Windows 10 Gruppenrichtlinien: Administrative Templates aktualisieren und mögliche Fehler

Windows 10 Logo

Mit Windows Vista bzw. Windows Server 2008 wurden die administrativen Templates für die Gruppenrichtlinien überarbeitet. Seitdem werden sie im XML-Format als ADMX-Datei bereitgestellt. Die dazugehörigen Sprachdateien stehen als ADML-Dateien zur Verfügung. Innerhalb einer Domäne werden die administrativen Vorlagen an einer zentralen Stelle auf den einzelnen Domain Controllern (DCs) abgelegt: “\\domain.fqdn\SYSVOL\domain.fqdn\Policies\PolicyDefinitions”. Dieser zentrale Speicherort wird im Englischen “Central Store” genannt. Durch dieses Feature wird die Pflege der administrativen Vorlagen deutlich vereinfacht, da der Central Store automatisch über alle DCs hinweg repliziert wird.

Sind jetzt neue administrative Templates verfügbar, beispielsweise beim Erscheinen einer neuen Windows-Version, müssen die alten Vorlagen in der Theorie nur mit den neuen Templates überschrieben werden. Doch in der Praxis funktioniert dies leider nicht immer so einfach. Beim Update der DCs mit den administrativen Templates von Windows 10 gibt es einige Ungereimtheiten und Fehler, die ich nachfolgend genauer beschreiben möchte.

Die administrativen Templates für Windows 10 können direkt bei Microsoft heruntergeladen werden. Neben der RTM-Version sind auch die Vorlagen von Windows 10 Version 1511 erhältlich. Mit der “Group Policy Settings Reference” Excel-Tabelle stellt Microsoft darüber hinaus eine Übersicht aller Gruppenrichtlinien zur Verfügung. Diese ist aktuell aber noch auf dem Stand von Windows 10 RTM, die Änderungen von Version 1511 sind noch nicht enthalten.

Administrative Templates Windows 10 RTM

Nach dem Einfügen der neuen administrativen Templates von Windows 10 RTM in den Central Store erscheint folgende Fehlermeldung:

Namespace ‘Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined as the target namespace for another file in the store.

File \\domain.fqdn\sysvol\domain.fqdn\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, line 5, column 110

Microsoft.Policies.Sensors.WindowsLocationProvider

Der Fehler wird durch eine umbenannte Vorlage verursacht, die jetzt zwei Mal vorhanden ist. Folgendermaßen kann der Fehler beseitigt werden:

  • Die Windows-8-Vorlage “LocationProviderADM.admx” und die dazugehörige Sprachdatei “LocationProviderADM.adml” löschen
  • Die Windows-10-Vorlage “Microsoft-Windows-Geolocation-WLPAdm.admx” zu “LocationProviderADM.admx” umbenennen.
  • Die Windows-10-Sprachdatei von “Microsoft-Windows-Geolocation-WLPAdm.adml” in “LocationProviderADM.adml” umbenennen.

Auch Microsoft empfiehlt dieses Vorgehen.

Darüber hinaus kann zusätzlich der folgende Fehler auftreten:

Resource ‘$(string.SUPPORTED_Vista_through_Win7)’ referenced in attribute displayName could not be found.

File \\domain.fqdn\sysvol\domain.fqdn\Policies\PolicyDefinitions\PreviousVersions.admx, line 11, column 111.

Dieser wurd durch eine fehlende Übersetzung in der “PreviousVersions.adml” hervorgerufen. In der deutschen Übersetzung (Ordner “de-DE”) fehlt zwischen Zeile 56 und 57 eine Zeile. Zur Fehlerbehebung entweder die fehlende Zeile

<string id="SUPPORTED_Vista_through_Win7">Windows Vista durch Windows 7 unterstützt</string>

manuell einfügen oder die alte “PreviousVersions.adml” wiederherstellen. Alternativ kann auch die neue “PreviousVersions.adml” von Windows 10 Version 1511 genutzt werden, die ebenfalls wieder in Ordnung ist. Offensichtlich scheint diese Zeile auch bei ein paar anderen Sprachen zu fehlen.

