Recomandări pentru gestionarea fișierelor șablon administrative de politică de grup (. adm)


Rezumat


Acest articol descrie modul în care funcționează fișierele ADM, setările de politică care sunt disponibile pentru a gestiona funcționarea lor și recomandări despre se gestionează scenarii de gestionare a fișierelor ADM comune. Notă Vă recomandăm să utilizați Windows Vista pentru a gestiona infrastructura de politică de grup utilizând un magazin central. Această recomandare este valabilă chiar și atunci când mediul are un mix de clienți și servere de nivel scăzut, ar fi computerele care execută Windows XP sau Windows Server 2003. Windows Vista utilizează un nou model care angajează fișiere ADMX și ADML pentru a gestiona șabloanele de politică de grup. Pentru mai multe informații, vizitați următoarele site-uri web:
Windows XP: nu uita despre mine... http://blogs.TechNet.com/GroupPolicy/Archive/2006/08/31/453147.aspx Implementarea politicii de grup utilizând Windows Vistahttp://TechNet.Microsoft.com/en-us/library/cc766208.aspxse creează un magazin central pentru șabloane administrative de politică de grup în fereastra Vistahttp://support.Microsoft.com/KB/929841
Dacă trebuie să utilizați computerele bazate pe Windows XP sau Windows Server 2003 pentru a gestiona infrastructura de politică de grup, consultați recomandările din acest articol.

Introducere în fișierele ADM

Fișierele ADM sunt fișiere șablon care sunt utilizate de politici de grup pentru a descrie unde setările de politică bazate pe registry sunt stocate în registry. Fișierele ADM descriu, de asemenea, interfața cu utilizatorul pe care administratorii o văd în utilitarul de completare snap-in editor de obiecte de politică de grup. editorul de obiecte de politică Group este utilizat de administratori atunci când creează sau modifică obiecte de politică de grup (GPO).

Stocarea și setările implicite ale fișierelor ADM

În folderul SYSVOL din fiecare controler de domeniu, fiecare domeniu GPO menține un singur folder și acest folder este denumit șablon de politică de grup (GPT). GPT stochează toate fișierele ADM care au fost utilizate în editorul de obiecte de politică de grup atunci când GPOs au fost create sau editate Ultima dată. Fiecare sistem de operare include un set standard de fișiere ADM. Aceste fișiere standard sunt fișierele implicite care sunt încărcate de editorul de obiecte de politică de grup. De exemplu, Windows Server 2003 include următoarele fișiere ADM:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Fișiere ADM particularizate

Fișierele ADM particularizate pot fi create de dezvoltatorii de programe sau profesioniști IT pentru a extinde utilizarea setărilor de politică bazate pe registry la noi programe și componente. Notă Programele și componentele trebuie proiectate și codificate pentru a recunoaște și a răspunde la setările de politică descrise în fișierul ADM. Pentru a încărca fișierele ADM în editorul de obiecte de politică de grup:
  1. Porniți editorul de obiecte de politică de grup.
  2. Faceți clic dreapta pe șabloane administrative, și apoi faceți clic pe Adăugare/eliminare șabloane. Notă Șabloanele administrative sunt disponibile sub configurarecomputer sau utilizator. Selectați configurația corectă pentru șablonul particularizat.
  3. Faceți clic pe Adăugare.
  4. Faceți clic pe un fișier ADM, și apoi faceți clic peDeschidere.
  5. Faceți clic pe Închidere.
  6. Setările particularizate de politică de fișier ADM sunt acum disponibile în editorul de obiecte de politică de grup.

Actualizați fișierele ADM și timestamp

Fiecare stație de lucru administrativă care este utilizat pentru a executa Group Policy Object Editor stochează fișierele ADM în folderul%windir%\Inf. Când GPOs sunt create și editat mai întâi, fișierele ADM din acest folder sunt copiate în subfolderul ADM în GPT. Aceasta include fișierele ADM standard și orice fișiere ADM particularizate care sunt adăugate de administrator. Notă Crearea unui obiect GPO fără a edita mai târziu că GPO creează un GPT fără nici un fișier ADM. În mod implicit, când se editează GPO, editorul de obiecte de politică de grup compară timestamp-ul fișierelor ADM în folderul%windir%\Inf al stației de lucru cu cele care sunt stocate în folderul GPTs ADM. Dacă fișierele stației de lucru sunt mai noi, editorul de obiecte de politică de grup copiază aceste fișiere în folderul GPT ADM, suprascriindu-se toate fișierele existente cu același nume. Această comparație se produce atunci când nodul administrative templates (computer sau User Configuration) este selectată în editorul de obiecte de politică de grup, indiferent dacă administratorul de fapt editează obiectul GPO. Notă Fișierele ADM stocate în GPT pot fi actualizate vizualizând un obiect GPO în editorul de obiecte de politică de grup. Din cauza importanței timestamp pe gestionarea fișierelor ADM, editarea fișierelor ADM furnizate de sistem nu este recomandată. Dacă este necesară o nouă setare de politică, Microsoft recomandă să creați un fișier ADM particularizat. Acest lucru previne înlocuirea fișierelor ADM furnizate de sistem atunci când pachetele Service Pack sunt lansate.

