Anbefalinger for å behandle administrative maler (ADM)-filer for gruppepolicy


Sammendrag


Denne artikkelen beskriver hvordan ADM-filer fungerer, innstillingene som er tilgjengelige for å behandle operasjonen, og anbefalinger om hvordan du håndterer vanlige scenarier for ADM-filen behandling.

Obs! Vi anbefaler at du bruker Windows Vista til å administrere infrastrukturen gruppepolicy ved hjelp av et sentralt lager. Denne anbefalingen gjelder selv når miljøet er en blanding av bakoverkompatible klienter og servere, for eksempel datamaskiner som kjører Windows XP eller Windows Server 2003. Windows Vista bruker en ny modell som benytter ADMX og ADML filer for å behandle maler for gruppepolicy.

Hvis du vil ha mer informasjon, kan du gå til følgende webområder:
Windows XP: Ikke glem meg...

http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx

Distribuere gruppepolicy ved hjelp av Windows Vista

http://technet.microsoft.com/en-us/library/cc766208.aspx

Slik oppretter du en sentral butikk for Administrative maler for gruppepolicy i Windows Vista
http://support.microsoft.com/kb/929841
Hvis du må bruke Windows XP-basert eller Windows Server 2003-baserte datamaskiner til å administrere infrastrukturen gruppepolicy, kan du se i anbefalingene i denne artikkelen.

Innføring i ADM-filer

ADM-filer er malen som brukes av gruppepolicyer til å beskrive hvor registerbaserte policyinnstillinger lagres i registret. ADM-filer beskriver også brukergrensesnittet som administratorer kan du se i policyen redigeringsprogrammet for snapin-modulen Redigeringsprogram for gruppepolicyobjekt brukes av administratorer når de oppretter eller endrer gruppepolicyobjekter (GPOer).

Lagring av ADM-filer og -standarder

I Sysvol-mappen på hver domenekontroller hvert domene-GPO opprettholder én enkelt mappe, og denne mappen heter Group Policy mal (GPT). GPT lagrer alle ADM-filene som ble brukt i redigeringsprogrammet for gruppepolicyobjekt når gruppepolicyobjektene sist ble opprettet eller redigert.

Hvert operativsystem har et standardsett av ADM-filer. Disse filene som standard er standardfiler som er lastet inn av redigeringsprogrammet for gruppepolicyobjekt. Windows Server 2003 inneholder for eksempel følgende ADM-filer:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Egendefinerte ADM-filer

Egendefinerte ADM-filer kan opprettes av programmet utviklere eller IT-teknikere for å utvide bruken av registerbaserte policyinnstillinger til nye programmer og komponenter.

Obs! Programmer og komponenter, må være utformet og kodet til å gjenkjenne og svare på policyinnstillinger som er beskrevet i ADM-filen.


Laste inn ADM-filer i redigeringsprogrammet for gruppepolicyobjekt:
  1. Start redigeringsprogrammet for gruppepolicy.
  2. Høyreklikk Administrative maler, og deretter klikker du Legg til/fjern maler.

    Obs! Administrative maler er tilgjengelige under en
    Datamaskinen eller Brukerkonfigurasjon. Velg konfigurasjonen som er riktig for den egendefinerte malen.
  3. Klikk Legg til.
  4. Klikk en ADM-fil, og klikk deretter
    Åpne.
  5. Klikk Lukk.
  6. Policyinnstillingene egendefinerte ADM-filen er nå tilgjengelige i redigeringsprogrammet for gruppepolicyobjekt.

Oppdatere ADM-filene og tidsstempler

Hver administrativ arbeidsstasjon som brukes til å kjøre redigeringsprogrammet for gruppepolicyobjekt lagrer ADM-filer i mappen %windir%\Inf. Når gruppepolicyobjekter opprettes og redigeres først, kopieres ADM-filer fra denne mappen til undermappen Adm i GPT. Dette inkluderer standard ADM-filene og eventuelle egendefinerte ADM-filer som er lagt til av systemansvarlig.

Obs! Oppretter et GPO uten senere redigerer Gruppepolicyobjektet, opprettes det en GPT uten alle ADM-filer.

