管理组策略管理模板 (.adm) 文件的建议

文章翻译 文章翻译
文章编号: 816662 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了 ADM 文件的工作方式、可用于管理其操作的策略设置以及关于如何处理常见 ADM 文件管理情况的建议。

ADM 文件简介

ADM 文件是组策略用以描述基于注册表的策略设置在注册表中的存储位置的模板文件。ADM 文件还描述了管理员在“组策略对象编辑器”管理单元中看到的用户界面。管理员使用组策略对象编辑器创建或修改组策略对象 (GPO)。

ADM 文件存储和默认值

在每个域控制器的 Sysvol 文件夹中,每个域 GPO 都包含一个文件夹,该文件夹被称为组策略模板 (GPT)。GPT 存储上次创建或编辑 GPO 时组策略对象编辑器中使用的所有 ADM 文件。

每个操作系统都包含一个标准 ADM 文件集。这些标准文件是组策略对象编辑器加载的默认文件。例如,Windows Server 2003 包括以下 ADM 文件:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自定义 ADM 文件

程序开发人员或 IT 专业人员可以创建自定义 ADM 文件,以便将对基于注册表的策略设置的使用扩展到新的程序和组件中。

注意:必须对程序和组件进行设计和编码,以识别和响应 ADM 文件中所描述的策略设置。

要在组策略对象编辑器中加载 ADM 文件,请执行以下操作步骤:
  1. 启动“组策略对象编辑器”。
  2. 右键单击“管理模板”,然后单击“添加/删除模板”。

    注意:管理模板可在“计算机”或“用户配置”下找到。选择您的自定义模板的正确配置。
  3. 单击“添加”。
  4. 单击 ADM 文件,然后单击“打开”。
  5. 单击“关闭”。
  6. 此时组策略对象编辑器中已经有自定义 ADM 文件策略设置了。

更新 ADM 文件和时间戳

每个用于运行组策略对象编辑器的管理工作站都将 ADM 文件存储在 %windir%\Inf 文件夹中。创建并首次编辑 GPO 后,此文件夹中的 ADM 文件即被复制到 GPT 中的 Adm 子文件夹中。这些文件包括标准 ADM 文件和管理员添加的任何自定义 ADM 文件。

注意:如果创建 GPO 之后不对其进行编辑,即会创建一个不包含任何 ADM 文件的 GPT。

默认情况下,编辑 GPO 时组策略对象编辑器会对工作站的 %windir%\Inf 文件夹中 ADM 文件的时间戳和存储在 GPT Adm 文件夹中的 ADM 文件的时间戳进行比较。如果工作站中的文件比较新,组策略对象编辑器就会把这些文件复制到 GPT Adm 文件夹中,覆盖现有的任何同名文件。如果在组策略对象编辑器中选中了管理模板节点(计算机或用户配置),无论管理员是否实际编辑了 GPO,都会进行比较。

注意:可通过查看组策略对象编辑器中的 GPO 来更新 GPT 中存储的 ADM 文件。

由于 ADM 文件管理上的时间戳的重要性,建议不要对系统提供的 ADM 文件进行编辑。如果需要新的策略设置,Microsoft 建议您创建一个自定义 ADM 文件。这会防止在释放 Service Pack 时替换系统提供的 ADM 文件。

组策略管理控制台

默认情况下,组策略管理控制台 (GPMC) 一直使用本地 ADM 文件,而不考虑它们的时间戳,并且从不将 ADM 文件复制到 Sysvol。如果找不到某个 ADM 文件,GPMC 则会在 GPT 中查找此文件。另外,GPMC 用户还可以为 ADM 文件指定另一个位置。如果指定了另一个位置,则首先会在此位置查找。

GPO 复制

文件复制服务 (FRS) 在整个域中复制 GPO 的 GPT。作为 GPT 的一部分,Adm 子文件夹将被复制到域中的所有域控制器上。由于每个 GPO 都存储了多个 ADM 文件,而且其中一些文件可能相当大,您必须了解使用组策略对象编辑器时添加或更新的 ADM 文件会对复制流量产生怎样的影响。

