Aanbevelingen voor het beheren van groepsbeleid bestanden met beheersjablonen (.adm)

In dit artikel wordt beschreven hoe ADM-bestanden werken, de beleidsinstellingen die beschikbaar zijn voor het beheren van hun werking en aanbevelingen voor het afhandelen van veelvoorkomende scenario's voor ADM-bestandsbeheer.

Van toepassing op: Windows Server 2012 R2, Windows 10 - alle edities
Origineel KB-nummer: 816662

Inleiding tot ADM-bestanden

ADM-bestanden zijn sjabloonbestanden die worden gebruikt door groepsbeleid om te beschrijven waar op register gebaseerde beleidsinstellingen worden opgeslagen in het register. ADM-bestanden beschrijven ook de gebruikersinterface die beheerders zien in de module groepsbeleid Object Editor. groepsbeleid Object Editor wordt gebruikt door beheerders wanneer ze groepsbeleid-objecten (GPO's) maken of wijzigen.

ADM-bestandsopslag en standaardinstellingen

In de map Sysvol van elke domeincontroller onderhoudt elk domein-GPO één map en deze map heet de groepsbeleid Template (GPT). De GPT slaat alle ADM-bestanden op die zijn gebruikt in groepsbeleid Object Editor toen de GPO's voor het laatst zijn gemaakt of bewerkt.

Elk besturingssysteem bevat een standaardset ADM-bestanden. Deze standaardbestanden zijn de standaardbestanden die worden geladen door groepsbeleid Object Editor. Windows Server 2003 bevat bijvoorbeeld de volgende ADM-bestanden:

• System.adm
• Inetres.adm
• Conf.adm
• Wmplayer.adm
• Wuau.adm

Aangepaste ADM-bestanden

Aangepaste ADM-bestanden kunnen worden gemaakt door programmaontwikkelaars of IT-professionals om het gebruik van op het register gebaseerde beleidsinstellingen uit te breiden naar nieuwe programma's en onderdelen.

Voer de volgende stappen uit om ADM-bestanden te laden in groepsbeleid Object Editor:

1. Start de Editor groepsbeleid Object.

2. Klik met de rechtermuisknop op Beheersjablonen en klik vervolgens op Sjablonen toevoegen/verwijderen.

   Opmerking

   Beheersjablonen zijn beschikbaar onder Computer - of Gebruikersconfiguratie. Selecteer de configuratie die juist is voor uw aangepaste sjabloon.

3. Klik op Toevoegen.

4. Klik op een ADM-bestand en klik vervolgens op Openen.

5. Klik op Sluiten.

6. De aangepaste beleidsinstellingen voor ADM-bestanden zijn nu beschikbaar in groepsbeleid Object Editor.

ADM-bestanden en tijdstempels bijwerken

Elk beheerwerkstation dat wordt gebruikt om groepsbeleid Object uit te voeren Editor slaat ADM-bestanden op in de map %windir%\Inf. Wanneer GPO's worden gemaakt en voor het eerst worden bewerkt, worden de ADM-bestanden uit deze map gekopieerd naar de Adm-submap in de GPT. Dit omvat de standaard ADM-bestanden en eventuele aangepaste ADM-bestanden die door de beheerder worden toegevoegd.

Wanneer GPO's worden bewerkt, vergelijkt groepsbeleid Object Editor standaard de tijdstempels van de ADM-bestanden in de map %windir%\Inf van het werkstation met de bestanden die zijn opgeslagen in de map GPT's Adm. Als de bestanden van het werkstation nieuwer zijn, kopieert groepsbeleid Object deze bestanden Editor naar de map GPT Adm, en worden bestaande bestanden met dezelfde naam overschreven. Deze vergelijking treedt op wanneer het knooppunt Beheersjablonen (computer- of gebruikersconfiguratie) is geselecteerd in groepsbeleid Object Editor, ongeacht of de beheerder het groepsbeleidsobject daadwerkelijk bewerkt.

Vanwege het belang van tijdstempels voor ADM-bestandsbeheer, wordt het bewerken van door het systeem geleverde ADM-bestanden niet aanbevolen. Als een nieuwe beleidsinstelling is vereist, raadt Microsoft u aan een aangepast ADM-bestand te maken. Dit voorkomt de vervanging van door het systeem geleverde ADM-bestanden wanneer servicepacks worden vrijgegeven.

Console Groepsbeleidbeheer

Standaard gebruikt de groepsbeleid Management Console (GPMC) altijd lokale ADM-bestanden, ongeacht hun tijdstempel, en kopieert de ADM-bestanden nooit naar de Sysvol. Als er geen ADM-bestand wordt gevonden, zoekt GPMC naar het ADM-bestand in de GPT. De GPMC-gebruiker kan ook een alternatieve locatie opgeven voor ADM-bestanden. Als er een alternatieve locatie is opgegeven, heeft deze alternatieve locatie voorrang.

