Aanbevelingen voor het beheren van Beheersjablonen voor Groepsbeleid (adm-bestanden)


Samenvatting


In dit artikel wordt beschreven hoe ADM-bestanden werken, de beleidsinstellingen die beschikbaar zijn voor het beheren van hun werking en aanbevelingen over het afhandelen van algemene ADM-bestandsbeheer scenario's. Opmerking Het is raadzaam Windows Vista te gebruiken voor het beheren van de infrastructuur voor Groepsbeleid met behulp van een centraal archief. Deze aanbeveling geldt zelfs wanneer de omgeving een combinatie van downlevel clients en servers heeft, zoals computers met Windows XP of Windows Server 2003. Windows Vista maakt gebruik van een nieuw model dat ADMX-en ADML-bestanden gebruikt om groepsbeleidssjablonen te beheren. Ga voor meer informatie naar de volgende websites:
Windows XP: Vergeet me niet... http://blogs.technet.com/GroupPolicy/Archive/2006/08/31/453147.aspx Groepsbeleid implementeren met Windows Vistahttp://technet.Microsoft.com/en-us/library/cc766208.aspxeen centraal archief maken voor beheersjablonen voor Groepsbeleid in venster Vistahttp://support.Microsoft.com/KB/929841
Als u Windows XP-of Windows Server 2003-computers moet gebruiken voor het beheren van de infrastructuur voor Groepsbeleid, raadpleegt u de aanbevelingen in dit artikel.

Inleiding tot ADM-bestanden

ADM-bestanden zijn sjabloonbestanden die door Groepsbeleid worden gebruikt om te beschrijven waar beleidsinstellingen op basis van het register worden opgeslagen in het register. ADM-bestanden ook beschrijven de gebruikersinterface die beheerders zien in de Groepsbeleidsobjecteditor-module. Group Policy object editor wordt gebruikt door beheerders bij het maken of wijzigen van groepsbeleidsobjecten (Gpo's).

Opslag en standaardinstellingen voor ADM-bestanden

In de map SYSVOL van elke domeincontroller onderhoudt elk GPO-domein één map en wordt deze map de groepsbeleidssjabloon (GPT) genoemd. De GPT slaat alle ADM-bestanden die zijn gebruikt in de groepsbeleidsobject editor wanneer de groepsbeleidobjecten voor het laatst zijn gemaakt of bewerkt. Elk besturingssysteem bevat een standaardset van ADM-bestanden. Deze standaard bestanden zijn de standaard bestanden die worden geladen door de groepsbeleidsobject editor. Windows Server 2003 bevat bijvoorbeeld de volgende ADM-bestanden:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Aangepaste ADM-bestanden

Aangepaste ADM-bestanden kunnen worden gemaakt door programmaontwikkelaars of IT-professionals om het gebruik van op het register gebaseerde beleidsinstellingen uit te breiden naar nieuwe Programma's en componenten. Opmerking Programma's en onderdelen moeten worden ontworpen en gecodeerd om te herkennen en te reageren op de beleidsinstellingen die worden beschreven in het ADM-bestand. ADM-bestanden laden in de groepsbeleidsobject editor:
  1. Start de object editor van Groepsbeleid.
  2. Klik met de rechtermuisknop op Beheersjablonen klik vervolgens op Sjablonen toevoegen/verwijderen. Opmerking Beheersjablonen zijn beschikbaar onder eencomputer -of Gebruikersconfiguratie. Selecteer de configuratie die juist is voor uw aangepaste sjabloon.
  3. Klik op Toevoegen.
  4. Klik op een ADM-bestand en klik vervolgens opopenen.
  5. Klik op Sluiten.
  6. De aangepaste ADM-bestands beleidsinstellingen zijn nu beschikbaar in de groepsbeleidsobject editor.

