16
Rät Microsoft von der GPO-Benutzung ab?
Hallo zusammen,
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät. Leider finde ich dazu kein Statement von Microsoft.
Der Administrator meinte, dass mit den Gruppenrichtlinien teilweise nur eine Einbahnstraße in der Administration erwirkt werden kann. Manche Einstellungen können somit nicht einfach rückgängig gemacht werden, sondern die jeweilige Einstellung müsste wieder auf den Standardwert zurückgesetzt werden. Bei Registry-Einträgen wird dies teilweise noch schwerer.
Er meinte auch, dass Microsoft ja ohnehin das Konstrukt mit den Gruppenrichtlinien nicht weiter updatet und für die Zukunft keine Verbesserung der Probleme auftreten werden.
Kennt jemand eine solche Empfehlung von seitens Microsoft?
Best Regards
Benox0
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät. Leider finde ich dazu kein Statement von Microsoft.
Der Administrator meinte, dass mit den Gruppenrichtlinien teilweise nur eine Einbahnstraße in der Administration erwirkt werden kann. Manche Einstellungen können somit nicht einfach rückgängig gemacht werden, sondern die jeweilige Einstellung müsste wieder auf den Standardwert zurückgesetzt werden. Bei Registry-Einträgen wird dies teilweise noch schwerer.
Er meinte auch, dass Microsoft ja ohnehin das Konstrukt mit den Gruppenrichtlinien nicht weiter updatet und für die Zukunft keine Verbesserung der Probleme auftreten werden.
Kennt jemand eine solche Empfehlung von seitens Microsoft?
Best Regards
Benox0
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4205850021
Url: https://administrator.de/contentid/4205850021
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
16 Kommentare
Neuester Kommentar
Moin.
Lass dir doch von deinem Admin-Freund mal eine Quelle zukommen, glaube da wartest du bis an den Sankt Nimmerleinstag.
Jemand der weiß was er tut hat damit aber keine Probleme und setzt dann halt den Wert wieder auf Default zurück wenn es nötig ist, sehe da ehrlich gesagt kein Problem, und wir haben und hatten damit noch nie Probleme.
Somit sehe ich auch keinem Grund keine GPOs mehr zu verwenden nur weil irgendjemand was in den Äther posaunt um sich wichtig zu machen oder nur um des laberns willen🫠.
Gruß
Zitat von @Benox0:
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät. Leider finde ich dazu kein Statement von Microsoft.
Weil es so eine Aussage eben nicht gibt 🙂.ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät. Leider finde ich dazu kein Statement von Microsoft.
Lass dir doch von deinem Admin-Freund mal eine Quelle zukommen, glaube da wartest du bis an den Sankt Nimmerleinstag.
Der Administrator meinte, dass mit den Gruppenrichtlinien teilweise nur eine Einbahnstraße in der Administration erwirkt werden kann. Manche Einstellungen können somit nicht einfach rückgängig gemacht werden, sondern die jeweilige Einstellung müsste wieder auf den Standardwert zurückgesetzt werden. Bei Registry-Einträgen wird dies teilweise noch schwerer.
Nennt sich Group Policy Tattooing, ist aber schon lange bekannt und betrifft nur Keys die außerhalb der regulären Policy-Schlüssel verändert werden.Jemand der weiß was er tut hat damit aber keine Probleme und setzt dann halt den Wert wieder auf Default zurück wenn es nötig ist, sehe da ehrlich gesagt kein Problem, und wir haben und hatten damit noch nie Probleme.
Somit sehe ich auch keinem Grund keine GPOs mehr zu verwenden nur weil irgendjemand was in den Äther posaunt um sich wichtig zu machen oder nur um des laberns willen🫠.
Er meinte auch, dass Microsoft ja ohnehin das Konstrukt mit den Gruppenrichtlinien nicht weiter updatet und für die Zukunft keine Verbesserung der Probleme auftreten werden.
Kennt jemand eine solche Empfehlung von seitens Microsoft?