Som standard, når GPOer redigeres, sammenligner redigeringsprogrammet for gruppepolicyobjekt tidsstempler av ADM-filene i arbeidsstasjonens %windir%\Inf mappen med filene som er lagret i mappen GPTs Adm. Hvis arbeidsstasjonens filene er nyere, kopierer redigeringsprogrammet for gruppepolicyobjekt disse filene til GPT Adm-mappen, overskrives eksisterende filer med samme navn. Denne sammenligningen oppstår når noden Administrative maler (datamaskinen eller brukeren konfigurasjon) er valgt i redigeringsprogrammet for gruppepolicyobjekt, uavhengig av om administratoren faktisk redigerer Gruppepolicyobjektet.


Obs! ADM-filene som er lagret i GPT kan oppdateres ved å vise et Gruppepolicyobjekt i redigeringsprogrammet for gruppepolicyobjekt.

På grunn av viktigheten av tidsstempler på ADM administrasjon, er redigering av system-spesifikk ADM-filer ikke anbefalt. Hvis det kreves en ny policyinnstilling, anbefaler Microsoft at du oppretter en tilpasset ADM-fil. Dette forhindres erstatning av system-spesifikk ADM-filer når servicepakker blir utgitt.

Group Policy Management Console

Som standard bruker alltid lokale ADM-filer, uavhengig av deres tidsangivelse Group Policy Management Console (GPMC), og kopierer aldri ADM-filene på Sysvol. Hvis en ADM-fil ikke blir funnet, søker GPMC ADM-filen i GPT. GPMC-brukeren kan også angi en alternativ plassering for ADM-filer. Hvis en alternativ lokasjon er angitt, er denne alternative plasseringen forrang.

GPO-replikering

Fil-replikering (FRS) repliserer GPTs for gruppepolicyobjekter i hele domenet. Som en del av GPT, er undermappen Adm replikeres til alle domenekontrollere i domenet. Fordi hvert Gruppepolicyobjekt inneholder flere ADM-filer, og noen kan være ganske store, må du forstå hvordan ADM-filer som er lagt til eller oppdatert når du bruker redigeringsprogrammet for gruppepolicyobjekt kan påvirke replication-trafikk.

Policyinnstillinger for bruk til å kontrollere oppdateringer av ADM-filen

To policy innstillinger-området tilgjengelig for å hjelpe med behandling av ADM-filer. Disse innstillingene gjør det mulig for administratoren å justere bruken av ADM-filer for et bestemt miljø. Disse er "Slå av automatiske oppdateringer av ADM-filer" og "Bruk alltid lokale ADM-filer for Group Policy Editor"-innstillinger.

Slå av automatiske oppdateringer av ADM-filer

Denne policyinnstillingen er tilgjengelig under Brukerkonfigurasjon\Administrative Maler\system\gruppepolicy i Windows Server 2003, Windows XP og Windows 2000. Denne innstillingen kan brukes på alle gruppepolicy-aktivert klient.

Bruk alltid lokale ADM-filer for redigeringsprogram for gruppepolicy

Denne policyinnstillingen er tilgjengelig under Datamaskinkonfigurasjon\Administrative Maler\system\gruppepolicy. Dette er en ny policyinnstilling. Den kan brukes bare på Windows Server 2003-klienter. Innstillingen kan distribueres til eldre klienter, men den har ingen virkning på atferden. Hvis denne innstillingen er aktivert, bruker redigeringsprogrammet for gruppepolicyobjekt alltid lokale ADM-filer i mappen %windir%\Inf for lokalt system når du redigerer et gruppepolicyobjekt.

Obs! Hvis denne policyinnstillingen aktiveres, antas policyinnstillingen Slå av automatiske oppdateringer av ADM-filer .

Vanlige scenarier og anbefalinger

Problemer med flerspråklig administrasjon

I noen miljøer har policyinnstillinger å bli vist i brukergrensesnittet på et annet språk. For eksempel kan en administrator i USA vil vise policyinnstillinger for et bestemt Gruppepolicyobjekt på engelsk, og en administrator i Frankrike vil kanskje vise samme Gruppepolicyobjekt ved å bruke fransk som sitt eget språk. Fordi GPT kan bare lagre ett sett av ADM-filer, kan du ikke bruke GPT til å lagre ADM-filer for begge språk.

