Windows 10 1803 Gruppenrichtlinien (ADMX) aktualisieren – Fehler in SearchOCR.admx

Am 04.05.2018 sind die neuen ADMX Gruppenrichtlinien für Windows 10 1803 erschienen die unter folgendem Link zum Download bereitstehen: Administrative Templates (.admx) for Windows 10 April 2018 Update (1803) – Deutsch

Jedes mal wenn es neue ADMX-Dateien einzuspielen gilt, treten Fehler auf. Microsoft macht wirklich jedes mal Fehler und es fängt langsam extrem an zu nerven! Microsoft muss ja damit rechnen, dass man ein bereits vorhanden Policy Store, mit den neuen Dateien updatet und nicht von 0 anfängt. Die meisten haben weitere Policys von anderen Produkten (z.B. Office, Lync, Skype for Business, usw.) oder selbst erstellte Policys, in Ihrem Store.

Fehlermeldung

Diesmal ist eine Verknüpfung in der Datei SearchOCR.admx vorhanden, welche auf die Datei SearchOCR.adml verweist, die in dieser aber nicht mehr zu finden ist. Dadurch kann die Übersetzung nicht gefunden werden und ein Fehler wird ausgeworfen.

Resource '$(string.Win7Only)' referenced in attribute displayName could not be found. File ...\PolicyDefinitions\SearchOCR.admx, line 12, column 69
Die in der Eigenschaft "$(string.Win7Only)" aufgeführte Ressource displayName konnte nicht gefunden werden. Datei ...\PolicyDefinitions\SearchOCR.admx, Zeile 12, Spalte 69

Problembehebung

In der Datei SearchOCR.amdl (je nachdem welche Sprache Ihr nutzt vermutlich im Unterordner de-DE) nach Zeile 26 folgende Zeile hinzufügen:

<string id="Win7Only">Microsoft Windows 7 oder später</string>

Alternativ könnte man die Datei SearchOCR.admx auch löschen, dann verliert man aber auch die Einstellungen, die man durch diese Datei treffen könnte.

Lync / Skype for Business automatisch starten per Gruppenrichtlinie

Unsere Nutzer beenden Skype for Business regelmäßig und manche sind sogar so schlau, dass sie den Autostart deaktivieren. Das wollen wir aber nicht, da sonst die Presence Funktion, die an die Telefonanlage angebunden ist, für den Benutzer nicht mehr sichtbar ist.

Leider findet sich in den offiziellen ADMX-Dateien zu Office 2013 / Office 2016 keine Konfiguration für den Autostart. Es gibt zwar einige inoffuielle Erweiterungen, die aber mit Vorsicht zu genießen sind. Alle die ich ausprobiert hatte, haben einfach einen Key im Ordner Run erzeugt, der aber keinen Bezug zur installierten x32/x64 Version hatte. Demnach wird der Key für x32 Systeme falsch gesetzt. Das Gleiche gilt für andere Office Versionen: Wenn z.B. Office 2016 installiert ist, stimmt der Pfad auch nicht mehr.

Beispiel Skype for Business mit Office 2016 in x64 installiert auf x64 Windows

"C:\Program Files\Microsoft Office\Office16\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2016 in x32 installiert auf x64 Windows

"C:\Program Files(x86)\Microsoft Office\Office16\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2013 in x64 installiert auf x64 Windows

"C:\Program Files\Microsoft Office\Office15\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2013 in x32 installiert auf x64 Windows

"C:\Program Files(x86)\Microsoft Office\Office15\lync.exe" /fromrunkey

Aus diesem System kann man alle anderen Office, Lync, Skype for Business und x32 / x64 Varianten ableiten.

Gruppenrichtlinie erstellen

Nun kann man diesen Registry Schlüssel einfach per GPO erzeugen oder man benutzt folgende Variante: Benutzerkonfiguration -> Administrative Vorlagen -> System -> Anmelden -> Diese Programme bei der Benutzeranmeldung ausführen und benutzt dann den zuvor erstellten Pfad. Beispiel für Office 2013 in 32 bit installiert, auf einem 64 bit Windows: C:\Program Files(x86)\Microsoft Office\Office15\lync.exe

Windows Server 2012 – Remote Power Shell Zugriff per Gruppenrichtlinie aktivieren

Der Remote Power Shell Zugriff auf andere Computer / Server hat viele Vorteile. Man kann z.B. von einem Computer aus, alle anderen Computer / Server per Power Shell verwalten.

Remote Power Shell zugriff aktivieren

Der Power Shell Rempte Zugriff, die Windows Remote Verwaltung und die dazugehörigen Firewall-Richtlinien müssen konfiguriert werden.

Dienst Windows-Remoteverwaltung automatisch starten

Damit der Remote Power Shell Zugriff überhaupt funktionierne kann, muss der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ automatisch gestartet werden. Dieser kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Systemdienste“ konfiguriert werden.

Remoteshellzugriff zulasse

In der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteshell“ gibt es den Punkt „Remoteshellzugriff zulassen“. Dieser muss aktiviert werden.

Remoteverwaltung über WnRM zulassen

Nun muss in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteverwaltung -> WinRM-Dienst“ der Punkt „Remoteverwaltung über WnRM zulassen“ konfiguriert werden. Hier können einzelne IPV4 oder IPV6 Adressen berechtigt werden. Alternativ kann man mit einem „*“ alle IP-Adressen zulassen.

Hier kann man jetzt z.B. noch HTTP / HTTPS aktivieren oder verschiedene Authentifizierungsmethoden konfigurieren. Dies ist aber keine Voraussetzung.

Windows Firewall

Abschließend muss nur noch die Windows Firewall dahingehend geöffnet werden. Hier gibt es aber schone ine Vorgefertige Richtlinie, dir nur noch aktiviert werden muss. Diese kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiteter Sicherheit -> Windows-Firewall mit erweiteter Sicherheit“ aktiviert werden. Es muss dafür Ein- und Ausgehende Regeln geben. Die Richtilinie die aktivert werden muss heißt „Windows-Remoteverwaltung“.