管理群組原則系統管理範本 (.adm) 檔案的建議

文章翻譯 文章翻譯
文章編號: 816662 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您 ADM 檔案的運作方式、可用於管理 ADM 檔案操作的原則設定,以及對於常見 ADM 檔案管理案例處理方式的建議。

ADM 檔案簡介

ADM 檔案為範本檔,是「群組原則」用來說明登錄原則設定在登錄中的儲存位置。ADM 檔案也說明系統管理員在「群組原則物件編輯器」嵌入式管理單元中看到的使用者介面。系統管理員會使用「群組原則物件編輯器」,來建立或修改群組原則物件 (GPO)。

ADM 檔案儲存與預設

在每個網域控制站的 Sysvol 資料夾中,每個網域 GPO 都負責維護單一資料夾,而這個資料夾名為「群組原則範本」(GPT)。GPT 會在 GPO 最後建立或編輯時,儲存「群組原則物件編輯器」中使用的所有 ADM 檔案。

每一個作業系統都包含一組標準的 ADM 檔案。這些標準檔案就是「群組原則物件編輯器」載入的預設檔案。例如,Windows Server 2003 包含下列的 ADM 檔案:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自訂 ADM 檔案

自訂 ADM 檔案可由程式開發人員或 IT 專業人員建立,以便將登錄原則設定的使用擴充到新的程式和元件。

注意 程式和元件必須經過程式碼撰寫,設計為可識別與回應 ADM 檔案中所說明的原則設定。

如果要將 ADM 檔案載入「群組原則物件編輯器」:
  1. 啟動「群組原則物件編輯器」。
  2. 用滑鼠右鍵按一下 [系統管理範本],再按一下 [新增/移除範本]

    注意[電腦設定][使用者設定] 下均可取得「系統管理範本」。選擇正確的自訂範本設定。
  3. 按一下 [新增]
  4. 按一下 ADM 檔案,再按一下 [開啟]
  5. 按一下 [關閉]
  6. 現在可在「群組原則物件編輯器」中使用自訂 ADM 檔案原則設定。

更新 ADM 檔案與時間戳記

每個用來執行「群組原則物件編輯器」的系統管理工作站,會將 ADM 檔案儲存在 %windir%\Inf 資料夾中。當建立與初次編輯 GPO 時,來自此資料夾中的 ADM 檔案會複製到 GPT 中的 Adm 子資料夾。這包含標準 ADM 檔案,以及系統管理員新增的任何自訂 ADM 檔案。

注意 建立 GPO 而稍後並未編輯該 GPO,會建立沒有任何 ADM 檔案的 GPT。

根據預設,編輯 GPO 時,「群組原則物件編輯器」會將工作站 %windir%\Inf 資料夾中的 ADM 檔案時間戳記與儲存於 GPT Adm 資料夾中的 ADM 檔案時間戳記做比較。如果工作站中的檔案較新,則「群組原則物件編輯器」會將這些檔案複製到 GPT Adm 資料夾,並覆寫任何擁有相同名稱的現存檔案。當在「群組原則物件編輯器」中選取「系統管理範本」節點 (電腦或使用者設定) 時,不論系統管理員是否確實編輯 GPO,都會發生此比較。

注意 儲存於 GPT 中的 ADM 檔案可藉由檢視「群組原則物件編輯器」中的 GPO 來更新。

由於 ADM 檔案管理上的時間戳記相當重要,所以不建議編輯系統提供的 ADM 檔案。如果需要新的原則設定,Microsoft 建議您建立自訂 ADM 檔案。這可防止發行新的 Service Pack 時,取代系統提供的 ADM 檔案。

群組原則管理主控台

根據預設,「群組原則管理主控台」(Group Policy Management Console,GPMC) 會永遠使用本機 ADM 檔案 (不論它們的時間戳記為何),且永遠不會複製 ADM 檔案至 Sysvol。如果找不到 ADM 檔案,GPMC 會搜尋 GPT 中的 ADM 檔案。同時,GPMC 使用者可指定其他的 ADM 檔案位置。如果已指定其他位置,則會優先使用此其他位置。