For Windows 2000 støtter ikke bruk av lokale ADM-filer av redigeringsprogrammet for gruppepolicyobjekt. Du kan omgå dette ved å bruke policyinnstillingen "Slå av automatiske oppdateringer av ADM-filer". Fordi denne policyinnstillingen har ingen innvirkning på oppretting av nye gruppepolicyobjekter, lokale ADM-filer skal lastes opp til GPT i Windows 2000, og oppretter et GPO i Windows 2000 effektivt definerer "språk for GPO". Hvis policyinnstillingen "Slå av automatiske oppdateringer av ADM-filer" er aktivert på alle Windows 2000-arbeidsstasjoner, defineres språket av ADM-filene i GPT av språket på datamaskinen som brukes til å opprette Gruppepolicyobjektet.

"Bruk alltid lokale ADM-filer for Group Policy editor" policyinnstillingen kan brukes for administratorer som bruker Windows XP og Windows Server 2003. Dette gjør det mulig for den franske administratoren vise policyinnstillinger ved hjelp av ADM-filene som er installert lokalt på hans eller hennes arbeidsstasjon (fransk), uavhengig av ADM-fil som er lagret i GPT. Legg merke til at når du bruker denne policyinnstillingen, er det underforstått at policyinnstillingen "Slå av automatiske oppdateringer av ADM-filer" er aktivert for å unngå unødvendige oppdateringer av ADM-filene til GPT.

Også vurdere å standardisere på det nyeste operativsystemet fra Microsoft for administrative arbeidsstasjoner i et miljø med flere språk administrative. Konfigurer både de "alltid Bruk lokale ADM-filene for Group Policy editor" og "Slå av automatiske oppdateringer av ADM-filer" policyinnstillinger.

Hvis Windows 2000-arbeidsstasjoner som brukes, kan du bruke policyinnstillingen "Slå av automatiske oppdateringer av ADM-filer" for administratorer og vurdere ADM-filer i GPT skal være effektive språk for alle Windows 2000-arbeidsstasjoner.

Obs! Windows XP-arbeidsstasjoner kan fremdeles bruke sine lokale, bestemt språkversjon.

Operativsystem og service pack-versjonen problemer

Hvert operativsystem eller service pack-versjonen inneholder et overordnet sett av ADM-filene i tidligere versjoner, inkludert policyinnstillinger som er spesifikke for operativsystemer som er forskjellige i den nye versjonen. ADM-filene som leveres med Windows Server 2003 inkluderer for eksempel alle policyinnstillinger for alle operativsystemer, inkludert de som bare er relevante for Windows 2000 eller Windows XP Professional. Dette betyr at bare vise et Gruppepolicyobjekt fra en datamaskin med den nye versjonen av et operativsystem eller oppdateringspakken oppgraderer effektivt ADM-filene. Senere versjoner er vanligvis et overordnet sett for forrige ADM-filer, opprettes dette vanligvis ikke problemer, forutsatt at ADM-filene som brukes, ikke ha blitt redigert.

I noen tilfeller kan et operativsystem eller service pack-versjonen inkluderer et delsett av ADM-filene som ble levert med tidligere versjoner. Dette har potensial til å presentere en tidligere del av ADM-filer, noe som resulterer i policyinnstillinger som ikke lenger er synlig for administratorer når de bruker redigeringsprogrammet for gruppepolicyobjekt. Policyinnstillingene vil imidlertid være aktiv i Gruppepolicyobjektet. Synligheten av policyinnstillingene i redigeringsprogrammet for gruppepolicyobjekt er berørt. Noen aktiv (aktivert eller deaktivert) policy innstillinger er ikke synlige i redigeringsprogrammet for gruppepolicyobjekt, men forblir aktive. Fordi innstillingene ikke er synlige, er det ikke mulig for administratoren å vise eller redigere disse policy-innstillingene. Hvis du vil omgå dette problemet, må administratorer bli kjent med ADM-filene som er inkludert med hver utgivelse for operativsystemet eller service pack før du kan bruke redigeringsprogrammet for gruppepolicyobjekt på operativsystemet, Husk at visning av et Gruppepolicyobjekt er nok til å oppdatere ADM-filene i GPT, når tidsstempel sammenligningen bestemmer en oppdatering er riktig.