ADM-bestanden en tijdstempels bijwerken

Elk beheerwerkstation dat wordt gebruikt om de groepsbeleidsobject editor uit te voeren, slaat ADM-bestanden op in de map%windir%\Inf. Wanneer Gpo's worden gemaakt en voor het eerst bewerkt, worden de ADM-bestanden uit deze map gekopieerd naar de submap adm in de GPT. Dit omvat de standaard ADM-bestanden en eventuele aangepaste ADM-bestanden die worden toegevoegd door de beheerder. Opmerking Het maken van een groepsbeleidsobject zonder later bewerken dat GPO maakt een GPT zonder ADM-bestanden. Wanneer groepsbeleidobjecten worden bewerkt, vergelijkt de groepsbeleidsobject editor standaard de tijdstempels van de ADM-bestanden in de map%windir%\Inf van het werkstation met die die zijn opgeslagen in de map GPTs adm. Als de bestanden van het werkstation nieuwer zijn, kopieert de groepsbeleidsobject editor deze bestanden naar de GPT ADM-map, waarbij alle bestaande bestanden met dezelfde naam worden overschreven. Deze vergelijking vindt plaats wanneer het knooppunt Beheersjablonen (computer-of Gebruikersconfiguratie) is geselecteerd in de groepsbeleidsobject editor, ongeacht of de beheerder het GROEPSBELEIDOBJECT daadwerkelijk bewerkt. Opmerking De ADM-bestanden die zijn opgeslagen in de GPT kunnen worden bijgewerkt door het weergeven van een groepsbeleidsobject in de groepsbeleidsobject editor. Vanwege het belang van tijdstempels op ADM-bestandsbeheer, wordt het bewerken van door het systeem geleverde ADM-bestanden niet aanbevolen. Als een nieuwe beleidsinstelling is vereist, raadt Microsoft u aan een aangepast ADM-bestand te maken. Hiermee voorkomt u dat door het systeem geleverde ADM-bestanden worden vervangen wanneer service packs worden vrijgegeven.

Group Policy Management Console

De console Groepsbeleidsbeheer (GPMC) maakt standaard altijd gebruik van lokale ADM-bestanden, ongeacht hun tijdstempel, en kopieert nooit de ADM-bestanden naar de SYSVOL. Als een ADM-bestand niet wordt gevonden, zoekt de GPMC naar het ADM-bestand in de GPT. De GPMC-gebruiker kan ook een alternatieve locatie voor ADM-bestanden opgeven. Als er een alternatieve locatie is opgegeven, heeft deze alternatieve locatie voorrang.

GPO-replicatie

De File Replication-service (FRS) repliceert de GPTs voor groepsbeleidobjecten in het domein. Als onderdeel van de GPT, wordt de submap adm gerepliceerd naar alle domeincontrollers in het domein. Omdat elk groepsbeleidsobject meerdere ADM-bestanden worden opgeslagen en sommige kunnen vrij groot zijn, moet u begrijpen hoe ADM-bestanden die worden toegevoegd of bijgewerkt wanneer u de groepsbeleidsobject editor kan invloed hebben op replicatieverkeer.

Beleidsinstellingen gebruiken om ADM-bestandsupdates te beheren

Twee beleidsinstellingen gebied beschikbaar om te helpen bij het beheer van ADM-bestanden. Deze instellingen maken het mogelijk voor de beheerder om af te stemmen van het gebruik van ADM-bestanden voor een specifieke omgeving. Dit zijn de "automatische updates van ADM-bestanden uitschakelen" en de "altijd lokale ADM-bestanden gebruiken voor de Groepsbeleid-editor" instellingen.

Automatische updates van ADM-bestanden uitschakelen

Deze beleidsinstelling is beschikbaar onder Gebruikersconfiguratie\beheersjablonen\system\groepsbeleidin Windows Server 2003, Windows XP en Windows 2000. Deze instelling kan worden toegepast op elke client die is ingeschakeld voor Groepsbeleid.

Gebruik altijd lokale ADM-bestanden voor de Groepsbeleid-editor

Deze beleidsinstelling is beschikbaar onder Computerconfiguratie\beheersjablonen\system\groepsbeleid. Dit is een nieuwe beleidsinstelling. Het is mogelijk alleen toegepast op Windows Server 2003-clients. De instelling kan worden geïmplementeerd voor oudere clients, maar heeft geen invloed op hun gedrag. Als deze instelling is ingeschakeld, gebruikt de groepsbeleidsobject editor altijd lokale ADM-bestanden in de map%windir%\Inf van het lokale systeem wanneer u een groepsbeleidobject bewerkt. Opmerking Als deze beleidsinstelling is ingeschakeld, wordt de beleidsinstelling Automatische updates van adm-bestanden uitschakelen geïmpliceerd.

