Empfehlungen für die Verwaltung administrativer Vorlagendateien (.adm) von Gruppenrichtlinien


Zusammenfassung


In diesem Artikel wird beschrieben, wie ADM-Dateien funktionieren und welche Richtlinieneinstellungen zur Steuerung ihrer Funktion zur Verfügung stehen. Außerdem enthält dieser Artikel Empfehlungen zu Vorgehensweisen bei der Verwaltung von ADM-Dateien.

Hinweis Es wird empfohlen, Windows Vista zum Verwalten der Gruppenrichtlinieninfrastruktur mithilfe eines zentralen Speichers zu verwenden. Diese Empfehlung gilt auch dann, wenn die Umgebung über eine Kombination aus Clients und Servern der unteren Ebene verfügt, z. B. Computer unter Windows XP oder Windows Server 2003. In Windows Vista wird ein neues Modell verwendet, das ADMX- und ADML-Dateien zum Verwalten von Gruppenrichtlinienvorlagen verwendet.

Weitere Informationen finden Sie auf folgenden Websites:
Windows XP: Vergiss mich nicht...

http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx

Bereitstellen von Gruppenrichtlinien mithilfe von Windows Vista

http://technet.microsoft.com/de-de/library/cc766208.aspx

Erstellen eines zentralen Speichers für administrative Vorlagen für Gruppenrichtlinien in Windows Vista
http://support.microsoft.com/de-de/kb/929841
Wenn Sie Windows XP-basierte oder Windows Server 2003-basierte Computer zum Verwalten der Gruppenrichtlinieninfrastruktur verwenden müssen, lesen Sie die Empfehlungen in diesem Artikel.

Allgemeines zu ADM-Dateien

ADM-Dateien sind Vorlagendateien, die von Gruppenrichtlinien verwendet werden, um zu definieren, wo in der Registrierung Richtlinieneinstellungen gespeichert werden. ADM-Dateien beschreiben auch die Benutzeroberfläche, die Administratoren im Snap-In des Gruppenrichtlinienobjekt-Editors sehen. Der Gruppenrichtlinienobjekt-Editor wird von Administratoren verwendet, wenn sie Gruppenrichtlinienobjekte (GPOs) erstellen oder ändern.

ADM-Dateien - Speicherung und Standarddateien

Auf allen Domänencontrollern gibt es für jedes Gruppenrichtlinienobjekt der Domäne einen separaten Ordner "Sysvol", der als "Gruppenrichtlinien-Vorlage" (Group Policy Template = GPT) bezeichnet wird. In der GPT werden alle ADM-Dateien gespeichert, die vom Gruppenrichtlinienobjekt-Editor bei der letzten Erstellung oder Bearbeitung von Gruppenrichtlinienobjekten verwendet wurden.

Jedes Betriebssystem beinhaltet einen Standardsatz von ADM-Dateien. Diese Standarddateien sind die Standarddateien, die vom Gruppenrichtlinienobjekt-Editor geladen werden. Windows Server 2003 beinhaltet beispielsweise die folgenden ADM-Dateien:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Benutzerdefinierte ADM-Dateien

Benutzerdefinierte ADM-Dateien können von Programmentwicklern oder IT-Fachleuten entwickelt werden, um die Möglichkeit der Verwendung von auf der Registrierung basierenden Richtlinieneinstellungen auf neue Programme und Komponenten auszuweiten.

Hinweis Programme und Komponenten müssen so gestaltet und codiert sein, dass sie die in der ADM-Datei definierten Richtlinieneinstellungen erkennen und auf diese reagieren können.


Gehen Sie folgendermaßen vor, um ADM-Dateien im Gruppenrichtlinienobjekt-Editor zu laden:
  1. Starten Sie den Gruppenrichtlinienobjekt-Editor.
  2. Klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

    Hinweis Administrative Vorlagen finden Sie unter
    Computer oder Benutzerkonfiguration. Wählen Sie die Konfiguration aus, die für Ihre benutzerdefinierte Vorlage geeignet ist.
  3. Klicken Sie auf Hinzufügen.
  4. Klicken Sie auf eine ADM-Datei und anschließend auf
    Öffnen.
  5. Klicken Sie auf Schließen.
  6. Die Richtlinieneinstellungen der benutzerdefinierten ADM-Datei sind jetzt im Gruppenrichtlinienobjekt-Editor verfügbar.