GPO 複寫

「檔案複寫服務」(FRS) 會為整個網域的 GPO 複寫 GPT。Adm 子資料夾是 GPT 的一部分,因此會複寫到網域中所有的網域控制站中。因為每一個 GPO 會儲存多個 ADM 檔案,且某些檔案可能相當大,所以您必須瞭解使用「群組原則物件編輯器」所新增或更新的 ADM 檔案,對複寫流量的影響程度。

使用原則設定來控制 ADM 檔案更新

有兩個原則設定區域可協助管理 ADM 檔案。系統管理員使用這些設定,即得以調校特定環境下 ADM 檔案的使用。這兩個設定是「關閉 ADM 檔案自動更新」與「永遠在群組原則編輯器中使用本機 ADM 檔案」設定。

關閉 ADM 檔案自動更新

可從 Windows Server 2003、Windows XP 及 Windows 2000 中的使用者設定\系統管理範本\系統\群組原則下取得此原則設定,此設定可套用至任何啟用群組原則的用戶端。

「群組原則」編輯器永遠使用本機 ADM 檔案

可從「電腦設定\系統管理範本\系統\群組原則」下取得此原則設定。這是新的原則設定。僅可能成功套用至 Windows Server 2003 用戶端。此設定可能會部署至舊的用戶端,但不會對其行為造成任何影響。如果啟用此設定,則當您編輯「群組原則」物件時,「群組原則物件編輯器」會永遠使用本機系統 %windir%\Inf 資料夾中的本機 ADM 檔案。

注意 如果啟用此原則設定,則表示「關閉 ADM 檔案自動更新」的原則設定也已啟用。

常見案例與建議

多種語言的系統管理問題

在某些環境下,原則設定可能必須在使用者介面中以不同語言呈現。例如,美國的系統管理員可能想要檢視某個 GPO 原則設定的英文版本,而法國的系統管理員可能想要以法文為檢視這個 GPO 時的偏好語言。因為 GPT 僅能儲存一組 ADM 檔案,所以您無法使用 GPT 來儲存這兩種語言的 ADM 檔案。

在 Windows 2000 中,並不支援「群組原則物件編輯器」使用本機 ADM 檔案。如果需要替代的解決方案,請使用「關閉 ADM 檔案自動更新」原則設定。因為此原則設定不會影響新 GPO 的建立,所以在 Windows 2000 中,本機 ADM 檔案會上載至 GPT,且在 Windows 2000 中建立 GPO 可有效定義「GPO 的語言」。如果「關閉 ADM 檔案自動更新」原則設定在所有的 Windows 2000 工作站中皆有效,則會以建立 GPO 所使用的電腦語言來定義 GPT 中的 ADM 檔案語言。

使用 Windows XP 和 Windows Server 2003 的系統管理員,可以使用「永遠在群組原則編輯器中使用本機 ADM 檔案」原則設定。這可讓法國的系統管理員使用安裝於工作站 (法文) 中的本機 ADM 檔案,以檢視原則設定,而不考慮儲存於 GPT 中的 ADM 檔案。請注意當您使用原則設定,表示已啟用「關閉 ADM 檔案自動更新」原則設定,以避免不必要地將 ADM 檔案更新至 GPT。

同時,請考量從 Microsoft 標準化最新的作業系統,以建立多語言管理環境下的系統管理工作站。然後,設定「永遠在群組原則編輯器中使用本機 ADM 檔案」與「關閉 ADM 檔案自動更新」原則設定。

如果正在使用 Windows 2000 工作站,請讓系統管理員使用「關閉 ADM 檔案自動更新」原則設定,並考慮讓 GPT 中的 ADM 檔案成為所有 Windows 2000 工作站均可使用的語言。

注意 Windows XP 工作站可能仍使用當地特定語言的版本。

作業系統與 Service Pack 版本問題

每一種作業系統或 Service Pack 版本都包含舊版所提供的 ADM 檔案超集合,包括與新版作業系統不同的特定原則設定。例如,Windows Server 2003 所提供的 ADM 檔案包含所有作業系統的原則設定,包括僅與 Windows 2000 或 Windows XP Professional 相關的原則設定。這表示唯有從使用新版作業系統或 Service Pack 的電腦中來檢視 GPO,才能有效升級 ADM 檔案。假設正在使用的 ADM 檔案尚未經過編輯,且因為新版 ADM 檔案通常是舊版 ADM 檔案的超集合,所以通常不會發生問題。

