Administrative templates for windows server 2012

Обновление/установка административных шаблонов групповых политик (ADMX)

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Источник

Обновляем ADMX шаблоны групповых политик в центральном доменном хранилище до уровня Windows 8.1 и Windows Server 2012 R2

На первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\

Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).

Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:

Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:

1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.

Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English. Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:

При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\

Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним

Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\

Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:

Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:

Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:

Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0

В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:

…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:

Источник

Управление административными шаблонами групповых политик

Административными шаблонами (Administrative Templates) называются параметры групповой политики, основанные на изменении параметров реестра. Как вы знаете, в операционных системах Windows большинство настроек хранится в системном реестре, и с помощью административных шаблонов этими настройками можно централизованно управлять.

Административные шаблоны есть как в части пользователей, так и компьютеров. Соответственно параметры политик, указанные на стороне пользователя, применяются к пользователям, а на стороне компьютера — к компьютерам.

Примечание. Если быть более точным, то политики административных шаблонов в конфигурации компьютера модифицируют значения параметров в разделах HKLM\Software\Policies и HKLM\Software\Microsoft\WindowsCurrentVersion\Policies, а административные шаблоны в конфигурации пользователя — HKCU\Software\Policies и HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.

Давайте на практике посмотрим, что из себя представляют административные шаблоны и как они работают. Для примера возьмем первый попавшийся параметр «Disable context menus in the Start Menu», расположенный в разделе «Start Menu and Taskbar» конфигурации компьютера.

Как следует из описания, этот параметр отвечает за показ контекстного меню в меню Пуск.

Технически административные шаблоны представляют собой пару XML-файлов: не связанный с языком файл (ADMX) и набор зависящих от языка файлов (ADML). По умолчанию административные шаблоны расположены локально на компьютере, в папке C:\Windows\PolicyDefinitions. Каждый файл ADMX соответствует определенному разделу групповой политики, соответственно за раздел «Start Menu and Taskbar» отвечает файл StartMenu.admx. Откроем его в текстовом редакторе и найдем секцию, отвечающую за интересующий нас параметр.

В ней содержится имя и область применения параметра, ключ реестра, отвечающий за его настройку, а также ссылки на описание, которое находится в соответствующем языковом файле.

Переходим к языковому файлу. Для каждого языка имеется специальная папка, к примеру файлы для английского языка расположены в папке en-US. Заходим в папку с нужным языком, открываем файл StartMenu.adml и находим строки с нашим параметром. В них хранится название параметров и их описание, которое мы видим в редакторе при редактировании политики.

Ну а результатом применения данной политики будет изменение значения параметра реестра «DisableСontextMenusInStart» в разделе HKLM\Software\Policies\Microsoft\Windows\Explorer.

Таким образом, административные шаблоны представляют из себя самую обычную инструкцию в формате XML по изменению параметров реестра (ADMX) и описание изменяемых параметров, отображаемых в оснастке редактора групповой политики (ADML).

Создание центрального хранилища

До выхода Windows Server 2008 и Vista административные шаблоны имели расширение adm и представляли из себя самые обычные текстовые файлы. У таких административных шаблонов был ряд недостатков. К примеру, в многоязыковой организации требовалось создавать отдельные ADM-файлы для каждого языка, соответственно при изменении параметров приходилось редактировать каждый шаблон отдельно. Кроме того, при использовании такие шаблоны сохранялись как часть объекта групповой политики, и если шаблон использовался в нескольких политиках, то он сохранялся несколько раз. Это увеличивало размер папки SYSVOL и усложняло ее репликацию.

Переход на формат ADMX/ADML изменил ситуацию в лучшую сторону. И одним из плюсов этого перехода стала возможность создания централизованного хранилища административных шаблонов. Использование централизованного хранилища позволяет решить проблему увеличения SYSVOL, поскольку папка ADM больше не создается в каждом объекте групповой политики, а контроллеры домена не хранят и не реплицируют лишние копии ADM-файлов. Это способствует уменьшению трафика репликации SYSVOL между контроллерами домена, а кроме того упрощает процедуру управления административными шаблонами в домене.