Administrative Templates Windows 10 Version 1511

Der folgende Fehler lässt darauf schließen, dass offensichtlich auch hier eine administrative Vorlage umbenannt wurde.

Namespace ‘Microsoft.Policies.WindowsStore’ is already defined as the target namespace for another file in the store.

File \\domain.fqdn\sysvol\domain.fqdn\Policies\PolicyDefinitions\WinStoreUI.admx, line 4, column 80

Die schuldige Vorlage ist schnell erkannt: “WinStoreUI.admx” wurde in Version 1511 in “WindowsStore.admx” umbenannt.

  • Die Windows-8-Vorlage “WinStoreUI.admx” und die dazugehörige Sprachdatei “WinStoreUI.adml” löschen
  • Die Windows-10-Vorlage “WindowsStore.admx” zu “WinStoreUI.admx” umbenennen.
  • Die Windows-10-Sprachdatei von “WindowsStore.adml” in “WinStoreUI.adml” umbenennen.

Bei Microsoft existiert noch kein Artikel über den Fehler, dafür aber z.B. hier.

OneDrive-Einstellungen wurden entfernt

Normalerweise müssen die alten administrativen Vorlagen einfach nur mit den neuen überschrieben werden. Dabei sollten alle bisher vorhandenen Einstellungen nach wie vor verfügbar sein. Auf zwei OneDrive-Einstellungen trifft dies jedoch nicht zu.

Bei den administrativen Templates von Windows 8.1 Update stehen folgende drei Einstellungen zur Verfügung:

Ab Windows 10 ist nur noch die Einstellung “Prevent the usage of OneDrive for file storage” vorhanden. Dieses Verhalten ist bei Microsoft nicht dokumentiert, wird aber z.B. hier oder hier erwähnt.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

6 Antworten

  1. ATR sagt:

    @Tobi
    Mal eine ganz “blöde” Frage: Windows Systemdateien (u.a. ADMX-Files) werden durch die Windows Resource Protection vor dem Löschen geschützt, ersetzen kann und darf sie nur ein Benutzerkonto mit Namen “Trusted Installer”. Als Benutzer und auch als Admin bin ich aber kein Trusted Installer – wie also Löschen bzw. überschreiben (wenn es die Install-Routine der ADMX-Dateien nicht selbst erledigt – mit Trusted Installer-Rechten, weil ja der Windows Installer benutzt wird, der ja Trusted Installer ist).

    • Tobi sagt:

      Natürlich kann man die ADMX-Files im SYSVOL-Ordner auf einem Domain Controller von Hand ersetzen.

      Du sprichst glaube ich von den in Windows eingebauten Gruppenrichtlinien. Das ist klar da kann man nichts so einfach austauschen, muss man aber auch nicht.

  2. ATR sagt:

    @ Tobi
    Nein, ich meine nicht die Gruppenrichtlinien (besser: die GPOs), ich meinte schon die Vorlagen-Dateien (= ADMX und ADML). Da greift die WRP und gibt die entsprechende Fehlermeldung.
    In Deiner Antwort hast Du auf diesen Artikel verwiesen, den hatte ich vorher gelesen und genau deshalb einen Kommentar verfasst. Ich habe gelesen, das man die ADMX / ADML-Files von Hand ersetzen soll – nur bitte wie denn????
    Kopiert / verschiebt man die neuen Files (aus der exe von Windows 10 (ADMX 1511) gibt’s die Fehlermeldung mit dem Trusted Installer, will man die Dateien im SYSVOL löschen gibt’s die Fehlermeldung mit dem Trusted Installer, willman sie im “Auslieferungsverzeichnis” (%Systemroot%\Policy Definitions) ersetzen, gibt’s auch die Fehlermeldung. Iss ja nicht so, das ich nicht schon versucht hätte, nur die WRP lässt mich halt nicht. Auch in anderen Posts / Blogs wird immer geschrieben, “man solle die Dateien ersetzen / überschreiben..” nur wie, wenn einen das System nicht lässt???