使用策略设置控制 ADM 文件更新

有两个策略设置区域可用于帮助管理 ADM 文件。借助于这些设置,管理员可以为特定环境调整 ADM 文件的使用。这两个设置分别是“关闭 ADM 文件的自动更新”和“始终为组策略编辑器使用本地 ADM 文件”设置。

关闭 ADM 文件的自动更新

此策略设置可在 Windows Server 2003、Windows XP 和 Windows 2000 中的 User Configuration\Administrative Templates\System\Group Policy 下找到。它可应用于任何启用了组策略的客户端。

始终为组策略编辑器使用本地 ADM 文件

此策略设置可在 Computer Configuration\Administrative Templates\System\Group Policy 下找到。这是一项新的策略设置。只能成功应用于 Windows Server 2003 客户端。也可为较旧的客户端部署该设置,但是不会对它们的行为产生任何影响。如果启用了此设置,编辑组策略对象时,组策略对象编辑器会始终使用本地系统 %windir%\Inf 文件夹中的本地 ADM 文件。

注意:如果启用了此策略设置,则意味着启用关闭 ADM 文件的自动更新策略设置。

常见情况和建议

多语言管理问题

在某些环境中,可能必须在用户界面中用不同的语言提供策略设置。例如,位于美国的管理员可能希望以英语查看特定 GPO 的策略设置,位于法国的管理员则可能希望使用法语作为首选语言来查看同一个 GPO。由于 GPT 只能存储一个 ADM 文件集,因此无法使用 GPT 来存储两种语言的 ADM 文件。

对于 Windows 2000,不支持组策略对象编辑器使用本地 ADM 文件。要解决此问题,请使用“关闭 ADM 文件的自动配置”策略设置。因为此策略设置并不影响新的 GPO 的创建,所以可以在 Windows 2000 中将本地 ADM 文件上载到 GPT,并且在 Windows 2000 中创建 GPO 可以有效地定义“GPO 的语言”。如果“关闭 ADM 文件的自动更新”策略设置在所有的 Windows 2000 工作站中都有效,则 GPT 中 ADM 文件的语言将由用于创建 GPO 的计算机的语言定义。

对于使用 Windows XP 和 Windows Server 2003 的管理员来说,可以使用“始终为组策略编辑器使用本地 ADM 文件”策略设置。这样,法国的管理员就可以通过使用本地安装在他(她)的工作站(法国的)上的 ADM 文件来查看策略设置,而不必考虑存储在 GPT 中的 ADM 文件。请注意,使用此策略设置时,即意味着启用了“关闭 ADM 文件的自动更新”策略设置以避免对 GPT 中包含的 ADM 文件进行不必要的更新。

另外,对于多语言管理环境中的管理工作站,还应考虑在 Microsoft 提供的最新操作系统上进行标准化。然后配置“始终为组策略编辑器使用本地 ADM 文件”和“关闭 ADM 文件的自动更新”这两种策略设置。

如果正在使用 Windows 2000 工作站,对于管理员来说,应使用“关闭 ADM 文件的自动更新”策略设置并将 GPT 中的 ADM 文件设为所有 Windows 2000 工作站的有效语言。

注意:Windows XP 工作站可能仍使用其本地的、语言特定的版本。

操作系统和 Service Pack 版本问题

每个操作系统或 Service Pack 版本都包括较早版本提供的 ADM 文件的超集,其中包括特定于新版本操作系统以外的操作系统的策略设置。例如,随 Windows Server 2003 一起提供的 ADM 文件包括用于所有操作系统的所有策略设置,其中包括仅与 Windows 2000 或 Windows XP Professional 相关的策略设置。这意味着仅通过具有新版本操作系统或 Service Pack 的计算机查看 GPO 就可以有效地升级 ADM 文件。因为较新版本通常是先前 ADM 文件的超集,所以通常情况下,如果未对正在使用的 ADM 文件进行编辑,就不会出现问题。