Veelvoorkomende scenario's en aanbevelingen

Problemen met meerdere talen beheren

In sommige omgevingen moeten beleidsinstellingen mogelijk worden weergegeven in de gebruikersinterface in verschillende talen. Bijvoorbeeld, een beheerder in de Verenigde Staten mogelijk wilt weergeven van beleidsinstellingen voor een specifiek groepsbeleidsobject in het Engels en een beheerder in Frankrijk wilt weergeven van hetzelfde GROEPSBELEIDOBJECT met behulp van Frans als hun voorkeurstaal. Omdat de GPT slechts één set ADM-bestanden kan opslaan, u de GPT niet gebruiken voor het opslaan van ADM-bestanden voor beide talen. Voor Windows 2000 wordt het gebruik van lokale ADM-bestanden door de groepsbeleidsobject editor niet ondersteund. U dit omzeilen door de beleidsinstelling ' Automatische updates van ADM-bestanden uitschakelen ' te gebruiken. Omdat deze beleidsinstelling heeft geen invloed op het maken van nieuwe Gpo's, de lokale ADM-bestanden worden geüpload naar de GPT in Windows 2000 en het maken van een groepsbeleidsobject in Windows 2000 effectief definieert "de taal van het GROEPSBELEIDOBJECT". Als de beleidsinstelling ' Automatische updates van ADM-bestanden uitschakelen ' is van kracht op alle Windows 2000-werkstations, wordt de taal van de ADM-bestanden in de GPT gedefinieerd door de taal van de computer die wordt gebruikt voor het maken van het GROEPSBELEIDOBJECT. Voor beheerders die van Windows XP en Windows Server 2003 gebruikmaken, kan de beleidsinstelling ' altijd lokale ADM-bestanden gebruiken voor Groepsbeleid-editor ' worden gebruikt. Dit maakt het mogelijk voor de Franse beheerder om beleidsinstellingen weer te geven met behulp van de ADM-bestanden die lokaal zijn geïnstalleerd op zijn of haar werkstation (Frans), ongeacht het ADM-bestand dat is opgeslagen in de GPT. Houd er rekening mee dat wanneer u deze beleidsinstelling gebruikt, wordt geïmpliceerd dat de instelling ' Automatische updates van ADM-bestanden uitschakelen ' is ingeschakeld om te voorkomen dat onnodige updates van de ADM-bestanden naar de GPT. Overweeg ook te standaardiseren op het nieuwste besturingssysteem van Microsoft voor beheerwerkstations in een meertalige beheeromgeving. Configureer vervolgens de beleidsinstellingen ' altijd lokale ADM-bestanden gebruiken voor Groepsbeleid-editor ' en ' Automatische updates van ADM-bestanden uitschakelen '. Als Windows 2000-werkstations worden gebruikt, gebruikt u de beleidsinstelling ' Automatische updates van ADM-bestanden uitschakelen ' voor beheerders en beschouwen de ADM-bestanden in de GPT als de effectieve taal voor alle Windows 2000-werkstations. Opmerking Windows XP-werkstations kunnen nog steeds hun lokale, taalspecifieke versies gebruiken.

Problemen met release van besturingssystemen en Service Pack

Elke versie van het besturingssysteem of Service Pack bevat een superset van de ADM-bestanden die worden geleverd door eerdere versies, met inbegrip van beleidsinstellingen die specifiek zijn voor besturingssystemen die verschillen van die van de nieuwe versie. De ADM-bestanden die bij Windows Server 2003 worden geleverd, bevatten bijvoorbeeld alle beleidsinstellingen voor alle besturingssystemen, inclusief die welke alleen relevant zijn voor Windows 2000 of Windows XP Professional. Dit betekent dat alleen het weergeven van een groepsbeleidsobject vanaf een computer met de nieuwe versie van een besturingssysteem of Service Pack effectief upgrades van de ADM-bestanden. Als latere releases meestal een superset van eerdere ADM-bestanden zijn, wordt dit meestal geen problemen, ervan uitgaande dat de ADM-bestanden die worden gebruikt niet zijn bewerkt. In sommige situaties kan een besturingssysteem of Service Pack-release een subset van de ADM-bestanden die is geleverd met eerdere versies bevatten. Dit heeft het potentieel om een eerdere subset van de ADM-bestanden te presenteren, wat resulteert in beleidsinstellingen die niet langer zichtbaar zijn voor beheerders wanneer ze groepsbeleidsobject editor gebruiken. De beleidsinstellingen blijven echter actief in het GROEPSBELEIDOBJECT. Alleen de zichtbaarheid van de beleidsinstellingen in de groepsbeleidsobject editor wordt beïnvloed. Alle actieve (ingeschakelde of uitgeschakelde) beleidsinstellingen zijn niet zichtbaar in de groepsbeleidsobject editor, maar blijven actief. Omdat de instellingen niet zichtbaar zijn, is het niet mogelijk voor de beheerder om deze beleidsinstellingen weer te geven of te bewerken. Om dit probleem te omzeilen, moeten beheerders vertrouwd raken met de ADM-bestanden die deel uitmaken van elk besturingssysteem of Service Pack-release voordat u de groepsbeleidsobject editor op dat besturingssysteem, in gedachten houden dat de handeling van het weergeven van een GPO is genoeg voor het bijwerken van de ADM-bestanden in de GPT, wanneer de tijdstempel vergelijking bepaalt een update is geschikt. Als u wilt plannen voor deze in uw omgeving, raadt Microsoft u ofwel:
  • Definieer een standaardbesturingssysteem/Service Pack waarbij alle weergave en bewerking van groepsbeleidsobjecten plaatsvindt, zodat de ADM-bestanden die worden gebruikt, de beleidsinstellingen voor alle platforms bevatten.
  • Gebruik de beleidsinstelling ' Automatische updates van ADM-bestanden uitschakelen ' voor alle beheerders van Groepsbeleid om ervoor te zorgen dat ADM-bestanden worden niet overschreven in de GPT door een groepsbeleidsobject editor sessie en zorg ervoor dat u de meest recente ADM-bestanden die zijn beschikbaar bij Microsoft.
Opmerking Het beleid ' altijd lokale ADM-bestanden gebruiken voor Groepsbeleid-editor ' wordt meestal gebruikt in combinatie met dit beleid, wanneer het wordt ondersteund door het besturingssysteem van waaruit de Groepsbeleidsobjecteditor wordt uitgevoerd.

