15

ADMX ADML Templates updaten

Wer in Unternehmen Windows 10 einsetzt, muss seine Gruppenrichtlinien aktuell halten. Wie man die ADMX ADML Templates updaten kann, seht ihr hier. Administrative Templates sind eine Sammlung von Registry Settings, die uns erlauben den Computer zu steuern. Seit der Einführung von Windows 10, bringt Microsoft circa alle 6 Monate ein neues Feature Upgrade auf den Markt. Zum Beispiel dieses Beitrags ist die neueste Version “Windows 10 1709“. Dieses beinhaltet natürlich neue Features und Einstellungen. Um diese steuern zu können, benötigt man natürlich neue Gruppenrichtlinien, also neue ADMX ADML Templates. Diese müssen auf dem Domain Controller (DC) aktualisiert werden.

472301 / Pixabay

 

Unterschied ADMX ADML Templates

Viele fragen sich, was der Unterschied zwischen den beiden Datei-Typen ist.  Das ist aber ganz einfach zu beantworten.

ADMX – Dateien

Die ADMX Dateien sind die Dateien, die die eigentlichen “Settings” beinhalten. Diese lassen uns die Konfigurationen auf den Domain-Controllern vornehmen. Das sind also die wirklich wichtigen Dateien, die wir für ein Update der GPO´s benötigen.

ADML – Dateien

Das sind die dazugehörigen Sprachdateien zu den Schablonen. Also lediglich Übersetzungen. Allerdings erhalten wir eine Fehlermeldung wie diese, wenn wir die Sprachdateien nicht mit updaten. Es ist also wichtig, die Sprachdateien für die genutzte Sprache mit zu installieren. Die Sprachdateien für “Englisch US” sollten immer mit kopiert werden.

 

ADMX ADML Templates updaten / aktualisieren

Damit die Dateien aktualisiert werden können, und wir neue Einstellungen für das Windows Betriebssystem oder andere Produkte erhalten, müssen die administrativen Templates erweitert und aktualisiert werden. Hierzu sind verschiedene Schritte notwendig, wie das ersetzen der alten Dateien durch die neuen Templates. Eigentlich sind heir nur zwei wichtige Schritte zu tun:

  1. Neue Templates herunterladen
  2. Dateien überschrieben und aktualisieren

Eine Step-By-Step Anleitung haben wir nachfolgend.

 

Neue Templates herunterladen

Um beginnen zu können, müssen wir die aktuellsten ADMX ADML Templates herunterladen. Microsoft stellt uns hier alle benötigten Dateien und Downloads bereit. Ich empfehle die Downloads immer bei Microsoft zu tätigen, beziehungsweise bei einer vertrauenswürdigen Quelle.

https://www.microsoft.com/en-US/download/details.aspx?id=56121

Achtung! Der oben stehende Link zum Download ist eventuell nicht mehr aktuell. Die neuesten Gruppenrichtlinien für Windows finden Sie trotzdem bei uns:

Neue Gruppenrichtlinien (ADMX/ADML)

admx adml download

 

Templates installieren und entpacken

Microsoft liefert uns immer ein .msi Datei zur Installation auf Windows. Diese .msi-Datei starten und installieren wir:

Jetzt entpackt der Installer die Dateien in “C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\
(Der Pfad, beziehungsweise Name kann sich je nach Windows 10 Version unterscheiden)

admx adml templates update gpo

In diesem Pfad gibt es jetzt den Ordner “PolicyDefinitions” welcher alle benötigten Dateien enthält. Dieser Ordner spielt für uns eine große Rolle.

 

ADMX ADML Templates auf Domain Controller aktualisieren

Um die Gruppenrichtlinien auf dem Domain Controller zu aktualisieren, benötigen wir den entpackten Ordner “PolicyDefinitions“. Dieser beinhaltet in erster Ebene die verschiedenen .admx-Dateien. Außerdem gibt es für jede Sprache einen Unterordner mit den .adml-Dateien, welche die Texte und Übersetzungen beinhalten.

Um nun das Template Update durchzuführen, müssen wir die admx-Dateien von unserem entpackten Ordner auf den Domain-Controller kopieren. Und zwar in den PolicyDefinitions-Ordner.