По умолчанию редактор групповых политик загружает шаблоны из локальной папки C:\Windows\PolicyDefinitions. Для создания центрального хранилища необходимо на любом контроллере домена взять эту папку и скопировать ее в папку SYSVOL по пути \\имя домена\SYSVOL\имя домена\Policies. Так для домена test.local путь будет выглядеть как \\test.local\SYSVOL\test.local\Policies.

Если после этого открыть объект групповой политики и перейти в раздел Administrative Template, то в качестве источника шаблонов будет указано центральное хранилище (retrieved from the central store).

Файлы в центральном хранилище реплицируются на все контроллеры домена, что очень удобно при обновлении шаблонов.

Обновление шаблонов

Операционные системы Windows постоянно обновляются, получают новые возможности. И для того, чтобы этими возможностями можно было управлять с помощью групповых политик, необходимо регулярно обновлять административные шаблоны.

Для наглядности приведу пример. В Windows 10 (начиная с версии 1607) появилась возможность использовать длинные пути файлов. Политика, отвечающая за это, находится в разделе «Computer configuration\Administrative templates\System\Filesystem» и называется «Enable Win32 long paths».

Но если не обновить административные шаблоны, то нужный нам параметр по указанному пути можно и не найти.

Установщик представляет из себя обычный msi-файл, который можно запустить на любом компьютере.

После запуска надо указать папку, в которую будут распакованы шаблоны

и дождаться окончания процесса распаковки.

Полученные шаблоны надо просто скопировать в хранилище, заменив имеющиеся. Для подстраховки старые шаблоны можно сохранить. Языковые файлы нужно скопировать не все, а только нужные, например для русского и английского языка.

В результате обновления потерянный параметр появился на своем законном месте.

Добавление шаблонов

С помощью административных шаблонов можно управлять не только настройками операционной системы, но и различных приложений. К примеру, мы хотим централизованно управлять настройками программ из пакета Microsoft Office (Word, Excel. Outlook и т.д.) на клиентских компьютерах в домене.

Для этого нам потребуется загрузить с сайта Microsoft и установить специальный пакет для MS Office. Обратите внимание, что для каждой версии предназначен свой набор административных шаблонов. Если в компании используются различные версии Office, то для каждой используемой версии необходимо загружать свою версию шаблонов:

Для примера возьмем набор для Office 2016 и установим его. Принцип примерно такой же, как и при обновлении шаблонов — запускаем установщик,

выбираем папку для распаковки шаблонов

и получаем набор файлов ADMX\ADML.

В нашем примере файлы шаблонов находятся в папке admx. Берем их и копируем в общее хранилище, к остальным шаблонам.

В результате в разделе Administrative Templates добавляются новые разделы, с помощью которых можно управлять настройками офисных программ.

Таким образом можно добавлять шаблоны и для ПО от сторонних производителей, например Google Chrome, Adobe Reader и многих других. Большинство крупных разработчиков выпускают административные шаблоны для своих программ. Ну а если готового шаблона нет, то его можно создать самому, это не так уж и сложно.

Источник

Administrative templates for windows server 2012

Добрый день! Уважаемые коллеги и пользователи одного из популярнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему с черным экраном Windows 10, где я получил много благодарственных комментариев. Движемся дальше и сегодня мы поговорим, что такое центральное хранилище административных шаблонов групповой политики, рассмотрим для чего все это нужно и как внедряется. Уверяю вас, что любой системный администратор у которого есть структура AD просто обязан использовать данную вещь. Уверен, что вам будет интересно.

Для чего придумали центральное хранилище административных шаблонов

Если вы управляли групповой политикой в ​​домене Active Directory в течение какого-то времени, то вам, вероятно, нужно будет в какой-то момент установить файлы ADMX для поддержки нового или обновленного приложения. например Google Chrome, Microsoft Office или Mozilla Firefox, которые по умолчанию не идут. Если вы находитесь в небольшой среде или у вас только несколько администраторов групповой политики, процесс обновления довольно прост: Вы копируйте новые файлы ADMX в папку C:\Windows\ PolicyDefinitions\ на станции управления, копируйте файлы ADML в правильную языковую подпапку, и все готово. Затем, если у вас есть другие администраторы групповой политики, убедиться, что файлы разосланы и им. Но когда у вас компьютеров в сети много или очень много, такое ручное копирование новых файлов ADMX становится весьма трудоемким процессом. Сама Active Directory задумывалась, как централизованная база данных и тут ключевое слово «Централизованное». Из чего следует вывод, что нам нужно как-то централизованно управлять административными шаблонами и и применять их к клиентским и серверным компьютерам.