Ich nicht. Da MS aber alles in die Cloud ziehen will wird sicher irgendwann wieder was hippes neues erfunden. Zumindest in der Cloud ist ja Intune von MS als Alternative angeboten, aber das ist IMHO "Garbage" und da fehlt noch sehr viel.Kennt jemand eine solche Empfehlung von seitens Microsoft?
Gruß
1
blödsinn.... solange du ein lokales AD betreibst kommst du um GPOs nicht rum....
Wie stark und wie viel das bleibt dir überlassen, und jaaaaa.... man kann es auch übertreiben.
gehst du dann in die cloud und betreibst deine landschaft per intune gibts auch dort in intune entsprechende regeln die auf die clients gedrückt werden können, sind halt keine GPOs mehr....
aber entweder hat man ein lokales AD oder halt nicht und wenn ja dann sind GPOs natürlich ein mittel der wahl.
soll er doch mal die quelle für so eine aussage geben...
solange dies nicht hoch offiziell von MS angekündigt ist, würd ich da nix glauben.
und bestehende lokale ADs Server 2022 sind noch supportet bis 14. Okt. 2031
Bis dahin gibts auch mindestens noch lokale ADs und GPOs....
Wie stark und wie viel das bleibt dir überlassen, und jaaaaa.... man kann es auch übertreiben.
gehst du dann in die cloud und betreibst deine landschaft per intune gibts auch dort in intune entsprechende regeln die auf die clients gedrückt werden können, sind halt keine GPOs mehr....
aber entweder hat man ein lokales AD oder halt nicht und wenn ja dann sind GPOs natürlich ein mittel der wahl.
soll er doch mal die quelle für so eine aussage geben...
solange dies nicht hoch offiziell von MS angekündigt ist, würd ich da nix glauben.
und bestehende lokale ADs Server 2022 sind noch supportet bis 14. Okt. 2031
Bis dahin gibts auch mindestens noch lokale ADs und GPOs....
Moin,
von so jemanden würde ich keine ratschläge annehmen!
Frank
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät.
das sagen nur Admins, die keine ahnung von GPOs haben.... und den Gruppenrichtlinien-Editor als Teufelswerk bezeichnen!von so jemanden würde ich keine ratschläge annehmen!
Frank
1
Moin.
Kann mich meinen Vorredner nur anschließen - GPOs sind ein probates und vielseitig einsetzbares Tool zur zentralen Verwaltung in einem lokalen AD. Natürlich muss man sich damit beschäftigen und deren Funktionsweise zuerst verstehen. Andernfalls kann man sich damit auch einiges kaputt schießen.
Cheers,
jsysde
Kann mich meinen Vorredner nur anschließen - GPOs sind ein probates und vielseitig einsetzbares Tool zur zentralen Verwaltung in einem lokalen AD. Natürlich muss man sich damit beschäftigen und deren Funktionsweise zuerst verstehen. Andernfalls kann man sich damit auch einiges kaputt schießen.
Cheers,
jsysde
Hi,
Ich denke zwar, dass es vergebene Mühe ist, aber du kannst deinen Kollegen mal fragen, wieso dann die admx und adml Files, regelmäßig geupdatet werden und mit Sicherheit jetzt auch unter W11 24H2 erneuert werden.
Microsoft würde mit Sicherheit keine Mühe investieren, wenn dem so wäre.
Außerdem wie schon angemerkt: Von offizieller Quelle ist nichts bekannt, Beispiele wann und wie Microsoft von einem eigenen Feature abrät siehst du beispielsweise beim Thema Direct Access zu Always on VPN.
Ich denke zwar, dass es vergebene Mühe ist, aber du kannst deinen Kollegen mal fragen, wieso dann die admx und adml Files, regelmäßig geupdatet werden und mit Sicherheit jetzt auch unter W11 24H2 erneuert werden.
Microsoft würde mit Sicherheit keine Mühe investieren, wenn dem so wäre.