Hvis du vil planlegge for denne i miljøet ditt, anbefaler Microsoft at du enten:
  • Definere en standard operativsystem/oppdateringspakke som alle visning og redigering av GPOer oppstår, og pass på at ADM-filene som brukes inkluderer policyinnstillingene for alle plattformer.
  • Bruke policyinnstillingen "Slå av automatiske oppdateringer av ADM-filer" for alle administratorer for gruppepolicy for å kontroller at ADM-filer ikke blir overskrevet i GPT av en økt i redigeringsprogrammet for gruppepolicyobjekt, og kontroller at du bruker de siste ADM-filene som er tilgjengelige fra Microsoft.
Obs! "Bruk alltid lokale ADM-filer for Group Policy editor"-policyen brukes vanligvis med denne policyen, når det støttes av operativsystemet som kjøres redigeringsprogrammet for gruppepolicyobjekt.

Fjerne ADM-filer fra Sysvol-mappen

ADM-filene er lagret i GPT som standard, og dette kan øke størrelsen på Sysvol-mappen betraktelig. Også kan hyppige redigering av gruppepolicyobjekter føre til en betydelig mengde replication-trafikk. Ved hjelp av en kombinasjon av "Slå av automatiske oppdateringer av ADM-filer" og "Bruk alltid lokale ADM-filer for Group Policy editor" policyinnstillinger kan betydelig redusere størrelsen på Sysvol-mappen og redusere policy-relaterte replikeringstrafikk der det forekommer et betydelig antall redigeringer av policyen.

Hvis størrelsen på Sysvol-volumet eller gruppepolicy-relaterte replication-trafikk blir problematisk, bør du vurdere å implementere et miljø der Sysvol ikke lagrer alle ADM-filer. Eller Vurder å opprettholde ADM-filer på administrative arbeidsstasjoner. Denne prosessen er beskrevet i delen nedenfor.

Fjerne Sysvol-mappen av ADM-filer:
  1. Aktivere policyinnstillingen "Slå av automatisk oppdatering av ADM-filer" for alle gruppepolicy-administratorer som kommer til å redigere gruppepolicyobjekter.
  2. Kontroller at denne policyen er aktivert.
  3. Kopier egendefinerte ADM maler i mappen %windir%\Inf.
  4. Rediger eksisterende gruppepolicyobjekter, og fjern deretter alle ADM-filene fra GPT. Hvis du vil gjøre dette, høyreklikker du Administrative maler, og klikk deretter Legg til/fjern mal.
  5. Aktivere policyinnstillingen "Bruk alltid lokale ADM-filer for Group Policy Object redigering" for administrative arbeidsstasjoner.

Oppretthold ADM-filer på administrative arbeidsstasjoner

Når du bruker policyinnstillingen "Bruk alltid lokale ADM-filer for Group Policy editor", må du kontrollere at hver arbeidsstasjon har den nyeste versjonen av standard og egendefinerte ADM-filer. Hvis alle ADM-filene ikke er tilgjengelig lokalt, vil ikke noen policyinnstillinger som finnes i et Gruppepolicyobjekt til administrator. Du kan unngå dette ved å implementere en standard operativsystem og versjon av oppdateringspakken for alle administratorer. Hvis du ikke kan bruke en standard operativsystem og oppdateringspakke, kan du implementere en prosess for å distribuere de nyeste ADM-filene til alle administrative arbeidsstasjoner.

Obs! Fordi arbeidsstasjon ADM-filene er lagret i mappen %windir%\Inf, må en prosess som brukes til å distribuere disse filene kjøre i konteksten til en konto som har administrative rettigheter på arbeidsstasjonen.

Obs! Windows XP støtter ikke redigering av gruppepolicyobjekter når det er ingen ADM-filer i Sysvol-mappen. I et aktivt miljø, må du vurdere dette begrensning i utforming.

Referanser


Hvis du vil ha mer informasjon om gruppepolicyer i Windows Server 2003, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

316977 gruppepolicy mal virkemåte i Windows Server 2003