Im Rahmen eines Kundenauftrages beschäftigte ich mich in den letzten Wochen intensiv mit der Erstellung von Gruppenrichtlinien für Windows 10.
Das einiges geändert wurde war mir klar. Aber was man so alles tun muss…..
Da war unter anderem auch nötig, einFixup auf einem Server 2012R2 um überhaupt erst einmal die ADMX-Templates für das aktuelle Release installieren zu können (Gruppenrichtlinienverwaltungs-Tools-SnapIn).
Grundwissen: die Sicherheitsfilterung ist nicht mehr sinnvoll. Sie ist mitunter völlig wirkungslos und ausgehebelt (siehe Heise-Link)
Danach ging es los: das gruselige Suchen nach den Settings. Dabei unter der Maßgabe und dem Wissen, dass etliche Settings nur noch in der Enterprise-Version abgeschaltet werden können. Man muss lernen das eben manchmal doch die „0“ eine „1“ ist (zumindest auf der Policy etwas einstellt und sich dies bei der PRO auswirkt).
Weiterhin kommen etliche Mißverständliche Optionen hinzu; das Motto „doppelte Verneinung heisst ja“ ist eine wertvolle Erkennntnis dabei (Deaktivieren der Policy mit folgenden Deaktivieren der Optionsauswahl).
Weiterhin gibt es etliche Stellen wo Features wie Cortana separat angepasst werden müssen. Da kommen dann noch Dinge wie LocationTracking, WifiSense und Co dazu. Ein Wertvoller Link für mich dabei: https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf
Meine Empfehlung sind die nun folgenden:
- Umdenken: Anstelle der Sicherheistfilterung mit den GPO-Extensions sauber arbeiten (Zielgruppenadressierungen)
- Alle Policys kpl. neu bauen (Review & Discuss). Hier helfen Vererbungsunterbrechungen in der OU weiter
- Testen der Settings (insbesondere App-Steuerungs-Optionen)
- Releases/Branches beachten für die ADMX-Templates
- WMI-Filter abschaffen und hier ebenfalls mit den GPO-Extensions arbeiten (
Ich hoffe mit diesem Beitrag auf regen Zuspruch zu treffen. Alle weiteren Tipps, Tricks, Kniffe und Ideen auf Nachfrage.