GPO-replicatie

De File Replication Service (FRS) repliceert de GPO's voor GPO's in het hele domein. Als onderdeel van de GPT wordt de Adm-submap gerepliceerd naar alle domeincontrollers in het domein. Omdat elk groepsbeleidsobject meerdere ADM-bestanden opslaat en sommige vrij groot kunnen zijn, moet u begrijpen hoe ADM-bestanden die worden toegevoegd of bijgewerkt wanneer u groepsbeleid Object gebruikt Editor het replicatieverkeer kunnen beïnvloeden.

Beleidsinstellingen gebruiken om updates van ADM-bestanden te beheren

Er zijn twee beleidsinstellingen beschikbaar voor hulp bij het beheer van ADM-bestanden. Met deze instellingen kan de beheerder het gebruik van ADM-bestanden afstemmen voor een specifieke omgeving. Dit zijn de instellingen 'Automatische updates van ADM-bestanden uitschakelen' en 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid Editor'.

Automatische updates van ADM-bestanden uitschakelen

Deze beleidsinstelling is beschikbaar onder Gebruikersconfiguratie\Beheersjablonen\Systeem\groepsbeleid in Windows Server 2003, in Windows XP en in Windows 2000. Deze instelling kan worden toegepast op elke client met groepsbeleid ingeschakeld.

Gebruik altijd lokale ADM-bestanden voor groepsbeleid-editor

Deze beleidsinstelling is beschikbaar onder Computerconfiguratie\Beheersjablonen\Systeem\groepsbeleid. Dit is een nieuwe beleidsinstelling. Het kan alleen worden toegepast op Windows Server 2003-clients. De instelling kan worden geïmplementeerd op oudere clients, maar heeft geen invloed op hun gedrag. Als deze instelling is ingeschakeld, gebruikt groepsbeleid Object Editor altijd lokale ADM-bestanden in de map %windir%\Inf wanneer u een groepsbeleid-object bewerkt.

Veelvoorkomende scenario's en aanbevelingen voor beheerproblemen met meerdere talen

In sommige omgevingen moeten beleidsinstellingen mogelijk in verschillende talen worden gepresenteerd aan de gebruikersinterface. Een beheerder in de Verenigde Staten kan bijvoorbeeld beleidsinstellingen voor een specifiek groepsbeleidsobject in het Engels weergeven en een beheerder in Frankrijk wil mogelijk hetzelfde groepsbeleidsobject weergeven door Frans als voorkeurstaal te gebruiken. Omdat de GPT slechts één set ADM-bestanden kan opslaan, kunt u de GPT niet gebruiken om ADM-bestanden voor beide talen op te slaan.

Voor Windows 2000 wordt het gebruik van lokale ADM-bestanden door groepsbeleid Object Editor niet ondersteund. U kunt dit omzeilen door de beleidsinstelling Automatische updates van ADM-bestanden uitschakelen te gebruiken. Omdat deze beleidsinstelling geen invloed heeft op het maken van nieuwe GPO's, worden de lokale ADM-bestanden geüpload naar de GPT in Windows 2000, en het maken van een groepsbeleidsobject in Windows 2000 definieert effectief 'de taal van het groepsbeleidsobject'. Als de beleidsinstelling 'Automatische updates van ADM-bestanden uitschakelen' van kracht is op alle Windows 2000-werkstations, wordt de taal van de ADM-bestanden in de GPT gedefinieerd door de taal van de computer die wordt gebruikt om het groepsbeleidsobject te maken.

Voor beheerders die Windows XP en Windows Server 2003 gebruiken, kan de beleidsinstelling 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid editor' worden gebruikt. Hierdoor kan de Franse beheerder beleidsinstellingen weergeven met behulp van de ADM-bestanden die lokaal zijn geïnstalleerd op zijn of haar werkstation (Frans), ongeacht het ADM-bestand dat is opgeslagen in de GPT. Wanneer u deze beleidsinstelling gebruikt, wordt geïmpliceerd dat de beleidsinstelling 'Automatische updates van ADM-bestanden uitschakelen' is ingeschakeld om onnodige updates van de ADM-bestanden naar de GPT te voorkomen.

Overweeg ook om het nieuwste besturingssysteem van Microsoft te standaardiseren voor beheerwerkstations in een meertalige beheeromgeving. Configureer vervolgens de beleidsinstellingen 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid-editor' en 'Automatische updates van ADM-bestanden uitschakelen'.

Als Windows 2000-werkstations worden gebruikt, gebruikt u de beleidsinstelling 'Automatische updates van ADM-bestanden uitschakelen' voor beheerders en beschouwt u de ADM-bestanden in de GPT als de effectieve taal voor alle Windows 2000-werkstations.

Veelvoorkomende scenario's en aanbevelingen voor releaseproblemen met het besturingssysteem en servicepack

Elke release van het besturingssysteem of servicepack bevat een superset van de ADM-bestanden van eerdere versies, inclusief beleidsinstellingen die specifiek zijn voor besturingssystemen die afwijken van die van de nieuwe release. De ADM-bestanden die bij Windows Server 2003 worden geleverd, bevatten bijvoorbeeld alle beleidsinstellingen voor alle besturingssystemen, inclusief de bestanden die alleen relevant zijn voor Windows 2000 of Windows XP Professional. Dit betekent dat alleen het weergeven van een groepsbeleidsobject vanaf een computer met de nieuwe release van een besturingssysteem of servicepack de ADM-bestanden effectief upgradet. Omdat latere releases meestal een superset van eerdere ADM-bestanden zijn, zal dit meestal geen problemen veroorzaken, ervan uitgaande dat de gebruikte ADM-bestanden niet zijn bewerkt.