在某些情況下,作業系統或 Service Pack 的版本可能包含舊版所提供的 ADM 檔案子集合。這可能會呈現舊版 ADM 檔案的子集合,導致系統管理員使用「群組原則物件編輯器」時,再也無法看見原則設定。然而,在 GPO 中原則設定仍有效。僅有「群組原則物件編輯器」中的原則設定可見性會受影響。在「群組原則物件編輯器」中任何有效的 (不論已啟用或已停用) 原則設定均看不見,但仍有效。因為看不見設定,系統管理員就不可能檢視或編輯這些原則設定。如果需要替代的解決方案,系統管理員必須先熟悉作業系統或 Service Pack 版本中所包含的 ADM 檔案,才能使用該作業系統中的「群組原則物件編輯器」。請記得,當時間戳記的比較作業判定需要更新時,則單單檢視 GPO 便足以更新 GPT 中的 ADM 檔案。

如果要在您的環境下規劃此方案,Microsoft 建議您選擇下列其中之一:
  • 定義會發生檢視與編輯 GPO 等行為的標準作業系統或 Service Pack,並確定使用的 ADM 檔案包含所有平台均可用的原則設定。
  • 為所有的「群組原則」系統管理員使用「關閉 ADM 檔案自動更新」原則設定,以確保 GPT 中的 ADM 檔案不會被「群組原則物件編輯器」的任何工作階段所覆寫,並確定您正在使用的是從 Microsoft 取得的最新 ADM 檔案。
注意 當執行「群組原則物件編輯器」的作業系統支援此原則時,通常會搭配使用「永遠在群組原則編輯器中使用本機 ADM 檔案」原則。

從 Sysvol 資料夾移除 ADM 檔案

根據預設,ADM 檔案會儲存在 GPT 中,而這種情形可大幅增加 Sysvol 資料夾的大小。同時,經常編輯 GPO 也可能導致複寫的流量顯著增加。合併使用「關閉 ADM 檔案自動更新」與「永遠在群組原則編輯器中使用本機 ADM 檔案」原則設定,可大幅減少 Sysvol 資料夾的大小,並降低因大量編輯原則而產生與其相關的複寫流量。

如果 Sysvol 的大小或與群組原則相關的複寫流量問題漸趨嚴重,請考量實施一個 Sysvol 不儲存任何 ADM 檔案的環境。或考量在系統管理工作站中維護 ADM 檔案。在下列的章節中將會說明此程序。

清除 Sysvol 資料夾中的 ADM 檔案:
  1. 為所有將編輯 GPO 群組原則的系統管理員,啟用「關閉 ADM 檔案自動更新」原則設定。
  2. 請確定已套用此原則。
  3. 複製任何自訂 ADM 範本至 %windir%\Inf 資料夾。
  4. 編輯目前的 GPO,然後從 GPT 移除所有 ADM 檔案。如果要執行這項操作,請用滑鼠右鍵按一下 [系統管理範本],再按一下 [新增/移除範本]
  5. 啟用系統管理工作站的「永遠使用本機 ADM 檔案以編輯群組原則物件」原則設定。

在系統管理工作站中維護 ADM 檔案

當您使用「永遠在群組原則編輯器中使用本機 ADM 檔案」原則設定時,請確認每個工作站都有預設和自訂 ADM 檔案的最新版本。如果本機所有 ADM 檔案均不可用,系統管理員就會看不見某些包含在 GPO 中的原則設定。如果要避免此問題,請為所有系統管理員實作標準的作業系統與 Service Pack 版本。如果您無法使用標準的作業系統與 Service Pack,請實作一項程序,將最新的 ADM 檔案散佈至所有系統管理工作站。

注意 因為工作站的 ADM 檔案儲存於 %windir%\Inf 資料夾,所以任何散佈這些檔案的程序,都必須在帳號擁有工作站系統管理認證的情況下執行。

注意 當 Sysvol 資料夾中沒有 ADM 檔案時,則 Windows XP 不支援編輯 GPO。在真實環境中,您必須考慮到這個設計限制。


?考

如需有關 Windows Server 2003 中群組原則的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
316977 Group Policy Template Behavior in Windows Server 2003

屬性

文章編號: 816662 - 上次校閱: 2007年12月3日 - 版次: 11.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
關鍵字:?
kbinfo KB816662
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com