Проблема заключается в том, что поддерживать файлы ADMX и ADML обновленными в очень большом количестве систем сложно. Если у вас много людей, управляющих групповой политикой, это практически невозможно. Даже если вы имеете дело только с одной станцией управления, если вы забудете скопировать содержимое папки PolicyDefinitions на новый компьютер, это может привести к появлению страшного списка «Дополнительные параметры реестра» в следующий раз, когда вам потребуется изменить объект групповой политики (GPO), потому что Консоль управления групповой политикой (GPMC) не может найти файлы ADMX и ADML, необходимые для правильного отображения параметров.

Что такое административный шаблон

Сравнение расположения локальных ADM- и ADMX-файлов

Начиная с Windows Vista и дальше, параметры административных шаблонов GPO будут располагаться в виде файлов ADMX, локально на компьютере. ADMX файлы теперь будут лежать в другом каталоге, в отличие от старых ADM-файлов.

Расположение ADMX-файлов доменных политик

Как создать центральное хранилище административных шаблонов GPO

Когда я только начинал свой жизненный путь в системном администрировании и знакомился с групповыми политиками, меня уже тогда привлекала внимание надпись «Административные шаблоны получены определения политик (ADMX-файлы) с локального компьютера», после чего я заинтересовался данной темой, о которой прочитал в книге «Настройка Active Directory. Windows Server 2008 (70-640)»

Чтобы создать центральное хранилище, нам нужно создать новую папку на контроллере домена (DC). Технически, не имеет значения, какой DC вы используете; однако если у вас много администраторов групповой политики или если некоторые контроллеры домена медленно реплицируются, вы можете рассмотреть возможность выполнения этого на эмуляторе PDC, поскольку консоль управления групповыми политиками предпочитает подключаться к нему по умолчанию при редактировании групповой политики.

На DC нам нужно создать новую папку PolicyDefinitions по пути:

Создаем тут новую папку с именем PolicyDefinitions.

То же самое можно выполнить и через командную строку, введя вот такую команду:

Далее нам нужно скопировать все наши файлы ADMX и ADML в центральное хранилище. Напоминаю, что каждая операционная система имеет свои административные шаблоны, Windows 7 свои, Windows 8.1 свои, Windows Server 2012 R2 свои. Так как у меня мой тестовый контроллер домена находится на Windows Server 2012 R2, то я начну с него. Откройте папку C:\Windows\PolicyDefinitions и скопируйте ее содержимое в виде ADMX файлов и языковых пакетов в нашу новую папку \\root\SYSVOL\root.pyatilistnik.org\Policies \ PolicyDefinitions. Выделяем нужные файлы и переносим их в папку PolicyDefinitions.

В итоге мои административные шаблоны от Windows Server 2012 R2 попали в мое центральное хранилище GPO.

Как добавить самые свежие версии административных шаблонов

Чтобы иметь возможность добавить самые последние версии ADMX файлов, у вас есть два пути:

Начинаем установку нужных вам административных шаблонов.

Принимаем лицензионное соглашение

Обращаем на каталог установки ваших административных шаблонов, именно из данного расположения вы будите копировать в вашу новую папку PolicyDefinitions

Не длительный процесс установки.

Выделяем нужные языки и файлы ADMX и копируем их к вам в центральное хранилище.

Теперь если попробовать отредактировать любой объект GPO вы увидите уже такую надпись: «Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища«

Источник

Для системного администратора

Шаблоны ADM и ADMX для групповой политики

Файлы ADM. Иногда они вызывают любовь, иногда ненависть. А иногда и то, и другое. А все из-за того, что применять AMD сложно, но без них никуда. Теперь появились еще и файлы ADMX — это новый формат, который, на первый взгляд, только запутывает дело. Похоже, пришло время пролить свет на эту туманную область.

Зачем нужны файлы ADM?