Außerdem wie schon angemerkt: Von offizieller Quelle ist nichts bekannt, Beispiele wann und wie Microsoft von einem eigenen Feature abrät siehst du beispielsweise beim Thema Direct Access zu Always on VPN.
Zitat von @Benox0:
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von > Gruppenrichtlinien (GPO's) in einem Active Directory abrät
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von > Gruppenrichtlinien (GPO's) in einem Active Directory abrät
Dann ist er wohl kein Administrator.
2
Sieht so aus, als wäre da der "befreundete Admin" selber am Schreibgerät.
Sowas kann eigentlich nur von Adidas oder Nike in die Welt gesetzt worden sein.
Die Schlingel machen ja alles, um den Absatz Ihrer Turnschuhe anzukurbeln.
Sowas kann eigentlich nur von Adidas oder Nike in die Welt gesetzt worden sein.
Die Schlingel machen ja alles, um den Absatz Ihrer Turnschuhe anzukurbeln.
1
Naja, ganz daneben liegt der Kollege auch nicht wenn irgend wann alles per Intune verwaltet wird.
MS Vorstellung ist ja wirklich, alles aus der Cloud zu verwalteten.
Das dafür das local AD sterben soll, wäre mir auch neu.
MS Vorstellung ist ja wirklich, alles aus der Cloud zu verwalteten.
Das dafür das local AD sterben soll, wäre mir auch neu.
Und was steckt in INTUNE drin? der teilt sicher auch bloß xml files aus, was soll das grundsätzlich ändern.
Zur Erinnerung winxp-win7 lief nicht mal ohne iexplorer.exe.
Wir nutzen 2024 immer noch NTLM, TLS<1.2 und LDAP ohne SecureChannel selbst wenn es eingeschaltet ist.
Zur Erinnerung winxp-win7 lief nicht mal ohne iexplorer.exe.
Wir nutzen 2024 immer noch NTLM, TLS<1.2 und LDAP ohne SecureChannel selbst wenn es eingeschaltet ist.
Nicht nur GPOs schreiben in die Registry und setzen die Werte ggf. nicht wieder zurück. Eigentlich müsste er die gesamte Registry als Konstrukt in Frage stellen und ja, Recht hätte er. Aber die Registry wird es noch lange geben, eine Alternative gibt es (für Windows Einstellungen) hingegen nicht.
Moin,
Und ich habe von einem befreundeten Automechaniker gehört, dass VW davon abrät, mit seinen Autos außerhalb geschlossener Ortschaften zu fahren. Mannmannmann, es ist doch erst Dienstag.
Natürlich nicht, weil das vollkommener Blödsinn ist.
Das alte Gerücht bzw. das allgemein veraltete Wissen. Das war mal früher so. So in der AD-Steinzeit. Heute ist das nur noch bei gaaaaaaaaaaaaaanz wenigen Einstellungen so.
Abgesehen davon, dass es mit Gruppenrichtlinien keine Probleme gibt (außer man versteht sie nicht und benutzt sie falsch), gibt es auch m. W. keinerlei Äußerung von MS darüber, dass sie abgekündigt wären oder nicht mehr weiterentwickelt werden. Das ist imho Unsinn. Tatsächlich gibt es ständig Updates der admx-Vorlagen und auch der dahinter stehenden Software.
Ich würde mal sagen, der befreundete Admin hat nicht den geringsten Schimmer, wie das funktioniert.
Liebe Grüße
Erik
Zitat von @Benox0:
Hallo zusammen,
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät.
Hallo zusammen,
ich habe von einem befreundeten Administrator erfahren, dass lt. Microsoft von der Benutzung von Gruppenrichtlinien (GPO's) in einem Active Directory abrät.
Und ich habe von einem befreundeten Automechaniker gehört, dass VW davon abrät, mit seinen Autos außerhalb geschlossener Ortschaften zu fahren. Mannmannmann, es ist doch erst Dienstag.
Leider finde ich dazu kein Statement von Microsoft.
Natürlich nicht, weil das vollkommener Blödsinn ist.
