Sinds de lancering van Windows 10 heeft Microsoft het besturingssysteem doorontwikkeld, om dan eind vorig jaar Windows 11 te lanceren. Beide besturingssystemen bevatten policies die organisch verouderd zijn. Microsoft raadt zelf aan om ze uit te schakelen.
Windows is flink veranderd sinds de lancering van Windows 10 in 2015. Niet alleen heet de nieuwste versie van het OS intussen Windows 11, Windows 10 kende zelf ook een stevige evolutie. Waar nieuwe functies en mogelijkheden het daglicht zagen, raakten anderen verouderd.
Verouderd beleid
Dat is ook het geval bij de beleidsopties die je als administrator kan activeren. Microsoft duidt zelf 24 policies aan voor Windows 10 en Windows 11, die je best niet meer gebruikt. Dat kan zijn omdat er betere alternatieven bestaan, maar ook omdat Microsoft na verschillende updates niet meer kan garanderen dat ze niet voor ongewenst gedrag zullen zorgen.
Aria Carley, Senior Program Manager voor Windows, liet eind 2021 al uitschijnen dat een aantal policies verouderd zijn via een tweet.
Intussen is die tweet uitgegroeid tot een uitgebreide officiële blogpost waarin ze de details uitlicht. Concreet is er een probleem met 24 policies voor de Windows Update-ervaring die al bestaan sinds Windows 10 versie 1511, uitgebracht eind 2015, maar vandaag niet meer actueel zijn. Ze kunnen problemen opleveren voor alle Windowsversies vanaf Windows 10 versie 20H2 en dus ook Windows 11.
Overzicht
Voor Windows 11-beheerders is het niet moeilijk om de gedateerde policies terug te vinden. Die plaatste Microsoft zelf in een submap van de Group Policy Editor onder Legacy Policies bij Windows Update. Die submap is helaas enkel beschikbaar voor de Group Policy Administrative Templates voor Windows 11.
Voor Windows 10-beheerders gelden dezelfde best practices, maar zij moeten zelf op zoek gaan. Microsoft voorziet gelukkig zelf een gedetailleerde lijst met alle beleidsfuncties en de reden waarom ze problematisch zijn. In veel gevallen is het geen ramp om ze wel ingeschakeld te laten. Ze zullen gewoon geen effect hebben. In andere gevallen hebben verouderde policies een negatieve impact op de beveiliging of compliance van een toestel.
Geen effect, verouderd of vervelend?
Dat geldt bijvoorbeeld voor No auto-restart with logged on users for scheduled automatic updates installation. Die policy zorgt er in theorie voor dat een systeem niet automatisch zal herstarten zolang een gebruiker ingelogd is. In de praktijk werkt de policy niet zoals geadverteerd en kan die het ongewenste neveneffect hebben dat updates nooit worden geïnstalleerd. Gebruikers hebben immers niet de gewoonte om zich af te melden. Omdat Microsoft niet meer achter de policy staat, is er ook geen alternatief.
In zo’n geval voorziet Redmond wel een richtlijn. Je kan bijvoorbeeld auto-reboot voorkomen én zorgen dat ieder systeem een update ontvangt door een compliance-deadline in te stellen. Dat zorgt ervoor dat een systeem niet zal heropstarten zonder dat de gebruiker op de hoogte is, tot een bepaalde periode wordt overschreden en compliance prioritair wordt.
Voor andere policies bestaan er dan weer alternatieven. Zo is Configure auto-restart warning notifications schedule for updates ook gedateerd. Die policy laat je configureren hoeveel uur voor een herstart een gebruiker een waarschuwing krijgt. Conceptueel is daar niets mis mee, maar de policy werkt enkel in Windows 10 als bepaalde andere beleidsfuncties zijn geconfigureerd. Microsoft raadt daarom aan om de alternatieven ScheduleImminentRestartWarning of ScheduleRestartWarning te gebruiken om hetzelfde doel te bereiken.
Dan zijn er nog de nutteloze policies zoals Delay Restart for scheduled installations. Daarmee kan je zogezegd een automatische herstart configureren na de installatie van een update. In de praktijk heeft Microsoft dat beleid nooit echt geïntegreerd en zal er niets gebeuren wanneer je het configureert.
In totaal zijn er 24 policies waar je naar moet kijken. De volledige lijst vind je hier.
ADMX-perikelen
Microsoft wijst er verder nog op dat je vandaag slechts één administratieve template kan configureren in de Active Directory Central Store. Beheerders van organisaties die Windows 10 en Windows 11 combineren, moeten dus een keuze maken. Dat is op zich geen probleem, al is het een goed idee om eens na te denken over je toekomstplannen. Staat een volledige migratie naar Windows 11 op het programma? Dan werk je best met de Windows 11-ADMX-bestanden. Organisaties die nog enkele jaren voor een groot stuk Windows 10 willen gebruiken, blijven beter nog even bij de Windows 10-bestanden.
lees ook
5 redenen om wel (of niet) te upgraden naar Windows 11
Die keuze is vandaag belangrijk omdat Windows 10 naast Windows 11 ondersteund wordt. Het kan dus zijn dat Windows 10 een functie krijgt die nog niet in Windows 11 zit of andersom. Compatibiliteitsproblemen hoef je niet te vrezen, maar al naargelang je keuze kan het zijn dat een bepaalde policy binnen jouw organisatie onbeschikbaar blijft.
Nuttige omweg
Al zou Windows Windows niet zijn, als daar ook geen kanttekening bij te maken valt. Kies je voor Windows 11 ADMX-bestanden maar wil je toch een Windows 10-specifieke functie configureren? Dan kan dat via een omweg ook. Al wat je nodig hebt is een extra Windows 10 21H2-client. In een afzonderlijke blogpost legt Microsoft zelf in detail uit hoe je te werk gaat.
Met de updates voor Windows 10 en de uitrol van Windows 11 is beleidsbeheer in ieder geval een beetje complexer geworden. Het is daarom geen slecht idee om eens een momentje te reserveren om na te kijken of je geen van de 24 verouderde policies gebruikt, en na te denken over de ADMX-configuratie wanneer binnen je organisatie Windows 11-upgrades wordt overwogen.