Aktualisieren von ADM-Dateien und Zeitstempeln

Auf jeder administrativen Arbeitsstation, auf der der Gruppenrichtlinienobjekt-Editor ausgeführt wird, sind ADM-Dateien im Ordner "%windir%\Inf" gespeichert. Wenn Sie Gruppenrichtlinienobjekte erstellen und erstmals speichern, werden die ADM-Dateien aus diesem Ordner in den Unterordner "Adm" in der Gruppenrichtlinien-Vorlage kopiert. Kopiert werden sowohl die standardmäßigen ADM-Dateien als auch etwaige benutzerdefinierte ADM-Dateien, die durch den Administrator hinzugefügt worden sind.

Hinweis Wenn Sie ein Gruppenrichtlinienobjekt erstellen, ohne es danach zu bearbeiten, wird eine Gruppenrichtlinien-Vorlage ohne ADM-Dateien erstellt.

Wenn Sie Gruppenrichtlinienobjekte bearbeiten, vergleicht der Gruppenrichtlinienobjekt-Editor standardmäßig die Zeitstempel der ADM-Dateien im Ordner "%windir%\Inf" der Arbeitsstation mit denen der ADM-Dateien, die im Ordner "Adm" der Gruppenrichtlinien-Vorlage gespeichert sind. Wenn die Dateien auf der Arbeitsstation neuer sind als die Dateien, die im Ordner "\Adm" der Gruppenrichtlinien-Vorlage enthalten sind, kopiert der Gruppenrichtlinienobjekt-Editor diese Dateien in den Ordner "Adm" der Gruppenrichtlinien-Vorlage, wobei bereits vorhandene Dateien gleichen Namens überschrieben werden. Dieser Vergleich wird durchgeführt, wenn der Knoten „Administrative Vorlagen“ (unter „Computer“ oder „Benutzerkonfiguration“) im Gruppenrichtlinienobjekt-Editor ausgewählt ist, und zwar unabhängig davon, ob der Administrator das Gruppenrichtlinienobjekt auch tatsächlich bearbeitet.


Hinweis Die ADM-Dateien in der Gruppenrichtlinienvorlage können durch Anzeigen eines Gruppenrichtlinienobjekts im Gruppenrichtlinienobjekt-Editor aktualisiert werden.

Wegen der Bedeutung von Zeitstempeln für die Verwaltung von ADM-Dateien ist es nicht zu empfehlen, vom System bereitgestellte ADM-Dateien zu bearbeiten. Falls eine neue Richtlinieneinstellung benötigt wird, empfiehlt Microsoft, eine benutzerdefinierte ADM-Datei zu erstellen. Dadurch wird das Ersetzen von durch das System bereitgestellten ADM-Dateien bei der Freigabe von Service Packs verhindert.

Gruppenrichtlinienkonsole

Standardmäßig verwendet die Gruppenrichtlinienkonsole (GPMC) unabhängig von deren jeweiligem Zeitstempel immer lokale ADM-Dateien und kopiert die ADM-Dateien nie in den Ordner "Sysvol". Kann eine ADM-Datei nicht gefunden werden, sucht die GPMC in der Gruppenrichtlinien-Vorlage nach dieser ADM-Datei. Außerdem hat der GPMC-Benutzer die Möglichkeit, einen alternativen Speicherort für die ADM-Dateien anzugeben. Wird ein solcher alternativer Speicherort angegeben, erhält dieser Vorrang vor anderen Speicherorten.

Replikation von Gruppenrichtlinienobjekten

Der Dateireplikationsdienst repliziert die Gruppenrichtlinien-Vorlagen für Gruppenrichtlinienobjekte in der gesamten Domäne. Als Bestandteil der Gruppenrichtlinien-Vorlage wird der Unterordner "Adm" auf allen Domänencontrollern der Domäne repliziert. Da in allen Gruppenrichtlinienobjekten mehrere ADM-Dateien gespeichert sind, von denen einige relativ umfangreich sein können, sollten Sie sich der Tatsache bewusst sein, dass das Hinzufügen oder Aktualisieren von ADM-Dateien mithilfe des Gruppenrichtlinienobjekt-Editors negative Auswirkungen auf den Replikationsverkehr haben kann.