Quelle
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\PolicyDefinitions

Ziel
\\your.domain\SYSVOL\your.domain\Policies\PolicyDefinitions

Oft gibt es aber keine Berechtigung auf das Share, selbst wenn man Domänen-Administrator ist. Das ist kein Problem. Hier muss man das Update einfach lokal auf dem Domain Controller durchführen. Hier liegt der Central Store für Administrative Vorlagen unter folgendem Pfad:

C:\Windows\SYSVOL\sysvol\YOUR.DOMAIN\Policies\PolicyDefinitions

Dieser Ordner ist der GLEICHE wie auf dem Share, nur dass wir eben lokal auf dem DC arbeiten und das Gruppenrichtlinien Update durchführen.

Durch das Kopieren werden quasi die alten Dateien mit den neuen Policy-Objekten überschrieben und das GPO Update ist geschehen. Natürlich müsst ihr die alten Dateien durch die neuen Dateien ersetzen, damit wir die neuen Windows 10 Features nutzen können.

HINWEIS: Das “your.domain” muss natürlich durch euren Domänen-Namen ersetzt werden. Aber spätestens beim Navigieren in den Pfad werdet ihr feststellen, dass es “your.domain” natürlich nicht gibt.

 

Brauche ich alle Sprachen?

In den “PolicyDefinitions” gibt es für jede Sprache beispielsweise ein “de-DE” oder “en-US“. Ihr braucht natürlich nur die Ordner kopieren, deren Sprache ihr auch verwendet. Wenn ihr auf Nummer sicher gehen wollt schadet es aber nicht, wenn ihr alle kopiert. 🙂

 

Die neuen Gruppenrichtlinien sind nun auf dem Domain Controller verfügbar, einsatzbereit und die ADMX ADML Templates sind auf dem neuesten Stand. Je nach Größe und Einstellungen kann es einige Zeit dauern, bis die Domain Controller die neuen Templates untereinander repliziert haben. Ich hoffe wir konnten euch die Vorgehensweise zum GPO Update verständlich erklären. 🙂

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

  • Mayer sagt:

    Wenn wir die neuen ADMX und ADML Template-Dateien überschreiben, werden dann auch die zuvor konfigurierten Gruppenrichtilinien zurückgesetzt auf “nicht konfiguriert”?
    Ist das auch von Build 1806 auf 1903 so?

    Wenn in der Domäne teils Windows 7 und Windows 10 Computer vorhanden sind, und es werden die Windows 10 Template-Dateien eingespielt und überschreiben, sind dann auch die Windows 7 Gruppenrichtlinien entfernt und “nicht konfiguriert”?

    • Hallo,

      zu deiner Frage: nein.
      Wenn ihr die ADMX und ADML Dateien überschreiben lässt, so werden die gesetzten Einstellungen davon nicht betroffen sein.
      Auch die Windows 7 Einstellungen sind davon nicht betroffen.

      Dies sind lediglich die “Templates”, aber nicht die “Einstellungen” die verändert werden.
      Also keine Sorge. 🙂

      Gruß Johannes

  • Michi sagt:

    Hallo Johannes,

    erstmal vielen Dank für Deine Erklärungen. Nun zur Frage: sind in den aktuellen Templates (dzt. Win10 1903) auch rückwirkend die Templates aller vorherigen Win10 Versionen enthalten, oder muss ich meinen Server 2012 (frisch aufgesetzt) mit einem Template Update nach dem anderen Updaten?

    Warum die Frage: wir haben unterschiedliche Win10 Versionen im Einsatz.
    Vielen Dank und schöne Grüße!

    • Hallo Michi,

      mit den neuesten Templates sind alle Windows 10 Features abgedeckt.

      Da Windows 10 1903 die “alten/vorherigen” Features der Windows 10 Builds beinhaltet, sind diese natürlich mit in den neuen Templates dabei.

      Also die Windows 10 1903 ADMX Templates includieren die Templates für 1809 oder früher.

      Vorschlag: Windows Server 2012 ist nicht mehr zeitgemäß, ich würde vorschlagen ein neueres Server-OS wie Server 2016 oder 2019 zu installieren. Investition in die Zukunft und auch ein Sicherheitsaspekt.

