Рекомендации по использованию административных шаблонов групповой политики (файлы ADM)

Переводы статьи Переводы статьи
Код статьи: 816662 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья рассказывает о работе файлов ADM, параметрах политики, доступных для управления операциями с этими файлами, и содержит рекомендации по выполнению распространенных сценариев управления файлами ADM.

Знакомство с файлами ADM

Файлы ADM являются шаблонами, которые используются групповыми политиками для описания места хранения в реестре параметров политики на основе реестра. Файлы ADM также описывают интерфейс пользователя, который администраторы видят в редакторе объектов групповой политики. Этот редактор используется администраторами для создания или изменения объектов групповой политики (GPO).

Хранение файлов ADM и параметры по умолчанию

В папке Sysvol каждого контроллера домена каждый объект групповой политики домена содержит одну папку, и эта папка называется шаблоном групповой политики (GPT). В GPT хранятся все файлы ADM, использованные в редакторе объектов групповой политики при последнем создании или изменении объектов групповой политики.

Каждая операционная система включает стандартный набор файлов ADM. Эти стандартные файлы являются файлами по умолчанию, загружаемыми редактором объектов групповой политики. Например, в Windows Server 2003 включены следующие файлы ADM:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Специальные файлы ADM

Разработчики ПО или сотрудники отделов ИТ могут создавать специальные файлы ADM для использования параметров политики на основе реестра в новых программах и компонентах.

Примечание. Код программ и компонентов должен проектироваться и создаваться с возможностью распознавания и выполнения параметров политики, описанных в файлах ADM.

Чтобы загрузить файлы ADM в редактор объектов групповой политики, выполните следующие действия:
  1. Запустите редактор объектов групповой политики.
  2. Щелкните правой кнопкой мыши элемент Административные шаблоны и выберите команду Добавление и удаление шаблонов.

    Примечание. Административные шаблоны доступны в узлах Конфигурация компьютера или Конфигурация пользователя. Выберите правильную конфигурацию для своего специального шаблона.
  3. Нажмите кнопку Добавить.
  4. Выберите файл ADM и нажмите кнопку Открыть.
  5. Нажмите кнопку Закрыть.
  6. Параметры политики для специальных файлов ADM теперь доступны в редакторе объектов групповой политики.

Обновление файлов ADM и отметок времени

Каждая рабочая станция администратора, используемая для работы редактора объектов групповой политики, хранит файлы ADM в папке %windir%\Inf. При создании и первом изменении объектов групповой политики файлы ADM копируются из этой папки во вложенную папку шаблона групповой политики. В число копируемых входят стандартные файлы ADM и специальные файлы ADM, добавленные администратором.

Примечание. Создание объекта групповой политики без последующего его изменения создает шаблон групповой политики без файлов ADM.

По умолчанию при изменении объекта групповой политики редактор объектов групповой политики сравнивает отметки времени файлов ADM в папке %windir%\Inf на рабочей станции с отметками файлов, хранящимися в папке шаблона групповой политики администратора. Если файлы на рабочей станции более новые, редактор объектов групповой политики копирует эти файлы в папку шаблона групповой политики администратора, перезаписывая существующие файлы при совпадении имен. Это сравнение происходит, когда в редакторе объектов групповой политики выбирается узел «Административные шаблоны» (конфигурация компьютера или пользователя) независимо от того, были ли администратором действительно внесены изменения в объект групповой политики.

Примечание. Файлы ADM, хранящиеся в шаблоне групповой политики, можно обновить, просмотрев объект групповой политики в редакторе объектов групповой политики.

Из-за важности отметок времени для управления файлами ADM не рекомендуется изменять файлы ADM, поступающие из системы. Если требуется новый параметр политики, корпорация Майкрософт рекомендует создать специальный файл ADM. Это предотвращает замену поступивших из системы файлов ADM при выпуске пакетов обновлений.

Консоль управления групповой политикой

По умолчанию консоль управления групповой политикой (оснастка GPMC) всегда использует локальные файлы ADM независимо от их отметки времени, и никогда не копирует файлы ADM в папку Sysvol. Если файл ADM не найден, оснастка GPMC ищет файл ADM в шаблоне групповой политики. Пользователь оснастки GPMC также может указать другое местоположение для файлов ADM. Если указано другое местоположение, оно имеет приоритет.

Репликация объектов групповой политики

Служба репликации файлов (FRS) выполняет репликацию шаблонов групповой политики для объектов групповой политики в домене. Вложенная папка администратора Adm является частью шаблона групповой политики и подвергается репликации на все контроллеры домена. Каждый объект групповой политики хранит несколько файлов ADM, и некоторые из них могут быть довольно большими, поэтому необходимо учитывать влияние файлов ADM, добавляемых или обновляемых при использовании редактора объектов групповой политики, на объем трафика репликации.