Steuerung der Aktualisierung von ADM-Dateien mithilfe von Richtlinieneinstellungen

Es sind zwei Richtlinieneinstellungen verfügbar, die bei der Verwaltung von ADM-Dateien hilfreich sind. Mithilfe dieser Einstellungen kann der Administrator die Art der Verwendung von ADM-Dateien auf das jeweilige Umfeld abstimmen. Diese beiden Einstellungen sind "Automatische Aktualisierung von ADM-Dateien deaktivieren" und "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden".

Automatische Aktualisierung von ADM-Dateien deaktivieren

Diese Richtlinieneinstellung ist unter Windows Server 2003, Windows XP und Windows 2000 unter "Benutzerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie" verfügbar. Diese Einstellung kann auf jeden Client angewendet werden, auf dem die Gruppenrichtlinienfunktion aktiviert ist.

Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden

Diese Richtlinieneinstellung ist unter "Benutzerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie" verfügbar. Dies ist eine neue Richtlinieneinstellung. Sie kann nur auf Windows Server 2003-Clients erfolgreich angewendet werden. Diese Einstellung kann zwar auch auf Clients mit älteren Versionen bereitgestellt werden, hat dort jedoch keinerlei Wirkung. Wenn diese Einstellung aktiviert ist, verwendet der Gruppenrichtlinienobjekt-Editor bei der Bearbeitung von Gruppenrichtlinienobjekten lokale ADM-Dateien im lokalen Systemordner "%windir%\Inf".

Hinweis Wenn diese Richtlinieneinstellung aktiviert ist, gilt die Richtlinieneinstellung Automatische Aktualisierung von ADM-Dateien deaktivieren implizit.

Allgemeine Szenarien und Empfehlungen

Mehrsprachige Verwaltung

In manchen Umgebungen müssen Richtlinieneinstellungen in mehreren Sprachen über die Benutzeroberfläche angezeigt werden können. So möchte ein Administrator in den USA zum Beispiel ein bestimmtes Gruppenrichtlinienobjekt in englischer Sprache einsehen, während ein Administrator in Frankreich das gleiche Gruppenrichtlinienobjekt lieber in französischer Sprache anzeigen lassen möchte. Da in einer Gruppenrichtlinien-Vorlage nur ein Satz ADM-Dateien gespeichert werden kann, ist eine Gruppenrichtlinien-Vorlage nicht dafür geeignet, die ADM-Dateien für beide Sprachen zu speichern.

Unter Windows 2000 wird die Verwendung lokaler ADM-Dateien durch den Gruppenrichtlinieneditor nicht unterstützt. Verwenden Sie die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren", um dieses Problem zu umgehen. Da diese Richtlinieneinstellung keine Auswirkungen auf das Erstellen neuer Gruppenrichtlinienobjekte hat, werden die lokalen ADM-Dateien unter Windows 2000 in die Gruppenrichtlinien-Vorlage hochgeladen. Das bedeutet, dass auf diesem Wege beim Erstellen eines Gruppenrichtlinienobjekts in Windows 2000 dessen Sprache effektiv bestimmt werden kann. Wenn die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren" auf allen Windows 2000-Arbeitsstationen in Kraft ist, wird die Sprache der Gruppenrichtlinien-Vorlage durch die Sprache des Computers bestimmt, auf dem das Gruppenrichtlinienobjekt erstellt wird.

Administratoren, die mit Windows XP und Windows Server 2003 arbeiten, können von der Richtlinieneinstellung "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden" Gebrauch machen. So kann auch der französische Administrator die Richtlinieneinstellung mithilfe der lokal auf seiner (französischen) Arbeitsstation installierten ADM-Dateien einsehen (unabhängig davon, welche ADM-Datei in der Gruppenrichtlinien-Vorlage gespeichert ist). Bei Verwendung dieser Richtlinieneinstellung wird davon ausgegangen, dass die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren" aktiviert ist, um die Speicherung überflüssiger ADM-Dateien in der Gruppenrichtlinien-Vorlage zu vermeiden.

Außerdem sollten Sie erwägen, das neueste Betriebssystem von Microsoft auf allen administrativen Arbeitsstationen in einem mehrsprachigen Umfeld standardmäßig zu verwenden. Konfigurieren Sie dann sowohl die Richtlinieneinstellung "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden" als auch die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren".