Der Administrator meinte, dass mit den Gruppenrichtlinien teilweise nur eine Einbahnstraße in der Administration erwirkt werden kann. Manche Einstellungen können somit nicht einfach rückgängig gemacht werden, sondern die jeweilige Einstellung müsste wieder auf den Standardwert zurückgesetzt werden. Bei Registry-Einträgen wird dies teilweise noch schwerer.
Das alte Gerücht bzw. das allgemein veraltete Wissen. Das war mal früher so. So in der AD-Steinzeit. Heute ist das nur noch bei gaaaaaaaaaaaaaanz wenigen Einstellungen so.
Er meinte auch, dass Microsoft ja ohnehin das Konstrukt mit den Gruppenrichtlinien nicht weiter updatet und für die Zukunft keine Verbesserung der Probleme auftreten werden.
Abgesehen davon, dass es mit Gruppenrichtlinien keine Probleme gibt (außer man versteht sie nicht und benutzt sie falsch), gibt es auch m. W. keinerlei Äußerung von MS darüber, dass sie abgekündigt wären oder nicht mehr weiterentwickelt werden. Das ist imho Unsinn. Tatsächlich gibt es ständig Updates der admx-Vorlagen und auch der dahinter stehenden Software.
Ich würde mal sagen, der befreundete Admin hat nicht den geringsten Schimmer, wie das funktioniert.
Liebe Grüße
Erik
@eriko
Und ich habe von einem befreundeten Automechaniker gehört, dass VW davon abrät, mit seinen Autos außerhalb geschlossener Ortschaften zu fahren.
Und ich habe von einem befreundeten Automechaniker gehört, dass VW davon abrät, mit seinen Autos außerhalb geschlossener Ortschaften zu fahren.
Nein, nein, das siehst Du falsch, vw rät davon ab, deren Autos zu kaufen. Weil bei unangemessener Benutzung kann man sterben.
Ist genauso wie diese Apothekerwerbung:
Zu Risiken und Nebenwirkungen im LAN / WLAN
lesen Sie die Packungsbeillage
oder schlagen Sie den / die Administrator(en)
Gruss Penny.
2
Nur weil jemand das Kennwort einer Fritzbox ändert ist man nicht gleich ein Admin. OnPremise AD gehören GPOs dazu wie das Amen in der Kirche.
Wenn du in die Cloud gehst gibts halt andere Dinge. Aber Verwaltung ist ja gewünscht beim AD und mit GPO kannst du alles damit ja sehr nach deinen Wünschen und Anforderungen abbilden.
Wenn du in die Cloud gehst gibts halt andere Dinge. Aber Verwaltung ist ja gewünscht beim AD und mit GPO kannst du alles damit ja sehr nach deinen Wünschen und Anforderungen abbilden.
Vielen Dank für die zahlreichen Antworten. Der befreundete Administrator ist schon ein Fachmann, aber er wird vermutlich selbst nicht so gute Erfahrungen mit GPOs gemacht haben und daher solche Behauptungen aufstellen.
Ich bin auch nicht hauptberuflich Admin und daher hat er mir vielleicht das erzählt, damit ich an den GPOs in unserem Unternehmen keinen Schaden anrichte.
Vielen Dank auch an bacardi. Das dies speziell den Namen Group Policy Tattooing hat, wusste ich auch noch nicht. So kann ich mich selbst mit dem Thema genauer auseinandersetzen.
Mein Gefühl, dass dies wirklich nicht sein kann, habt ihr auf jeden Fall bestätigt. Ich hätte mir sonst auch nicht vorstellen können, wie die ganzen Windows-Administratoren auf der Welt sonst Ihre Netzwerke inkl. Clients verwalten sollen.
Das mit dem admx-Dateien stimmt auch, Windows 11 wird darin ja auch weiter gepflegt.
Best Regards
Benox0
Ich bin auch nicht hauptberuflich Admin und daher hat er mir vielleicht das erzählt, damit ich an den GPOs in unserem Unternehmen keinen Schaden anrichte.