    • Tobi sagt:

      Sorry ich kann dir immer noch nicht folgen. Ok nochmal von vorne. Wo (Client, Server, …) möchtest du das genau machen?

      Aus der Angabe von “%Systemroot%\PolicyDefinitions” schließe ich, dass du es auf einem Windows-10-Client machen möchtest, was aber falsch ist und nicht geht, so wie du ja bereits beschrieben hast. Die administrativen Vorlagen werden bei einem entsprechenden Windows-Update automatisch auf die neueste Version gebracht. Mein Artikel bezieht sich lediglich auf die administrativen Vorlagen auf dem Domain Controller in einer ActiveDirectory-Domäne.

  3. ATR sagt:

    Hallo Tobi
    Ort: SYSVOL – Das gibts nur auf einem DomainController – ergo = Server
    2. Ort: C:\Windows\Policy Definitions ist das “Auslieferungsverzeichnis” für die ADMX / ADML-Vorlagen sowohl für Server als auch für Client
    3. Ort: Der “Central Store” auf einem DC = %Systemroot%\SYSVOL\SYSVL\FQDN Domain\Policies\PolicyDefinitions\
    Die dort reinkopierten oder reinverschobenen ADMX- und ADML-Vorlagen aus dem Auslieferungsverzeichnis mögen sich über Updates auf einem DC aktualisieren – nicht aber die neuen ADMX / ADML-Dateien für Windows 10. Die sind auf einem Server 2012 / R2 ja noch gar nicht vorhanden.
    Entpackt man die EXE-Datei der ADMX-Vorlagen der Build 1511, werden sie in einem separaten Verzeichnis unter Programme abgelegt. Der anschließende Kopiervorgang kopiert zwar die neuen Vorlagen rein, ersetzt aber nicht immer automatisch die alten Vorlagen.
    Zudem sind 6 dieser Vorlagenaktualisierungen Fehlerhaft und machen nach Einspielung die Gruppenrichtlinienverwaltung unbrauchbar. Neu erstellte GPO enthalten dann nur noch die durch die fehlerhaften ADMX-/ADML-Dateien verursachten Fehlermeldungen und keinerlei Einstellungen mehr.
    Will ich nun – wie in den diversen Blogs beschrieben – diese fehlerhaften Vorlagen durch die ursprünglichen Dateien aus dem Auslieferungsverzeichnis ersetzen, hagelt es jedesmal die Fehlermeldung “Sie benötigen die Berechtigungen als Trusted Installer” die ich nicht habe und die Dateien lassen sich nicht ersetzen (Da die WRP ihre Hand drauf hat).
    Wie ersetzt man diese Dateien “per Hand”? Ich krieg’s nicht hin, weil ich scheitere immer an der Trusted Installer Fehlermeldung. Brauchts dazu mehr als DomainAdmin-Berechtigungen??

    • Tobi sagt:

      Ok jetzt hab ichs verstanden 😉

      Ich denke der Fehler bei dir liegt darin, dass du versuchst die Dateien aus dem Auslieferungsverzeichnis nach SYSVOL zu kopieren. Hier könnte es sein, dass die Berechtigungen übernommen werden wollen und du deswegen Probleme bekommst.

      Machs einfach so wie von mir beschrieben. Habe ich schon zig Ma so gemacht und hatte nie Probleme.

      1. Neue administrativen Templates bei Microsoft downloaden und entpacken, z.B. auf dem Desktop.
      2. Entpackte Templates kopieren und nach SYSVOL einfügen.
      3. Alte Templates, die nicht ersetzt werden, können von Hand gelöscht werden.
      4. Die fehlerhaften Dateien wie von mir beschrieben von Hand löschen bzw. umbennen.
      5. Fertig.

      Domainadmin-Berechtigungen reichen aus, der Trusted Installer sollte keine Probleme machen. Diese Berechtigung ist lediglich im Auslieferungsverzeichnis vorhanden und kommt bei meinem Vorgehen überhaupt nicht vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *