looser27
Goto Top

Best practice um veraltete ADM(X) Templates entfernen

Moin,

ich habe den Job gewechselt und ein neues AD übernommen. Hier befinden sich noch jede Menge Leichen bei den ADM(X) Files.
Gibt es ein Best Practice, um das sauber zu bekommen, oder einfach die entsprechenden Files manuell löschen?
Wie geht Ihr vor? Es geht in diesem Fall um Office 2010, welches abgelöst wurde.

Gruß

Looser

Content-ID: 3533094646

Url: https://administrator.de/contentid/3533094646

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

2423392070
2423392070 03.08.2022 um 13:53:41 Uhr
Goto Top
Alle paar Tage eine Vorlage löschen und wenn nichts hängt, die nächste. Backup vorher machen.

Eigentlich kann man sie so löschen, wie sie reinkopiert werden. Uneigentlich...
Looser27
Looser27 03.08.2022 um 13:55:41 Uhr
Goto Top
So in etwa hätte ich das auch gemacht.....ich hab mich nur gefragt, ob jemand einen eleganteren Weg kennt....
2423392070
Lösung 2423392070 03.08.2022 um 14:00:00 Uhr
Goto Top
Nein, ist ein ungepflegtes Thema seitens Microsoft. Auch viele Mythen zu im Internet zu finden.
MS365 und Edge haben das Ganze wieder belebt und nun hoffen wir alle, dass Microsoft es wieder anfasst.
Looser27
Looser27 03.08.2022 um 14:03:29 Uhr
Goto Top
Genau das ist hier nämlich passiert. Man hat von Office 2010 direkt zu 365 inkl. Exchange online gewechselt......
Da muss ich mich jetzt noch reinfuchsen......als erstes mal den DC aufräumen. Danach sehen wir weiter.
erikro
Lösung erikro 03.08.2022 um 14:10:03 Uhr
Goto Top
Moin,

1. Schritt
GPOs aufräumen.

2. Schritt
Zentralen Speicher (\\acme.com\sysvol\acme.com\policies\policydefinitions) leeren. Ja, einfach alles löschen.

3. Schritt
ADMX-Dateien eines möglichst frisch installierten Servers in den zentralen Speicher kopieren.

4. Schritt
Alles andere, was man so braucht in den zentralen Speicher kopieren.

Fertig.

hth

Erik
erikro
Lösung erikro 03.08.2022 um 14:10:41 Uhr
Goto Top
Moin,

Zitat von @2423392070:

Alle paar Tage eine Vorlage löschen und wenn nichts hängt, die nächste. Backup vorher machen.

Was soll denn hängen, wenn eine ADMX nicht mehr da ist?

Liebe Grüße

Erik
Looser27
Looser27 03.08.2022 um 14:14:53 Uhr
Goto Top
Ich habe die ADM(X) Files von Office 2010 (aus dem Beispiel) ja hier noch mal liegen.
Anhand des Dateinamens kann ich diese jetzt aus dem Policies Verzeichnis entfernen. Spannender ist nur das Löschen der ADM Files, da der bisherige Admin hier alle (!) Sprachen installiert hat.......
Aber auch das ist machbar.

Danke Euch.
erikro
erikro 03.08.2022 um 14:20:53 Uhr
Goto Top
Zitat von @Looser27:
Anhand des Dateinamens kann ich diese jetzt aus dem Policies Verzeichnis entfernen. Spannender ist nur das Löschen der ADM Files, da der bisherige Admin hier alle (!) Sprachen installiert hat.......

Kluger Mann. Beim heutigen Mangel an ITlern weiß man ja nie, wer als Nachfolger kommt. face-wink
2423392070
2423392070 03.08.2022 um 14:53:55 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @2423392070:

Alle paar Tage eine Vorlage löschen und wenn nichts hängt, die nächste. Backup vorher machen.

Was soll denn hängen, wenn eine ADMX nicht mehr da ist?

Liebe Grüße

Erik

sce***.dll Prozesse, RSoP-Prozesse, WMI-Blabla, MMC-Sachen, GPO-Gedöns... Irgendwie alles was mit dem Login und Policys zu tun haben kann.
erikro
erikro 03.08.2022 um 14:56:58 Uhr
Goto Top
Zitat von @2423392070:
Zitat von @erikro:
Was soll denn hängen, wenn eine ADMX nicht mehr da ist?
sce*.dll Prozesse, RSoP-Prozesse, WMI-Blabla, MMC-Sachen, GPO-Gedöns... Irgendwie alles was mit dem Login und Policys zu tun haben kann.

Wie soll das gehen? Die ADMX spielen nur im Gruppenrichtlinieneditor die Rolle, dass hier die einzelnen Einträge angezeigt werden. Sie haben nichts mit der Funktionalität der GPOs zu tun. Da hängt nichts, wenn man die löscht.
2423392070
2423392070 03.08.2022 um 15:07:05 Uhr
Goto Top
Dein Gruppenrichtlinieneditor geniert Einstellungen die die Clients bekommen und manchmal nicht wieder richtig vergessen.
Ich habe mir das nicht ausgedacht, sondern dass ist Wissen vom MS Support. Haben im Zuge der Integration der PolicyMaker Produkte in Windows leider selbst solche Erfahrungen gesammelt und es hat eine weile gedauert, bis das raus geeitert war.
erikro
erikro 03.08.2022 um 15:18:29 Uhr
Goto Top
Zitat von @2423392070:

Dein Gruppenrichtlinieneditor geniert Einstellungen die die Clients bekommen und manchmal nicht wieder richtig vergessen.

Das ist richtig. Aber daran ändert sich nichts, wenn ich die entsprechenden ADMX-Dateien lösche. Das hat auf das Verhalten keinen Einfluss.

Ich habe mir das nicht ausgedacht, sondern dass ist Wissen vom MS Support.

Der hat gesagt, dass die von Dir genannten Prozesse "hängen bleiben" können, wenn man ADMX-Dateien löscht. Das glaube ich nicht.

Haben im Zuge der Integration der PolicyMaker Produkte in Windows leider selbst solche Erfahrungen gesammelt und es hat eine weile gedauert, bis das raus geeitert war.

Und was war der PolicyMaker? Ein Gruppenrichtlinieneditor. Klar, der funktionierte natürlich nur dann korrekt, wenn man die korrekten ADMs (konnte der jemals ADMX?) hat.
2423392070
2423392070 03.08.2022 um 15:26:49 Uhr
Goto Top
Bevor Microsoft "GPxyz" macht so, wie Du sie kennst, gab es PolicyMaker, was MS sich gekauft hatte, weil man in dem Sektor nichts hatte.
https://redmondmag.com/articles/2006/10/03/desktop-standard-bought-by-mi ...

Es geht hier auch nicht um Glauben, dazu musst du in die Kirche, Moschee, Synagoge oder zu Telegram gehen. Es geht im einen Ratschlag im Sinne einer Meinung.

So lange Du nicht weißt, welche Templates er hat, ist dein Glauben...
emeriks
emeriks 03.08.2022 um 15:27:21 Uhr
Goto Top
Es ist, wie @erikro schreibt:
ADMX werden ausschließlich für das Erstellen/Editieren von GPO benötigt. Nicht für die Anwendung.
erikro
erikro 03.08.2022 um 15:55:35 Uhr
Goto Top
Zitat von @2423392070:

Bevor Microsoft "GPxyz" macht so, wie Du sie kennst,

Wenn Du wüsstest, was ich alles kenne. face-wink

gab es PolicyMaker, was MS sich gekauft hatte, weil man in dem Sektor nichts hatte.
https://redmondmag.com/articles/2006/10/03/desktop-standard-bought-by-mi ...

Was Du nicht sagst. Und? Ändert das was an der Tatsache, dass das Löschen einer ADMX-Datei keinen Einfluss auf die Funktionalität hat außer auf die des Editors?

Es geht hier auch nicht um Glauben, dazu musst du in die Kirche, Moschee, Synagoge oder zu Telegram gehen.

Was ich nicht glaube, ist, dass ein MS-Supporter so einen Unsinn erzählt.

Es geht im einen Ratschlag im Sinne einer Meinung.

Nee, es geht um Tatsachen und eben nicht um Meinung. Es ist eine Tatsache, dass das Löschen einer ADMX-Datei keinerlei Einfluss darauf hat, ob irgendwelche Anwendungen korrekt funktionieren. Da bleibt nichts hängen. Wenn das nicht so wäre, hätte ich auch dem Kollegen nicht den Weg empfohlen, den ich empfohlen habe.

So lange Du nicht weißt, welche Templates er hat, ist dein Glauben...

Auch das, welche Templates vorhanden sind, ist vollkommen irrelevant. Man kann jede ADMX-Datei gefahrlos löschen. Den einzigen negativen Effekt, den das hat, ist, dass man dann die Einstellungen im Editor nicht mehr sieht und dass man bei den Berichten eine Sektion hat, in denen die Registry-Keys direkt genannt werden, die in der GPO manipuliert werden.
erikro
erikro 03.08.2022 um 15:55:43 Uhr
Goto Top
Zitat von @emeriks:

Es ist, wie @erikro schreibt:
ADMX werden ausschließlich für das Erstellen/Editieren von GPO benötigt. Nicht für die Anwendung.

Danke
2423392070
2423392070 03.08.2022 um 16:05:53 Uhr
Goto Top
Zitat von @erikro:

Da bleibt nichts hängen. Wenn das nicht so wäre, hätte ich auch dem Kollegen nicht den Weg empfohlen, den ich empfohlen habe.


Ich verstehe. Das setzt allerdings voraus, dass du weiß welche Vorlagen er einsetzt und was die machen? Woher weißt du das? Woher weißt du, dass seine Clients nach dem Entfernen nicht auch noch etwas tun?
Wirklich Clownesk.

Es geht also nicht um eine Meinung, sondern um eine Tatsachenbehauptung? Logischer Schluss, weil es deine Empfehlung ist? Merkst du was?
erikro
erikro 03.08.2022 um 16:39:35 Uhr
Goto Top
Zitat von @2423392070:

Zitat von @erikro:

Da bleibt nichts hängen. Wenn das nicht so wäre, hätte ich auch dem Kollegen nicht den Weg empfohlen, den ich empfohlen habe.


Ich verstehe. Das setzt allerdings voraus, dass du weiß welche Vorlagen er einsetzt und was die machen? Woher weißt du das? Woher weißt du, dass seine Clients nach dem Entfernen nicht auch noch etwas tun?

Falsch. Es ist vollkommen irrelevant, welche Template er benutzt, da sie bei der Ausführung einer Software keinerlei Rolle spielen. Sie dienen ausschließlich dem Zweck GPO-Editoren zu ermöglichen, die Informationen für Menschen lesbar darzustellen. Sonst machen die nichts. Gar nichts. Überhaupt nichts. Oder anders ausgedrückt: Ich weiß, was seine Templates machen, egal welche eingesetzt werden: Es sind XML-Dateien, die dazu dienen binäre Informationen lesbar zu machen. Mehr nicht.

Wirklich Clownesk.

Stimmt. Das ist es wohl langsam. Aber nicht ich bin der Clown. BTW, clownesk schreibt man klein.

Es geht also nicht um eine Meinung, sondern um eine Tatsachenbehauptung? Logischer Schluss, weil es deine Empfehlung ist? Merkst du was?

Nein, das ist Dein logischer Fehlschluss. Was ist gesagt habe: Weil es eine Tatsache ist, empfehle ich das Vorgehen. Was Du daraus machst: Es ist eine Tatsache, weil ich es empfohlen habe. Das ist ein unzulässiger Umkehrschluss.
2423392070
2423392070 03.08.2022 um 17:46:41 Uhr
Goto Top
Also Freund Blase. Ich habe zum Beispiel Vorlagen die beim Anmelden des Clients prüfen, ob eine spezielle Datei noch auf dem Client ist. Wenn man das ADMX File einfach löscht, ohne die GPO vorher einmal auf löschen durchlaufen lassen zu haben, dann suchen die Clients vergeblich die Datei bis sie in einen Timeout laufen. Das Timeout kann nicht mal angepasst werden.
So verteilen und sammeln wir unsere SDTID Dateien ein und protokollieren deren Bewegung und Zeit wie lange sie draußen waren.

Ich empfehle dir einen Weg, den ich empfehle, weil er richtig ist. Ergo: Er ist von mir und daher richtig.
emeriks
emeriks 04.08.2022 aktualisiert um 08:36:51 Uhr
Goto Top
Zitat von @2423392070:
Also Freund Blase.
Du solltest auf Deinen Ton achten! Das ist hier kein Forum, wo wir uns gegenseitig anmachen. Klar?

Ich habe zum Beispiel Vorlagen die beim Anmelden des Clients prüfen, ob eine spezielle Datei noch auf dem Client ist.
Würdest Du uns diese Vorlage bitte bereitstellen, damit wir Deine Behauptung nachstellen können?
Und meinst Du mit "Vorlage" tatsächlich ein ADMX oder etwa eine Volage-GPO, welche Du dann kopierst?

ohne die GPO vorher einmal auf löschen durchlaufen lassen zu haben,
Würdest Du uns bitte erklären, was das ist: "Eine GPO auf löschen durchlaufen lassen."

dann suchen die Clients vergeblich die Datei bis sie in einen Timeout laufen. Das Timeout kann nicht mal angepasst werden.
Mich würde jetzt wirklich interessieren, was das für eine ADMX sein soll.
Ich weiß, dass es Client Extensions gibt, welche von einigen Herstellern zusammen mit ADMX bereitgestellt werden. Die ADMX benötigt man, um die GPO erstellen zu können. Egal, auf welchen Rechner. Auch ohne die Extension.
Die Extension benötigt man auf dem Client, welcher diese GPO dann anwenden soll. Dafür braucht der Client dann die lokal installierte Extension, abert nicht die ADMX.