Групповая политика охватывает ряд различных объектов. Если вы загляните в редактор объектов групповой политики, вы найдете в нем множество штуковин — это то, что умеет групповая политика. Например, в нем есть политика программных ограничений, групповая политика установки программ, перенаправление папок и, кстати, административные шаблоны — их мы используем чаще всего. Узел административных шаблонов существует и в части пользователей, и в части компьютера. Как вы, наверное, догадались, параметры политик, указанные на стороне пользователя, относятся к пользователям, а на стороне компьютера — к компьютеру.

Откуда берутся все эти чудные параметры административных шаблонов? В момент создания нового поколения существует несколько параметров, которыми теоретически можно управлять. Вот тут на сцену и выходят файлы ADM. Они описывают те области приложения, которые могут использовать параметры, задаваемые администратором. К сожалению, файлы ADM ограничиваются лишь параметрами реестра для конкретного приложения, а приложение может сохранять параметры не только в реестре: в файлах INI, JS, XML, в базах данных.

Готовые файлы ADM

Откуда вообще берутся готовые политики для административных шаблонов в конфигурации компьютера и конфигурации пользователей? Если щелкнуть правой кнопкой мыши сслыку «Административные шаблоны» в редакторе объектов и выбрать пункт «Добавление и удаление шаблонов» либо на стороне компьютера, либо на стороне пользователя, вы увидите стандартные шаблоны, на основе которых создается стандартная конфигурация (как показано на рис. 1).

Рис. 1 Административные шаблоны по умолчанию

Схема файлов следующая:

Добавление нового файла шаблона ADM

Делается это совершенно просто. Нужно взять шаблон ADM, который вы хотите использовать. Млжно загрузить один из шаблонов, размещенных на веб-узле GPanswers.com (там немало интересных примеров), или ADM-файл для Office 2003 или Office 2007 на веб-узле Майкрософт.

Щелкните правой кнопкой мыши ссылку «Административные шаблоны» и выберите пункт «Добавить», как показано на рис. 1. По умолчанию Windows ищет шаблоны в каталоге \Windows\inf, но это не означает, что в другом месте их хранить нельзя. Учтите следующий момент: как только шаблон ADM будет добавлен из исходного хранилища, он добавляется в сам объект групповой политики.

Например, когда я писал эту статью, я зашел на веб-узел GPanswers.com и загрузил файл nopassport.adm. Я сохранил его в папке c:\temp. Этот шаблон ADM позволяет убрать вопрос о добавлении паспорта, который появляется при первом входе пользователя в Windows XP.

Еще я загрузил шаблоны ADM для Office 2003 и сохранил их там же, в папке c:\temp. Но я их там не оставил. На рис. 2 показано, что я добавил шаблоны nopassport.adm и Word11.adm. Они появились в списке стандартных шаблонов в окне «Добавление и удаление шаблонов».

Additional ADM files in the GPO

Теперь взгляните на файлы, относящиеся к самому объекту групповой политики (они лежат в папке \\domaincontroller\SYSVOL\domainname\Policies\GUID\ADM). Как вы вилите, теперь шаблоны nopassport.adm и Word11.adm являются частью объекта групповой политики (см. рис. 2).

Зачем шаблоны добавляются в объект групповой политики? Делается это для того, чтобы параметры, содержащиеся в этих файлах, были видны, если вы решите изменить объект групповой политики в другой системе управления.

Почему загруженные файлы не видны?

Иногда добавленные файлы ADM видны, иногда нет. Такое поведение нередко приводит администраторов в растерянность. На веб-узле GPanswers.com этот вопрос задают очень часто, так что давайте прямо сейчас все и проясним.

По крайней мере, результаты добавления двух файлов, которые мы рассматривали выше, вы должны видеть (см. рис. 3). Появляются два новых узла: узел Nuisances в конфигурации компьютера (его добавляет файл nopassport.adm) и узел Microsoft Office Word 2003 в конфигурации пользователя (его добавляет файл Word11.adm). Если как следует покопаться в параметрах Microsoft® Word 2003, вы обнаружите довольно большое число настраиваемых величин — они показаны на рис. 3.

Рис. 3 Настраиваемые параметры групповой политики

Так почему же их нет в узле Nuisances? Чтобы это понять, нужно сначала разобраться, что такое «допустимые» и «недопустимые» разделы политики с точки зрения шаблонов ADM.