      Gruß Johannes

  • Dennis sagt:

    Hallo,

    wenn ich die Templates in das Windows\PolicyDefinitions Verzeichnise kopieren möchte, bekomme ich eine Fehlermeldung, dass ich nicht über die benötigen Berechtigungen verfüge. Auch das Besitz übernehmen für den Domänen Administrator hat nicht geholfen. Mache ich da etwas falsch?

    LG

    • Hallo @Dennis,

      folgender Pfad ist nur ein Share / Freigabe:
      "\\your.domain\SYSVOL\your.domain\Policies\PolicyDefinitions"

      Sollte hierauf keine Berechtigung bestehen, kannst du auch lokal auf einem deiner Domain Controller das Update fahren:
      "C:\Windows\SYSVOL\sysvol\YOUR.DOMAIN\Policies\PolicyDefinitions"

      Hier sollte es auf jeden Fall klappen. 🙂
      Gruß Johannes

      • Dennis sagt:

        Hallo Johannes,
        danke für den Tipp!

        Leider komme ich nur bis “\\your.domain\SYSVOL\your.domain\Policies”. Sobald ich das \PolicyDefinitions anfüge, bekomme ich eine Fehlermeldung das dieser Pfad nicht funktioniert bzw. nicht darauf zugegriffen werden kann.

        Muss man den Share hierfür noch irgendwie “erweitern”?

        • Hallo Dennis,

          bitte versuche lokal auf dem Domain Controller zu arbeiten, also nicht mit dem Share.
          Melde dich auf dem Domain-Controller an, und navigiere zu:
          “C:\Windows\SYSVOL\sysvol\YOUR.DOMAIN\Policies\PolicyDefinitions”
          Dort sollte dein Update funktionieren.

          Dein Share sollte aber trotzdem erreichbar sein. “your.domain” musst du natürlich durch euren Domain-Namen ersetzen.

          Gruß Johannes

          • Dennis sagt:

            Hallo Johannes,

            “your.domain” habe ich natürlich mit unserem Domain-Name ersetzt. 🙂 Andere Shares funktioneren auch – nur leider nicht „C:\Windows\SYSVOL\sysvol\YOUR.DOMAIN\Policies\PolicyDefinitions“

            Fehlermeldung:
            “Die Datei “…..\Policies\PolicyDefinitions” wurde nicht gefunden. Überprüfen Sie die Schreibweise, und wiederholen Sie den Vorgang.

            Liegt es daran, das es ein Windows Server 2012 R2 ist und dieser Share in der Version einfach nicht existiert?

          • Hallo Dennis,

            Wenn ihr keinen “Central Store” im Einsatz habt, dann liegen die Gruppenrichtlinien-Templates unter folgenden Pfad LOKAL auf dem Domain-Controller:
            C:\Windows\PolicyDefinitions
            Dann muss das Gruppenrichtlinien Update hier gemacht werden.

            Achtung:
            Wenn ihr mehrere Domain Controller im Einsatz habt, dann muss das GPO Update auf jedem einzelnen Controller unter diesem Pfad gemacht werden, da dieser Ordner nicht auf alle anderen DC´s repliziert wird.

            Beispiel:
            Du machst das Update auf dem DC1, aber ein Client meldet sich auf dem DC2 an, dann kann es unter Umständen sein, dass die Einstellungen nicht “ziehen”.

            Ich hoffe dir geholfen zu haben. 🙂

          • Julian sagt:

            Hallo Dennis, der Pfad funktioniert nicht, weil der Ordner “PolicyDefinitions” nicht standardmäßig angelegt. Leg ihn einfach an und kopiere dann die Dateien herein.

  • Bill sagt:

    Hallo Johannes, es gibt ja zusätzlich zu den ADMX File die Group Policy Settings Spreadsheets, wo man Veränderungen sehen kann.
    Wie geht man hier am besten vor? Wie findet man heraus, ob sich eine GPO verändert hat und man eventuell etwas an den Einstellungen ändern muss. Danke und Gruß Bill

  • Julian sagt:

    Vielen Dank für den Beitrag! Er hat mir sehr weitergeholfen!

  • sidebar
    >