在某些情况下,一个操作系统或 Service Pack 版本可能包括随较早版本一起提供的 ADM 文件的子集。这就有可能存在一个较早的 ADM 文件的子集,从而导致管理员使用组策略对象编辑器时策略设置不再可见。但是,在 GPO 中这些策略设置仍处于活动状态。只是影响了组策略对象编辑器中策略设置的可见度。任何活动的(无论启用还是禁用)策略设置在组策略对象编辑器中都不可见,但是仍处于活动状态。因为这些设置不可见,所以管理员无法对这些策略设置进行查看或编辑。要解决此问题,管理员必须在使用操作系统上的组策略对象编辑器之前熟悉包含在每个操作系统或 Service Pack 版本中的 ADM 文件。在通过时间戳比较确定相应更新时,请记住:查看 GPO 的操作足以更新 GPT 中的 ADM 文件。

要在您的环境中制定此计划,Microsoft 建议您:
  • 定义一个标准操作系统/Service Pack,在其中对 GPO 进行所有查看和编辑操作,确保正在使用的 ADM 文件包含所有平台的策略设置。
  • 对于所有的组策略管理员,使用“关闭 ADM 文件的自动更新”策略设置,以确保 GPT 中的 ADM 文件不被任何组策略对象编辑器会话覆盖,并确保您正在使用的是 Microsoft 提供的最新 ADM 文件。
注意:如果从中运行组策略对象编辑器的操作系统支持,“始终为组策略编辑器使用本地 ADM 文件”策略通常同此策略一起使用。

从 Sysvol 文件夹中删除 ADM 文件

默认情况下,ADM 文件存储在 GPT 中,这样可以显著增加 Sysvol 文件夹的大小。另外,频繁编辑 GPO 可能导致大量的复制流量。将“关闭 ADM 文件的自动更新”和“始终为组策略编辑器使用本地 ADM 文件”策略设置组合在一起使用可大大减小 Sysvol 文件夹的大小,并可在进行大量策略编辑操作时减少与策略相关的复制流量。

如果 Sysvol 卷大小或与组策略相关的复制流量出现问题,请考虑实现一个 Sysvol 不存储任何 ADM 文件的环境。或者,考虑在管理工作站上维护 ADM 文件。下一节将介绍此过程。

要清除 Sysvol 文件夹中的 ADM 文件,请执行以下步骤:
  1. 为所有要编辑 GPO 的组策略管理员启用“关闭 ADM 文件的自动更新”策略设置。
  2. 确保已应用此策略。
  3. 将任何自定义 ADM 模板复制到 %windir%\Inf 文件夹中。
  4. 编辑现有 GPO,然后从 GPT 中删除所有 ADM 文件。为此,右键单击“管理模板”,然后单击“添加/删除模板”。
  5. 为管理工作站启用“始终为组策略编辑器使用本地 ADM 文件”策略设置。

在管理工作站上维护 ADM 文件

使用“始终为组策略编辑器使用本地 ADM 文件”策略设置时,确保每个工作站都具有默认和自定义 ADM 文件的最新版本。如果在本地只能获得部分 ADM 文件,则 GPO 中的某些策略设置将对管理员不可见。通过为所有管理员实现标准操作系统和 Service Pack 版本可避免此问题。如果无法使用标准操作系统和 Service Pack,请实现一个将最新 ADM 文件分发到所有管理工作站的进程。

注意:由于工作站 ADM 文件存储在 %windir%\Inf 文件夹中,因此用于分发这些文件的任何进程都必须在工作站上具有管理凭据的帐户的上下文中运行。

注意:Windows XP 不支持在 Sysvol 文件夹中对不包含任何 ADM 文件的 GPO 进行编辑。在实际环境中,必须考虑这种设计限制。


参考

有关 Windows Server 2003 中的组策略的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
316977 Windows Server 2003 中的组策略模板行为

属性

文章编号: 816662 - 最后修改: 2007年12月3日 - 修订: 11.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
关键字:?
kbinfo KB816662
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com