Допустимые и недопустимые разделы политики

Согласно документации Майкрософт, существуют четыре утвержденных области реестра, в которых можно создавать политики на основании взломов реестра:

Параметры, содержащиеся в файле ADM для Word 2003, записываются как раз в эти разделы, а вот параметры из файла nopassport.adm — нет. Они записываются в раздел HKLM\Software\Microsoft\MessengerService\PassportBalloon.

Редактор объектов групповой политики предпочитает перестраховаться и не сразу делает эти параметры видимыми, поскольку они записаны в недопустимый раздел политики, а вносимые изменения останутся в реестре навсегда. Даже если вы угрохаете объект групповой политики, отменить изменения не получится. Возьмем, к примеру, такую ситуацию. Вы добавили файл nopassport.adm и решили, что вопрос о добавлении паспорта не должен задаваться ни на одном компьютере в вашем домене. А потом ваш начальник ненароком заметил, что именно этот вопрос его особенно радовал. Вот тут-то вам придется повозиться, прежде чем вы вернете эту настройку к прежнему виду, потому что вы отменили подсказку на всех компьютерах — и в общем случае это делается навсегда. Конечно, можно создать новый файл ADM, который вернет подсказку обратно, но на это тоже уйдет немало сил.

Обычные же параметры политики, напротив, имеют значения, используемые по умолчанию. Если уничтожить объект групповой политики, для таких параметров будут восстановлены стандартные значения. Например, если вы запретите доступ к панели управления при помощи встроенных шаблонов ADM, а потом передумаете, вам нужно будет просто удалить соответствующий объект групповой политики — и панель управления вернется. Это относится практически ко всем параметрам, содержащимся в стандартных шаблонах ADM (за редким исключением).

Еще раз напомню, что в случае с вопросом о паспорте групповой политике не удавалось восстановить прежнюю конфигурацию после удаления объекта, потому что параметры из файла ADM были сохранены в недопустимом разделе. Майкрософт позаботился о том, чтобы вы не подпилили сук, на котором сидите, — не рванули использовать подобные параметры, изменяющие реестр навсегда.

Просмотр шаблонов ADM

Итак, увидеть шаблон совсем не сложно. По умолчанию редактор не показывает параметры, но это можно исправить. Щелкните ссылку «Административные шаблоны» (либо в части компьютера, либо в части пользователей) и выберите «Вид» > «Фильтрация». Наконец, снимите (все верно, снимите) флажок «Показывать только управляемые парметры политики» (см. рис. 4). Когда вы это сделаете, в столбце «Парметр» появится строчка Passport Solicitation (запрос паспорта) — она тоже есть на рис. 4.

Рис. 4 Фильтрация GPO

Работа с редактором в Windows XP и в Windows Vista

Вы заметили небольшое отличие только что появившегося параметра политики? Взгляните на значки параметров, содержащихся в стандартных файлах ADM, показанные на рис. 5. А теперь на значок параметра шаблона ADM, вносящего изменения в недопустимый раздел политики в реестре на рис. 6.

Рис. 5 ADM-файлы со значками

Рис. 6 Значки для недопустимого использования реестра

По синим и красным значкам можно отличить параметр, вносящий обратимые изменения, от параметра, вносящего изменения в реестр навсегда. Но это, опять же, зависит от того, куда записывается параметр.

В Windows Vista®, надо сказать, ситуация несколько меняется, если использовать файлы ADM в управляющей станции Windows Vista. В таком случае файлы ADM добавляются в отдельный узел под названием «Классические административные шаблоны (ADM)», как показано на рис. 7. Параметры, которые раньше отмечались красной точкой, теперь обозначаются свитком со стрелкой вниз (а во время редактирования самого параметра у него стоит маленький значок «Вход воспрещен»).

Рис. 7 Узел классических административных шаблонов

Параметры, которые раньше отмечались синей точкой (то есть те, которые записывались в допустимые разделы политики) обозначаются просто маленьким свитком, как показано на рис. 8.

Рис. 8 Значки промотки с действительными реестрами

А что за шумиха вокруг ADMX?

И Windows Vista, и Windows Server 2003 включают встроенную консоль управления групповами политиками. А она, в свою очередь, включает в себя новую возможность — возможность избавиться от старых файлов ADM и перейти на файлы ADMX, если вам так удобнее. Зачем это нужно?