Использование параметров политики для управления обновлением файлов ADM

Для облегчения управления файлами ADM доступны две области параметров политики. Эти параметры позволяют администратору настроить использование файлов ADM для определенной среды. Это параметры «Отключить автоматическое обновление ADM-файлов» и «Всегда использовать локальные файлы ADM для редактора групповой политики».

Отключить автоматическое обновление ADM-файлов

Этот параметр политики доступен в узле Конфигурация пользователя\Административные шаблоны\Система\Групповая политика в Windows Server 2003, Windows XP и Windows 2000. Параметр можно применить к любому клиенту с поддержкой групповой политики.

Всегда использовать локальные файлы ADM для редактора групповой политики

Этот параметр политики доступен в узле Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. Это новый параметр политики. Его можно применять только на клиентах под управлением Windows Server 2003. Этот параметр можно использовать на клиентах с более ранними версиями ОС, но он не окажет воздействия на их работу. Если данный параметр включен, редактор объектов групповой политики всегда использует локальные файлы ADM, хранящиеся в системной папке %windir%\Inf, для редактирования объекта групповой политики.

Примечание. Если этот параметр политики включен, предполагается, что включен также параметр политики Отключить автоматическое обновление ADM-файлов.

Распространенные сценарии и рекомендации

Проблемы администрирования на разных языках

В некоторых средах параметры политики не могут быть представлены в интерфейсе пользователя на других языках. Например, администратору из США удобно просматривать параметры политики для определенного объекта групповой политики на английском языке, а администратору из Франции – на французском языке. Шаблон групповой политики может хранить только один набор файлов ADM, и его невозможно использовать для хранения файлов ADM для двух этих языков.

В Windows 2000 использование локальных файлов ADM для редактора объектов групповой политики не поддерживается. Для решения этой проблемы используйте параметр политики «Отключить автоматическое обновление ADM-файлов». Так как этот параметр политики не влияет на создание новых объектов групповой политики, в шаблон групповой политики в Windows 2000 будут выгружены локальные файлы ADM, а язык объекта групповой политики определится при его создании в Windows 2000. Если параметр политики «Отключить автоматическое обновление ADM-файлов» действует на всех рабочих станциях Windows 2000, язык файлов ADM в шаблоне групповой политики будет определяться языком компьютера, использованного для создания объекта групповой политики.

Администраторы компьютеров под управлением Windows XP и Windows Server 2003 могут применять параметр политики «Всегда использовать локальные файлы ADM для редактора групповой политики». Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на его рабочей станции (на французском языке), независимо от файла ADM, хранящегося в шаблоне групповой политики. Обратите внимание, что при использовании этого параметра политики предполагается, что включен параметр политики «Отключить автоматическое обновление ADM-файлов» во избежание нежелательных обновлений файлов ADM в шаблоне групповой политики.

Также рассмотрите возможность стандартизации в последних версиях операционных систем корпорации Майкрософт для рабочих станций администратора в многоязыковой среде администрирования. Затем настройте оба параметра политики: «Всегда использовать локальные файлы ADM для редактора групповой политики» и «Отключить автоматическое обновление ADM-файлов».

Если используются рабочие станции Windows 2000, примените параметр политики «Отключить автоматическое обновление ADM-файлов» для администраторов, и язык файлов ADM в шаблоне групповой политики будет использоваться на всех рабочих станциях Windows 2000.

Примечание. Рабочие станции Windows XP могут по-прежнему использовать свои локальные версии на определенных языках.

Проблемы операционной системы и пакетов обновлений

Каждая версия операционной системы или пакета обновлений включает охватывающий набор файлов ADM, входивших в предыдущие версии, в том числе параметры политики, характерные для операционных систем, отличающиеся от вновь вышедших версий. Например, файлы ADM, поставляемые с Windows Server 2003, включают все параметры политики для всех операционных систем, включая параметры, относящиеся только к Windows 2000 или Windows XP Professional. Это значит, что просмотр объекта групповой политики с компьютера с новой версией операционной системы или пакета обновлений приводит к обновлению файлов ADM. Так как более поздние версии обычно включают охватывающий набор файлов ADM для предыдущих версий, проблем возникать не должно (предполагается, что используемые файлы ADM не изменялись).

