgenden Tabelle wird die Organisation des Knotens "Administrative Vorlagen" ausführlich erläutert.

Abschnitt "Administrative Vorlagen"

Einstellungen

Computerkonfiguration

Systemsteuerung, Netzwerk, Drucker, Server, Startmenü und Taskleiste, System, Windows-Komponenten, Alle Einstellungen

Benutzerkonfiguration

Systemsteuerung, Desktop, Netzwerk, Freigegebene Ordner, Startmenü und Taskleiste, System, Windows-Komponenten, Alle Einstellungen

Die meisten Knoten enthalten mehrere Unterordner, in denen Sie Einstellungen in logischen Gruppierungen organisieren können. Auch bei dieser Organisation ist es möglicherweise schwierig, die jeweils benötigte Einstellung zu ermitteln.

Tipp

Der Knoten "Alle Einstellungen" enthält eine alphabetisch sortierte Liste aller Einstellungen, die in allen anderen Knoten enthalten sind.

Was sind ADMX- und ADML-Dateien?

Alle Einstellungen im Knoten "Administrative Vorlagen" eines GPOs werden in Dateien gespeichert. Alle derzeit unterstützten Betriebssysteme speichern die Einstellungen in ADMX-Dateien.

Diese Einstellungen verwenden ein standardisiertes XML-Dateiformat, das als ADMX-Dateien bezeichnet wird. Windows speichert ADMX-Dateien standardmäßig im Ordner „Windows\PolicyDefinitions“. Sie können diese Dateien aber auch an einem zentralen Speicherort speichern.

Die ADMX-Dateien sind sprachneutral. Die Klartextbeschreibungen der Einstellungen sind nicht Teil der ADMX-Dateien, sondern werden in sprachspezifischen ADML-Dateien gespeichert. Dies bedeutet, dass Administratoren ein GPO überprüfen und die Richtlinienbeschreibungen in ihrer eigenen Sprache betrachten können, da sie jeweils ihre eigenen sprachspezifischen ADML-Dateien verwenden können.

Der Ordner "PolicyDefinitions" enthält Unterordner, in denen die ADML-Dateien gespeichert werden. Jede Sprache verfügt über einen eigenen Ordner. Im Ordner "en-US" werden beispielsweise die englischen Dateien, im Ordner "es-ES" die spanischen Dateien gespeichert. Standardmäßig sind nur die ADML-Sprachdateien für die Sprache des installierten Betriebssystems vorhanden.

Was ist der zentrale Speicher?

In domänenbasierten Unternehmen können Sie einen zentralen Speicherort für ADMX-Dateien erstellen, auf den jeder mit Berechtigungen zum Erstellen oder Bearbeiten von GPOs zugreifen kann. Der Gruppenrichtlinienverwaltungs-Editor liest die Richtlinieneinstellungen von administrativen Vorlagen automatisch aus den ADMX-Dateien im zentralen Speicher und zeigt diese an. Die lokal gespeicherten ADMX-Dateien werden dann ignoriert. Wenn der Domänencontroller oder der zentrale Speicher nicht verfügbar ist, verwendet der Gruppenrichtlinienverwaltungs-Editor den lokalen Speicher.

Das Erstellen eines zentralen Speichers bietet folgende Vorteile:

  • Damit wird sichergestellt, dass die Einstellungen im Knoten Administrative Vorlagen immer identisch sind, wenn ein GPO bearbeitet wird.
  • Wenn Microsoft neue administrative Vorlagen für neue Betriebssysteme oder Apps, z. B. Office, veröffentlicht, müssen Sie nur die administrativen Vorlagendateien an einem Speicherort aktualisieren.

Der zentrale Speicher muss manuell erstellt und manuell auf einem Domänencontroller aktualisiert werden. Die Domänencontroller verwenden dann die AD DS Replikation und DFS-R, um die Daten zu replizieren.

Erstellen Sie zum Erstellen eines zentralen Speichers für ADMX- und ADML-Dateien einen Ordner mit dem Namen "PolicyDefinitions" am Speicherort \\FQDN\SYSVOL\FQDN\Policies, wobei FQDN der Domänenname für die AD DS Domäne ist.

Um beispielsweise einen zentralen Speicher für Domäne Seattle.Contoso.com zu erstellen, erstellen Sie einen PolicyDefinitions-Ordner an folgendem Speicherort:

\\Seattle.Contoso.com\SYSVOL\Seattle.Contoso.com\policies

Ein Administrator muss alle Dateien und Unterordner des Ordners "PolicyDefinitions" kopieren, der sich auf einem Windows-Computer im Ordner "Windows" befindet. Im Ordner "PolicyDefinitions" werden alle ADMX-Dateien gespeichert. Die ADML-Dateien für alle auf dem Clientcomputer aktivierten Sprachen werden in entsprechenden Unterordnern gespeichert. Auf einem Windows Server-Computer, auf dem Englisch aktiviert ist, enthält "C:\Windows\PolicyDefinitions" beispielsweise die ADMX-Dateien, während der Unterordner "en-US" die ADML-Dateien mit den englischen Beschreibungen für die in den ADMX-Dateien definierten Einstellungen enthält.

Wichtig

Sie müssen den Ordner "PolicyDefinitions" für jedes Featureupdate und für jede andere Software (z. B. ADMX-Dateien für Windows 10 Version 2004 und Microsoft Office 2019) aktualisieren.