badger
Goto Top

"alte" Einstellungen einer GPO bearbeiten bzw. löschen

Hallo Leute,

folgendes Problem:
durch das Einspielen neuer admx-Dateien dürften mal einige Einstellungen weggefallen sein. Zumindest habe ich unter "Zusätzl. Reg.-einst." einige Punkte aufgeführt.

screenshot

Was ist denn nun Best Practice, wie man mit solchen verwaisten Einträgen umgeht (Außer zukünftig bei jedem Update der admx-Dateien schauen, ob was gelöscht wurde)?
Soll man die Registry.pol bearbeiten und die betroffenen Einstellungen löschen? Oder ist das nicht wirklich sicher?

Danke für eurer Feedback!

Patrick

Content-Key: 352567

Url: https://administrator.de/contentid/352567

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: emeriks
emeriks 23.10.2017 um 13:48:08 Uhr
Goto Top
Hi,
das einfachste wäre doch,
  • bei Verwendung eines Central Store: temporär die alten ADMX wieder bereitzustellen und die GPO zu bearbeiten
  • ohne Central Store: Eine Machine (z.B. VM) mit den alten ADMX vorhalten + lokalem RSAT. Auf dieser VM die GPO's bearbeiten

Ansonsten sind diese alten Einträge nicht störend: Entscheidend ist sowieso der Client, welchen Updatestand er hat. Wenn man schon die neuen ADMX zur Bearbeitung der GPO's verwendet, der Client aber noch einen älteren Update-Stand hat, dann jucken diesem die neuen Einstellungen aus diesen GPO u.U. gar nicht (bei vollkommen neuen Funktionen), bzw. er wird brav die alten Einstellungen aus der registry.pol auswerten und anwenden.

E.
Mitglied: Badger
Badger 23.10.2017 um 14:09:22 Uhr
Goto Top
Hallo emeriks,

ich verwende einen Central Store.

Das "Problem" dabei: ich habe absolut keine Ahnung mehr, welche Version von admx Files das waren, wo diese Einstellungen noch vorhanden waren.
Mir sind diese Werte nur erst jetzt bewusst aufgefallen.

Nachdem ich mittlerweile nur mehr Win 10 Clients habe, werden diese Einstellungen (vermutlich) überflüssig sein. Daher hätte ich nun nach einer Lösung gesucht, diese (der Ordnung halber) zu löschen.

Grüße
Patrick
Mitglied: emeriks
emeriks 23.10.2017 um 14:13:58 Uhr
Goto Top
Du könntest auf den Clients suchen. Diese haben auch ein Verzeichnis %Systemroot%\Policydefinitions
Mitglied: Badger
Badger 23.10.2017 um 16:42:32 Uhr
Goto Top
Hab jetzt auf den Clients die Definitionen durchsucht und mir auch alle erdenklichen admx-files der letzen 10 Jahre runtergeladen und durchsucht.
Fand absolut nichts, was die PolicyServers regelt...

Grüße
Patrick
Mitglied: emeriks
emeriks 23.10.2017 um 17:02:19 Uhr
Goto Top
Mitglied: Badger
Badger 24.10.2017 aktualisiert um 08:22:11 Uhr
Goto Top
Danke für deine Hilfe!

Jetzt bin ich mal einen Schritt weiter:
Die unter "Zusätzl. Reg.-einstl." angezeigten Einstellungen sind eigentlich jene, die ich unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel/Zertifikatdienstclient - Zertifikatregistrierungsrichtlinie eingetragen habe.
Wenn ich dort Werte ändere, werden diese auch unter "Zusätzl. Reg.-einstl." geändert.

Allerdings habe ich keine Ahnung, warum das so ist. Der "Trick" mit dem OK aus dem oben geposteten Link funktioniert hier leider nicht.

Grüße
Patrick

P.S: Der Server ist ein SBS2011 (2008R2).

EDIT:
Werde am Abend mal diesen Hotfix probieren. Vlt. führt mich dieser zum Ziel!
Mitglied: Badger
Badger 24.10.2017 um 21:09:11 Uhr
Goto Top
Zitat von @Badger:
Werde am Abend mal diesen Hotfix probieren. Vlt. führt mich dieser zum Ziel!

Fail.... "Das Update ist nicht für ihren Computer geeignet" face-sad