Ich empfehle dir einen Weg, den ich empfehle, weil er richtig ist. Ergo: Er ist von mir und daher richtig.
o.W.
erikro
erikro 04.08.2022 um 09:09:29 Uhr
Goto Top
Moin,

Zitat von @2423392070:
Also Freund Blase.

Ich glaube nicht, dass wir zusammen im Sandkasten gespielt haben.

Ich habe zum Beispiel Vorlagen die beim Anmelden des Clients prüfen, ob eine spezielle Datei noch auf dem Client ist.

Falsch. Du hast eine Vorlage, mit Hilfe derer Du eine Funktion mittels eines Registry-Keys aktivierst, die dann prüft, ob eine Datei noch vorhanden ist. Ist diese Funktion aktiviert, kann die ADMX gelöscht werden. Die wird für die Funktion nicht mehr benötigt.

Wenn man das ADMX File einfach löscht, ohne die GPO vorher einmal auf löschen durchlaufen lassen zu haben, dann suchen die Clients vergeblich die Datei bis sie in einen Timeout laufen. Das Timeout kann nicht mal angepasst werden.

Auch falsch. Nicht das Löschen des ADMX führt zum Timeout, sondern das Fehlen der Datei. So lange die Datei vorhanden ist, gibt es keinen Timeout. Wird die Datei gelöscht, führt das auf jeden Fall zum Timeout egal, ob die ADMX noch vorhanden ist oder nicht.

Im Übrigen, wer lesen kann und es auch tut, ist schwer im Vorteil. Wie schrieb ich nicht in meinem ersten Beitrag:

1. Schritt
GPOs aufräumen.

Bei der Bearbeitung ist das Vorhandensein der ADMX äußerst hilfreich, wenn auch nicht unbedingt notwendig. Es ist nämlich ebenso falsch, dass in dem von Dir angeführten Beispiel, der Timeout nicht mehr editierbar ist. Kenne ich nämlich den Key, den ich beeinflussen muss, kann ich mit Hilfe eine Registry-Eintrags in den GPOs das Problem beheben.

So verteilen und sammeln wir unsere SDTID Dateien ein und protokollieren deren Bewegung und Zeit wie lange sie draußen waren.

Ja und? Was hat das mit dem Thema zu tun? Die Frage lautete, wie man die ADMX für veraltete Produkte am einfachsten los wird. Du sprichst von einer ADMX, die Du ständig benötigst. Auch wenn das die Aussage, dass man ADMX nicht gefahrlos löschen kann, nicht richtiger macht, so sprichst Du dennoch von einem vollkommen anderen Szenario.

Ich empfehle dir einen Weg, den ich empfehle, weil er richtig ist. Ergo: Er ist von mir und daher richtig.

Na wenn Du meinst, dass eine von vorne bis hinten falsche Argumentation dadurch richtig wird ...

Liebe Grüße

Erik
erikro
erikro 04.08.2022 um 09:13:30 Uhr
Goto Top
Moin,

Zitat von @emeriks:
Mich würde jetzt wirklich interessieren, was das für eine ADMX sein soll.
Ich weiß, dass es Client Extensions gibt, welche von einigen Herstellern zusammen mit ADMX bereitgestellt werden. Die ADMX benötigt man, um die GPO erstellen zu können. Egal, auf welchen Rechner. Auch ohne die Extension.
Die Extension benötigt man auf dem Client, welcher diese GPO dann anwenden soll. Dafür braucht der Client dann die lokal installierte Extension, abert nicht die ADMX.

So ist es. Es wäre ja auch geradezu fatal, wenn die GPOs nicht mehr greifen würden, nur weil der zentrale ADMX-Speicher nicht vorhanden ist. Dann würden nämlich alle Notebooks im mobilen Arbeiten nicht mehr richtig funktionieren. Oder man müsste die ADMX auf alle Clients verteilen. Muss man aber nicht. Ergo: Das Vorhandensein der ADMX ist für die Funktionalität des Systems vollkommen irrelevant.

Liebe Grüße

Erik
emeriks
emeriks 04.08.2022 um 09:16:18 Uhr
Goto Top
Zitat von @erikro:
So ist es. Es wäre ja auch geradezu fatal, wenn die GPOs nicht mehr greifen würden, nur weil der zentrale ADMX-Speicher nicht vorhanden ist. Dann würden nämlich alle Notebooks im mobilen Arbeiten nicht mehr richtig funktionieren. Oder man müsste die ADMX auf alle Clients verteilen. Muss man aber nicht. Ergo: Das Vorhandensein der ADMX ist für die Funktionalität des Systems vollkommen irrelevant.
Gutes, einfaches Beipiel!
erikro
erikro 04.08.2022 um 09:23:50 Uhr
Goto Top
Zitat von @emeriks:
Gutes, einfaches Beipiel!

Danke. Sollen wir darauf wetten, ob es verstanden wurde? *eg*