ADM-bestanden verwijderen uit de map SYSVOL

Standaard worden ADM-bestanden opgeslagen in de GPT en dit kan de grootte van de map SYSVOL aanzienlijk verhogen. Ook frequente bewerking van groepsbeleidsobjecten kan resulteren in een aanzienlijke hoeveelheid replicatieverkeer. Met behulp van een combinatie van de "automatische updates van ADM-bestanden uitschakelen" en "altijd lokale ADM-bestanden gebruiken voor Groepsbeleid-editor" beleidsinstellingen kunnen sterk verminderen de grootte van de map SYSVOL en beleid-gerelateerde replicatieverkeer verminderen wanneer een aanzienlijk aantal beleidswijzigingen optreden. Als de grootte van de SYSVOL-volume of Groepsbeleid-gerelateerde replicatieverkeer problematisch wordt, overweeg het implementeren van een omgeving waarin de SYSVOL geen ADM-bestanden worden opgeslagen. Of overweeg het onderhouden van ADM-bestanden op beheerwerkstations. Dit proces wordt beschreven in de volgende sectie. De map SYSVOL van ADM-bestanden wissen:
  1. Schakel de beleidsinstelling ' automatische update van ADM-bestanden uitschakelen ' in voor alle groeps beleids beheerders die Gpo's zullen bewerken.
  2. Zorg ervoor dat dit beleid is toegepast.
  3. Kopieer aangepaste ADM-sjablonen naar de map%windir%\Inf.
  4. Bestaande Gpo's bewerken en verwijder alle ADM-bestanden van de GPT. U doet dit door met de rechtermuisknop op Beheersjablonenen klik vervolgens op sjabloon toevoegen/verwijderen.
  5. Schakel de beleidsinstelling ' altijd lokale ADM-bestanden gebruiken voor groepsbeleidsobject bewerken ' voor beheerwerkstations.

ADM-bestanden op Beheerwerkstations onderhouden

Wanneer u de beleidsinstelling ' altijd lokale ADM-bestanden gebruiken voor Groepsbeleid-editor ', zorg ervoor dat elk werkstation de meest recente versie van de standaard en aangepaste ADM-bestanden heeft. Als alle ADM-bestanden niet lokaal beschikbaar zijn, zijn sommige beleidsinstellingen die zijn opgenomen in een groepsbeleidsobject niet zichtbaar voor de beheerder. Vermijd dit door het implementeren van een standaard besturingssysteem en Service Pack-versie voor alle beheerders. Als u een standaardbesturingssysteem en Service Pack niet gebruiken, implementeert u een proces voor het distribueren van de meest recente ADM-bestanden naar alle beheerwerkstations. Opmerking Omdat de ADM-bestanden van het werkstation worden opgeslagen in de map%windir%\Inf, moet elk proces dat wordt gebruikt om deze bestanden te distribueren, worden uitgevoerd in de context van een account met beheerdersreferenties op het werkstation. Opmerking Windows XP biedt geen ondersteuning voor het bewerken van Gpo's wanneer er geen ADM-bestanden in de map SYSVOL. In een live-omgeving moet u rekening houden met deze beperking van het ontwerp.

Verwijzingen


Voor meer informatie over Groepsbeleid in Windows Server 2003, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
316977 gedrag van de Groepsbeleid-sjabloon in Windows Server 2003