В некоторых случаях операционная система или пакет обновлений могут включать неполный набор файлов ADM, поставлявшихся с предыдущими версиями. В результате может использоваться набор файлов ADM ранних версий, благодаря чему появляется невозможность просмотра параметров политики администраторами, использующими редактор объектов групповой политики. Однако параметры политики в объекте групповой политики продолжат действовать. Недоступным оказывается только просмотр параметров политики в редакторе объектов групповой политики. Любой заданный (включенный или отключенный) параметр политики не будет виден в редакторе объектов групповой политики, но будет продолжать работать. Поскольку эти параметры не отображаются, администраторы не могут просмотреть их или изменить. Для решения этой проблемы администраторам следует ознакомиться с файлами ADM, входящими в каждую операционную систему или пакет обновлений, прежде чем использовать редактор объектов групповой политики в этой операционной системе, учитывая, что даже просмотра объекта групповой политики достаточно для обновления файлов ADM в шаблоне групповой политики, если сравнение отметки времени укажет на необходимость такого обновления.

Чтобы планировать обновление файлов в своей среде, корпорация Майкрософт рекомендует выполнить одно из следующих действий.
  • Определить стандартную операционную систему и пакет обновлений, в которых будут проходить все просмотры и изменения объектов групповой политики, чтобы используемые файлы ADM включали параметры политики для всех платформ.
  • Использовать параметр политики «Отключить автоматическое обновление ADM-файлов» для всех администраторов групповой политики, чтобы файлы ADM не перезаписывались в шаблоне групповой политики в каждом сеансе работы с редактором объектов групповой политики, и использовать только самые последние файлы ADM, доступные у корпорации Майкрософт.
Примечание. Вместе с этим параметром обычно используется параметр «Всегда использовать локальные файлы ADM для редактора групповой политики», если он поддерживается операционной системой, в которой запущен редактор объектов групповой политики.

Удаление файлов ADM из папки Sysvol

По умолчанию файлы ADM хранятся в шаблоне групповой политики, что значительно увеличивает размер папки Sysvol. Частое изменение объектов групповой политики также может привести к значительному увеличению трафика репликации. Использование сочетания параметров политики «Отключить автоматическое обновление ADM-файлов» и «Всегда использовать локальные файлы ADM для редактора групповой политики» может значительно уменьшить размер папки Sysvol и снизить трафик репликации в случаях, когда в политику вносится значительное число изменений.

Если размер тома Sysvol или трафика репликации, связанного с групповой политикой, вызовет проблему, подумайте об организации среды, где в папке Sysvol не будет файлов ADM. Также рассмотрите возможность хранения файлов ADM на рабочих станциях администраторов. Эта процедура описана в следующем разделе.

Для очистки папки Sysvol от файлов ADM выполните следующие действия:
  1. Включите параметр политики «Отключить автоматическое обновление ADM-файлов» для всех администраторов групповой политики, которые будут изменять объекты групповой политики.
  2. Убедитесь, что эта политика применена.
  3. Скопируйте специальные шаблоны ADM в папку %windir%\Inf.
  4. Измените существующие объекты групповой политики и удалите все файлы ADM из шаблона групповой политики. Для этого щелкните правой кнопкой мыши элемент Административные шаблоны и выберите команду Добавление и удаление шаблонов.
  5. Включите параметр политики «Всегда использовать локальные файлы ADM для редактора групповой политики» для рабочих станций администраторов.

Хранение файлов ADM на рабочих станциях администраторов

Если используется параметр политики «Всегда использовать локальные файлы ADM для редактора групповой политики», на каждой рабочей станции должна находиться последняя версия специальных и стандартных файлов ADM. Если все файлы ADM недоступны локально, некоторые параметры политики, содержащиеся в объекте групповой политики, могут быть не видны администратору. Избежать этого можно, если все администраторы будут использовать стандартную операционную систему и пакет обновлений. Если невозможно стандартизировать операционную систему и пакет обновлений, используйте процесс распространения последней версии файлов ADM на все рабочие станции администраторов.

Примечание. Поскольку файлы ADM рабочей станции хранятся в папке %windir%\Inf, процесс, используемый для распространения этих файлов, должен запускаться в контексте учетной записи с правами администратора рабочей станции.

Примечание. Если в папке Sysvol нет файлов ADM, то редактирование объектов групповой политики в Windows XP невозможно. В реальной среде данное ограничение продукта следует принять во внимание.


Ссылки

Дополнительные сведения о шаблоне групповой политики в Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
316977 Назначение шаблона групповой политики в Windows Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 816662 - Последний отзыв: 3 декабря 2007 г. - Revision: 11.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbinfo KB816662

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com