In sommige gevallen kan een besturingssysteem- of servicepackrelease een subset van de ADM-bestanden bevatten die bij eerdere releases zijn geleverd. Hierdoor kan een eerdere subset van de ADM-bestanden worden weergegeven, waardoor beleidsinstellingen niet meer zichtbaar zijn voor beheerders wanneer ze groepsbeleid Object Editor gebruiken. De beleidsinstellingen blijven echter actief in het groepsbeleidsobject. Alleen de zichtbaarheid van de beleidsinstellingen in groepsbeleid Object Editor wordt beïnvloed. Actieve (ingeschakelde of uitgeschakelde) beleidsinstellingen zijn niet zichtbaar in groepsbeleid Object Editor, maar blijven actief. Omdat de instellingen niet zichtbaar zijn, is het niet mogelijk voor de beheerder om deze beleidsinstellingen weer te geven of te bewerken. Om dit probleem te omzeilen, moeten beheerders vertrouwd raken met de ADM-bestanden die zijn opgenomen in elke release van het besturingssysteem of servicepack voordat ze groepsbeleid Object Editor op dat besturingssysteem gebruiken. Houd er rekening mee dat het weergeven van een groepsbeleidsobject voldoende is om de ADM-bestanden in de GPT bij te werken, wanneer de tijdstempelvergelijking bepaalt dat een update geschikt is.

Als u dit in uw omgeving wilt plannen, raadt Microsoft u aan het volgende te doen:

• Definieer een standaardbesturingssysteem/servicepack van waaruit alle GPO's worden weergegeven en bewerkt. Zorg ervoor dat de ADM-bestanden die worden gebruikt de beleidsinstellingen voor alle platforms bevatten.

• Gebruik de beleidsinstelling Automatische updates van ADM-bestanden uitschakelen voor alle groepsbeleid beheerders om ervoor te zorgen dat ADM-bestanden niet worden overschreven in de GPT door een groepsbeleid Object Editor-sessie en zorg ervoor dat u de meest recente ADM-bestanden gebruikt die beschikbaar zijn van Microsoft.

ADM-bestanden verwijderen uit de map Sysvol

Standaard worden ADM-bestanden opgeslagen in de GPT, wat de mapgrootte van Sysvol aanzienlijk kan vergroten. Het regelmatig bewerken van GPO's kan ook leiden tot een aanzienlijke hoeveelheid replicatieverkeer. Het gebruik van een combinatie van de beleidsinstellingen 'Automatische updates van ADM-bestanden uitschakelen' en 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid editor' kan de grootte van de Sysvol-map aanzienlijk verminderen en het replicatieverkeer met betrekking tot beleid verminderen wanneer een aanzienlijk aantal beleidsbewerkingen plaatsvindt.

Als de grootte van het Sysvol-volume of groepsbeleid-gerelateerd replicatieverkeer problematisch wordt, kunt u overwegen een omgeving te implementeren waarin de Sysvol geen ADM-bestanden opslaat. U kunt ook ADM-bestanden op beheerwerkstations onderhouden. Dit proces wordt beschreven in de volgende sectie.

Voer de volgende stappen uit om de map Sysvol met ADM-bestanden te wissen:

1. Schakel de beleidsinstelling 'Automatisch bijwerken van ADM-bestanden uitschakelen' in voor alle groepsbeleid beheerders die GPO's gaan bewerken.
2. Zorg ervoor dat dit beleid is toegepast.
3. Kopieer aangepaste ADM-sjablonen naar de map %windir%\Inf.
4. Bewerk bestaande GPO's en verwijder vervolgens alle ADM-bestanden uit de GPT. Klik hiervoor met de rechtermuisknop op Beheersjablonen en klik vervolgens op Sjabloon toevoegen/verwijderen.
5. Schakel de beleidsinstelling 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid Object bewerken' in voor werkstations met beheerdersrechten.

ADM-bestanden onderhouden op beheerwerkstations

Wanneer u de beleidsinstelling 'Altijd lokale ADM-bestanden gebruiken voor groepsbeleid editor' gebruikt, moet u ervoor zorgen dat elk werkstation de nieuwste versie van de standaard- en aangepaste ADM-bestanden heeft. Als niet alle ADM-bestanden lokaal beschikbaar zijn, zijn sommige beleidsinstellingen die zijn opgenomen in een groepsbeleidsobject niet zichtbaar voor de beheerder. Vermijd dit door een standaardbesturingssysteem en servicepackversie te implementeren voor alle beheerders. Als u geen standaardbesturingssysteem en servicepack kunt gebruiken, implementeert u een proces om de meest recente ADM-bestanden te distribueren naar alle beheerwerkstations.