Давайте вспомним, что файл ADM помещается в шаблон групповой политики, который является частью объекта групповой политики (эта часть хранится в SYSVOL). Когда это происходит, вы теряете примерно 4 МБ на каждом контроллере домена при каждом создании объекта групповой политики. Также вспомним, что файл ADM размещается в шаблон групповой политики, потому что это необходимо на случай попытки отредактировать объект политики на другой управляющей станции. Если файла ADM в нем не будет, вы не сможете изменить параметры, содержащиеся в ADM.

Формат ADMX позволяет избежать всех этих неприятностей. В объекты групповой политики напрямую ничего не записывается, поэтому проблема «раздутого SYSVOL», которому приходится хранить в себе объекты групповой политики, кучу файлов ADM, да еще и выполнять репликацию на все контроллеры домена, отпадает сама собой. Для этого стандарт ADMX использует преимущества так называемого центрального хранилища. Задача его состоит в том, чтобы предоставить единое место хранения новых файлов ADMX — тогда их не придется копировать в каждый объект групповой политики. Прощай, раздутый SYSVOL. Пока-пока! Еще один плюс центрального состоит в том, что если в одном из файлов ADMX обновляется определение, все управляющие станции Windows Vista незамедлительно начинают использовать обновленный ADMX.

Если вам хочется побольше узнать о файлах ADMX, и в частности о создании и использовании центрального хранилища, могу предложить вам два источника. Во-первых, это подробная статья Даррена Мар-Элиа (Darren Mar-Elia) в февральском выпуске журнала Technet Magazine за 2007 г. (technetmagazine.com/issues/2007/02/Templates), в которой он рассматривает формат ADMX и дает краткое разъяснение по поводу центрального хранилища. Во-вторых, можно загрузить целую главу из моей будущей книги под названием «Групповая политика: управление, устранение неполадок и безопасность». Она есть в разделе Book Resources (книги) на веб-узле GPanswers.com.

Как я уже упоминал, шаблоны ADM по-прежнему поддерживаются управляющими станциями Windows Vista, но вот центральное хранилище использовать для них не получится. Это порой может сбить с толку, так что рассмотрим подробнее один пример.

Допустим, я создал объект групповой политики в управляющей станции Windows Vista, а затем настроил некоторые стандартные параметры (скажем, запретил доступ к панели управления). Затем я добавил свой собственный шаблон ADM. Теперь заглянем в шаблон объекта групповой политики и попробуем разобраться в том, что произошло.

Чтобы добавить шаблон ADM, вы можете повторить действия, которые я выполнял чуть ранее. Откройте редактор объектов групповой политики, щелкните правой кнопкой мыши ссылку «Административные шаблоны» для компьютера или пользователя и выберите пункт «Добавление и удаление шаблонов». Добавленный шаблон показан на рис. 9.

Рис. 9 Просмотр добавленного шаблона

Чтобы увидеть параметры, содержащиеся в нашем шаблоне ADM, нужно проделать то, что показано на рис. 4. То есть, щелкнуть «Просмотр» > «Фильтрация» и снять флажок «Показывать только управляемые парметры политики». После этого нужно закрыть редактор объектов и вернуться в консоль управления групповыми политиками. На рис. 10 показана вкладка свойств объекта, который я только что создал в управляющей станции Windows Vista. (Смотрите, какое удобное имя я ему придумал!) На вкладке всойств можно узнать идентификатор GUID для данного объекта групповой политики — это упростит его поиск в SYSVOL.

Рис. 10 Административные шаблоны по умолчанию

Рис. 11 ADM-файл, испортированный вручную

Описанное выше поведение коренным образом отличается от, скажем, поведения объекта, показанного на рис. 12, который создавался в Windows XP или Windows Server 2003. Если объекты групповой политики создаются в управляющих станциях версий Windows, предшествующих Windows Vista, исходные файлы ADM добавляются в объекты групповой политики, как я описывал выше. Приведенный здесь объект создан в управляющей станции Windows XP. Это можно определить по обилию файлов ADM, которые Windows Vista не использует за ненадобностью.