Werden Windows 2000-Arbeitsstationen eingesetzt, verwenden Sie die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren" für Administratoren und lassen Sie gegebenenfalls die Sprache für alle Windows 2000-Arbeitsstationen durch die ADM-Dateien in der Gruppenrichtlinien-Vorlage bestimmen.

Hinweis Auf Windows XP-Workstations können weiterhin die lokalen, sprachspezifischen Versionen verwendet werden.

Verschiedene Releases von Betriebssystemen und Service Packs

Jedes Release eines Betriebssystems oder Service Packs enthält eine Obermenge der ADM-Dateien aus früheren Releases und somit auch für bestimmte Betriebssysteme spezifische Richtlinieneinstellungen, die sich von denen aus dem neuen Release unterscheiden. So beinhalten beispielsweise die mit Windows Server 2003 gelieferten ADM-Dateien alle Richtlinieneinstellungen für alle Betriebssysteme einschließlich derer, die nur für Windows 2000 oder Windows XP Professional relevant sind. Das bedeutet, dass nur durch das Einsehen eines Gruppenrichtlinienobjekts auf einem Computer mit dem neuen Release eines Betriebssystems oder Service Packs die ADM-Dateien effektiv aktualisiert werden. Da spätere Releases typischerweise eine Obermenge früherer ADM-Dateien beinhalten, führt dies in der Regel nicht zu Problemen, wenn man davon ausgeht, dass die verwendeten ADM-Dateien nicht bearbeitet wurden.

In bestimmten Situationen kann ein Betriebssystem- oder Service Pack-Release eine Untermenge der ADM-Dateien beinhalten, die mit früheren Releases geliefert wurden. Dadurch kann potenziell eine frühere Untermenge von ADM-Dateien vorhanden sein, was dazu führen würde, dass bestimmte Richtlinieneinstellungen von Administratoren mithilfe des Gruppenrichtlinienobjekt-Editors nicht mehr eingesehen werden können. Diese Richtlinieneinstellungen sind jedoch im Gruppenrichtlinienobjekt weiterhin aktiv. Betroffen ist nur die Sichtbarkeit der Richtlinieneinstellungen im Gruppenrichtlinienobjekt-Editor. Alle aktiven Richtlinieneinstellungen (ob aktiviert oder deaktiviert) sind im Gruppenrichtlinienobjekt-Editor nicht sichtbar, aber weiterhin aktiv. Da diese Einstellungen nicht sichtbar sind, können sie durch den Administrator weder eingesehen noch bearbeitet werden. Um dieses Problem zu umgehen, müssen sich Administratoren mit den ADM-Dateien vertraut machen, die in einem Betriebssystem- oder Service Pack-Release enthalten sind, bevor sie den Gruppenrichtlinienobjekt-Editor auf diesem Betriebssystem verwenden, und sich der Tatsache bewusst sein, dass das bloße Einsehen eines Gruppenrichtlinienobjekts ausreicht, um die ADM-Dateien in der Gruppenrichtlinien-Vorlage zu aktualisieren, wenn der Zeitstempelvergleich ergibt, dass eine Aktualisierung geboten ist.

Microsoft empfiehlt, eine der folgenden Maßnahmen zu ergreifen, um diesem Umstand in Ihrer Umgebung Rechnung zu tragen:
  • Definieren Sie ein Standardbetriebssystem/Service Pack, auf dessen Basis alle Einseh- und Bearbeitungsvorgänge für Gruppenrichtlinienobjekte erfolgen, und stellen Sie sicher, dass die verwendeten ADM-Dateien die Richtlinieneinstellungen für alle Plattformen enthalten.
  • Verwenden Sie die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren" für alle Gruppenrichtlinien-Administratoren, um sicherzustellen, dass ADM-Dateien in der Gruppenrichtlinien-Vorlage nicht durch eine Gruppenrichtlinienobjekt-Editor-Sitzung überschrieben werden. Vergewissern Sie sich außerdem, dass Sie die neuesten ADM-Dateien verwenden, die bei Microsoft erhältlich sind.
Hinweis Die Richtlinie „Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden“ wird in der Regel in Verbindung mit dieser Richtlinie verwendet, sofern sie durch das Betriebssystem unterstützt wird, unter dem der Gruppenrichtlinien-Editor ausgeführt wird.