Vielen Dank auch an bacardi. Das dies speziell den Namen Group Policy Tattooing hat, wusste ich auch noch nicht. So kann ich mich selbst mit dem Thema genauer auseinandersetzen.
Mein Gefühl, dass dies wirklich nicht sein kann, habt ihr auf jeden Fall bestätigt. Ich hätte mir sonst auch nicht vorstellen können, wie die ganzen Windows-Administratoren auf der Welt sonst Ihre Netzwerke inkl. Clients verwalten sollen.
Das mit dem admx-Dateien stimmt auch, Windows 11 wird darin ja auch weiter gepflegt.
Best Regards
Benox0
Höre ich zu ersten Mal, dass MS sowas empfehlen würde. GPO ist innerhalb einer Domain das einzige probate Mittel um Rechte und Benutzer zu verwalten.
Keine Ahnung wo dein Bekannter das her haben will.
Vielleicht meint er ja, dass die Benutzer- und Rechteverwaltung via Entra ID, also Hybridbetrieb, erfolgen soll. Aber selbst das ist nicht wirklich praktikabel.
Grüße
Keine Ahnung wo dein Bekannter das her haben will.
Vielleicht meint er ja, dass die Benutzer- und Rechteverwaltung via Entra ID, also Hybridbetrieb, erfolgen soll. Aber selbst das ist nicht wirklich praktikabel.
Grüße
Nunja Vorstellungen und offizielle Pläne gehen oft auseinander.
Ich habe vor 4-5 Jahren eine ähnliche Frage Jeffrey Snover gestellt der damals unter anderem in der Architekten-Rolle für Windows Server und Azure war.
GPO wird technisch nicht weiter entwickelt und mit neuen Features versehen oder z.b. in punkto Performance optimiert etc.
Intune hingegen funktioniert auf der MDM Schnittstelle / DSC und wird zukünftig weiter ausgebaut.
Z.B. erfährt auch das Produkt AGPM seit rund 10 Jahren kein Update und läuft erst einmal nur so lange wie es läuft. Läuft es z.b. aufgrund dem Schließen einer Sicherheitslücke nicht mehr weiß aktuell keiner ob es noch einen fix geben wird.
Eine neue Versionsverwaltung wird es für GPO eher nicht geben. Möchte man das haben muss man dann in die Cloud, da wird das dann weiter entwickelt.
Auf der anderen Seite laufen GPOs einfach.
Und es gibt aktuell auch keinen wirklichen Bedarf an Innovation. GPOs werden natürlich weiter gepflegt da als Produkt nicht abgekündigt. GPOs gehören wohl zur Basis eines jeden onprem AD und das wird es noch sicher 10 Jahre immer mehr geben.
Ich habe vor 4-5 Jahren eine ähnliche Frage Jeffrey Snover gestellt der damals unter anderem in der Architekten-Rolle für Windows Server und Azure war.
GPO wird technisch nicht weiter entwickelt und mit neuen Features versehen oder z.b. in punkto Performance optimiert etc.
Intune hingegen funktioniert auf der MDM Schnittstelle / DSC und wird zukünftig weiter ausgebaut.
Z.B. erfährt auch das Produkt AGPM seit rund 10 Jahren kein Update und läuft erst einmal nur so lange wie es läuft. Läuft es z.b. aufgrund dem Schließen einer Sicherheitslücke nicht mehr weiß aktuell keiner ob es noch einen fix geben wird.
Eine neue Versionsverwaltung wird es für GPO eher nicht geben. Möchte man das haben muss man dann in die Cloud, da wird das dann weiter entwickelt.
Auf der anderen Seite laufen GPOs einfach.
Und es gibt aktuell auch keinen wirklichen Bedarf an Innovation. GPOs werden natürlich weiter gepflegt da als Produkt nicht abgekündigt. GPOs gehören wohl zur Basis eines jeden onprem AD und das wird es noch sicher 10 Jahre immer mehr geben.