Рис. 12 GPO, созданный в Windows XP

Преобразоывание ADM в ADMX с помощью средства ADMX Migrator

Итак, в Windows XP используются файлы ADM, а в Windows Vista — файлы ADMX (хотя ADM поддерживается — на случай, если ничего другого под руками нет). Однако мы не можем записывать файлы ADM в центральное хранилище: управляющие странции Windows Vista так их использовать не будут.

Чтобы иметь возможность применять параметры, содержащиеся в файлах ADM, лежащих в центральном хранилище, необходимо преобразовать файлы ADM в ADMX или создать их аналоги в формате AMDX. К счастью, существует программа, которая выполняет оба действия. Это средство ADMX Migrator (которое фактически состоит из двух частей, одна из которых преобразует ADM в ADMX, а вторая — создает ADMX). Его можно загрузить на веб-узле go.microsoft.com/fwlink/?LinkId=103774.

Средство ADMX Migrator устанавливается на Windows Server 2003, Windows XP и Windows Vista. Установленные приложения лежат в папке C:\Program Files\FullArmor\ADMX Migrator. Программа командной строки, которой я воспользуюсь, называется faAdmxConv.exe. Поскольку папка, в которой установлена программа, к числу стандартных путей не относится, нам придется переходить в нее, и только после этого мы сможем запустить приложение, поэтому, когда я его использую, я добавляю папку приложения в набор путей Windows. Как это сделать, описано в статье на странице www.computerhope.com/issues/ch000549.htm.

Рис. 13 Средство переноса ADMX

Прежде чем копировать полученные файлы в центральное хранилище, попробуйте протестировать их на компьютере, отключенном от сети. Перейдите в автономный режим, скопируйте файл ADMX в папку C:\Windows\PolicyDefinitions, файл ADML — в каталог соответствующего языка. В США это будет папка C:\Windows\PolicyDefinitions\en-us. Пример процедуры копирования приведен на рис. 14.

Рис. 14 Копирование ADMX-файлов в центральное хранилище

Средство преобразования ADM в ADMX недавно обновили до версии 1.2. В ней было исправлено несколько ошибок, происходящих при преобразоывании, и добавлено несколько полезных предупредительных сообщений. Если когда-то вы пытались использовать средство преобразоывания, но из-за какой-то ошибки забросили это дело, обязательно испытайте версию 1.2.

Наконец, обратите внимание, что файл ADM фактически преобразовывается в два файла: файл ADMX (не зависящий от языка) и файл ADML (зависящий от языка системы). После этого вы можете либо отправить их в центральное хранилище, либо протестировать на локальной машине. Как бы там ни было, чтобы увидеть параметры, содержащиеся в шаблоне ADMX, вам все равно придется проделать то, что показано на рис. 4. То есть, выбрать пункт «Просмотр» > «Фильтрация» и снять флажок «Показывать только управляемые параметры политики». Это связано с тем, что параметры, содержащиеся в файле ADMX, записываются в недопустимый раздел политики.

Подведем итоги

В идеальном случае, конечно, нужно использовать только файлы ADMX и задействовать центральное хранилище. Однако для этого придется преобразовать все имеющиеся файлы ADM, перевести все управляющие станции на Windows Vista (или Windows Server 2008) и условиться не редактировать объекты групповой политики в предыдущих версиях Windows.

Если вы все это сделаете, вы практически избавитесь от файлов ADM. Пока что файлы ADM в объектах групповой политики лишь занимают лишнее место в SYSVOL на контроллерах доменов. Когда вы достигнете нирваны под названием ADMX, вы сможете просто удалить файлы ADM из шаблонов объектов групповой политики, лежащих в SYSVOL. Именно так. ADM — пережиток прошлого, червеобразный отросток. Когда-то он был полезен, но теперь он никакой роли не играет. Вы можете удалить их вручную, а можете написать сценарий. Но прежде чем вы это сделаете, обратите внимание: если перечисленные выше этапы не выполнения полностью, вы совершаете величайшую ошибку. Сначала убедитесь, что вы и впрямь можете распрощаться с ADM навсегда.

Автор: Джереми Московиц
Источник: январь 2008 Technet Magazine

Этот пост January 12, 2008 at 12:07 pm опубликовал molse в категории Групповые политики. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

Источник