Entfernen von ADM-Dateien aus dem Ordner "Sysvol"

ADM-Dateien werden standardmäßig in der Gruppenrichtlinien-Vorlage gespeichert, wodurch der Ordner "Sysvol" zu beträchtlicher Größe anwachsen kann. Eine häufige Bearbeitung von Gruppenrichtlinienobjekten kann außerdem zu einem erheblichen Anstieg des Replikationsverkehrs führen. Die Verwendung einer Kombination der Richtlinieneinstellungen "Automatische Aktualisierung von ADM-Dateien deaktivieren" und "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden" kann die Größe des Ordners "Sysvol" erheblich reduzieren und in einem Umfeld mit einer Vielzahl von Richtlinienbearbeitungen den Replikationsverkehr in Bezug auf Richtlinien vermindern.

Wenn die Größe des Ordners "Sysvol" oder der in Verbindung mit Gruppenrichtlinien entstehende Replikationsverkehr problematische Ausmaße annehmen, sollten Sie eventuell eine Umgebung implementieren, in der ADM-Dateien nicht im Ordner "Sysvol" gespeichert werden. Eine weitere Alternative ist, ADM-Dateien auf administrativen Arbeitsstationen zu pflegen. Dieser Prozess wird im folgenden Abschnitt beschrieben.

Gehen Sie folgendermaßen vor, um die ADM-Dateien aus dem Ordner "Sysvol" zu entfernen:
  1. Aktivieren Sie die Richtlinieneinstellung "Automatische Aktualisierung von ADM-Dateien deaktivieren" für alle Gruppenrichtlinien-Administratoren, die Gruppenrichtlinienobjekte bearbeiten.
  2. Vergewissern Sie sich, dass diese Richtlinie angewendet wurde.
  3. Kopieren Sie etwaige benutzerdefinierte ADM-Vorlagen in den Ordner "%windir%\Inf".
  4. Bearbeiten Sie vorhandene Gruppenrichtlinienobjekte, und entfernen Sie dann alle ADM-Dateien aus der Gruppenrichtlinien-Vorlage. Klicken Sie hierzu mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie anschließend auf Vorlagen hinzufügen/entfernen.
  5. Aktivieren Sie die Richtlinieneinstellung "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden" für administrative Arbeitsstationen.

Pflege von ADM-Dateien auf administrativen Arbeitsstationen

Bei Verwendung der Richtlinieneinstellung "Immer lokale ADM-Dateien für den Gruppenrichtlinien-Editor verwenden" stellen Sie sicher, dass auf allen Arbeitsstationen die neuesten Versionen der standardmäßigen und benutzerdefinierten ADM-Dateien installiert sind. Falls nicht alle ADM-Dateien lokal verfügbar sind, können einige Richtlinieneinstellungen, die in einem Gruppenrichtlinienobjekt enthalten sind, durch den Administrator nicht eingesehen werden. Vermeiden Sie dies durch die Implementierung eines Standardbetriebssystems und standardisierter Service Pack-Versionen für alle Administratoren. Sollte die Verwendung standardisierter Betriebssysteme und Service Pack-Versionen nicht möglich sein, implementieren Sie ein Verfahren zur Verteilung der neuesten ADM-Dateien auf alle administrativen Arbeitsstationen.

Hinweis Da die ADM-Dateien auf Workstations im Ordner „%windir%\Inf“ gespeichert werden, muss ein Prozess, der diese Dateien verteilen soll, im Kontext eines Kontos mit Administratorberechtigungen für die Workstation ausgeführt werden.

Hinweis Windows XP unterstützt die Bearbeitung von Gruppenrichtlinienobjekten nicht, wenn sich keine ADM-Dateien im Ordner „Sysvol“ befinden. In einer "Live"- Umgebung müssen Sie diese Einschränkung berücksichtigen.

Informationsquellen


Weitere Informationen zu Gruppenrichtlinien in Windows Server 2003 finden Sie in folgendem Artikel der Microsoft Knowledge Base:

316977 Verhalten der Gruppenrichtlinienvorlage in Windows Server 2003