Consola de gestionare a politicilor de grup

În mod implicit, consola de gestionare a politicilor de grup (GPMC) utilizează întotdeauna fișierele ADM locale, indiferent de ștampila lor de marcă de timp, și niciodată nu copiază fișierele ADM SYSVOL. Dacă un fișier ADM nu este găsit, GPMC caută fișierul ADM în GPT. De asemenea, utilizatorul GPMC poate specifica o locație alternativă pentru fișierele ADM. Dacă este specificată o locație alternativă, această locație alternativă are prioritate.

Reproducerea GPO

Serviciul de reproducere fișiere (FRS) reproduce GPTs pentru GPO în întregul domeniu. Ca parte a GPT, subfolderul ADM se reproduce la toate controlerele de domeniu din domeniu. Deoarece fiecare GPO stochează mai multe fișiere ADM și unele pot fi destul de mari, trebuie să înțelegeți ADM fișierele care sunt adăugate sau actualizate atunci când utilizați politică de grup Object Editor poate afecta reproducerea trafic.

Utilizați setările de politică pentru a controla actualizările de fișier ADM

Două setări de politică zonă disponibile pentru a ajuta cu gestionarea fișierelor ADM. Aceste setări permit administratorului să tune utilizarea fișierelor ADM pentru un anumit mediu. Acestea sunt "dezactivați actualizările automate ale fișierelor ADM" și "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup" Setări.

Dezactivarea actualizărilor automate ale fișierelor ADM

Această setare de politică este disponibilă sub Politica de utilizator Configuration\Administrative Templates\System\Group în Windows Server 2003, în Windows XP și în Windows 2000. Această setare poate fi aplicată oricărui client activat pentru Politica de grup.

Utilizați întotdeauna fișierele ADM locale pentru editorul de politică de grup

Această setare de politică este disponibilă sub computer Configuration\Administrative Templates\System\Group politică. Aceasta este o nouă setare de politică. Acesta poate fi aplicat cu succes numai pentru clienții Windows Server 2003. Setarea poate fi implementată pentru clienții mai în vârstă, dar nu va avea nici un efect asupra comportamentului lor. Dacă această setare este activată, editorul de obiecte de politică de grup utilizează întotdeauna fișierele ADM locale în folderul local%windir%\Inf atunci când editați un obiect politică de grup. Notă Dacă această setare de politică este activată, dezactivați actualizările automate de setare de politică ADM fișierele este implicită.

Scenarii și recomandări comune

Probleme de administrare multilanguage

În unele medii, este posibil ca setările de politică să trebuiască să fie prezentate interfeței de utilizator în diferite limbi. De exemplu, un administrator din Statele Unite poate dori să vizualizați setările de politică pentru un anumit GPO în limba engleză și un administrator în Franța poate dori să vizualizați același GPO utilizând limba franceză ca limbă preferată. Deoarece GPT poate stoca un singur set de fișiere ADM, nu se poate utiliza GPT pentru a stoca fișierele ADM pentru ambele limbi. Pentru Windows 2000, utilizarea fișierelor ADM locale de politică de grup Object Editor nu este acceptată. Pentru a rezolva acest lucru, utilizați setarea de politică "dezactivați actualizările automate ale fișierelor ADM". Deoarece această setare de politică nu are efect asupra creării de noi GPO, fișierele ADM locale vor fi încărcate la GPT în Windows 2000 și crearea unui obiect GPO în Windows 2000 definește în mod eficient "limba GPO". Dacă setarea de politică "dezactivare actualizări automate de ADM fișiere" este în vigoare la toate stațiile de lucru Windows 2000, limba de fișiere ADM în GPT va fi definită de limba de computer care este utilizat pentru a crea GPO. Pentru administratorii care utilizează Windows XP și Windows Server 2003, se poate utiliza setarea de politică "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup". Acest lucru face posibil pentru administratorul francez pentru a vizualiza setările de politică utilizând fișierele ADM care sunt instalate local pe său Workstation (franceză), indiferent de fișierul ADM care este stocat în GPT. Rețineți că atunci când utilizați această setare de politică, este sugerat că setarea de politică "dezactivare actualizări automate de ADM fișiere" este activată pentru a evita actualizările inutile ale fișierelor ADM la GPT. De asemenea, luați în considerare standardizarea pe cel mai recent sistem de operare de la Microsoft pentru stațiile de lucru administrative într-un mediu administrativ multi-limbaj. Apoi configurați atât "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup" și "dezactivați actualizările automate de fișiere ADM" setările de politică. Dacă sunt utilizate stații de lucru Windows 2000, utilizați setarea de politică "dezactivați actualizările automate de ADM fișiere" pentru administratori și luați în considerare fișierele ADM în GPT pentru a fi limba efectivă pentru toate stațiile de lucru Windows 2000. Notă Stațiile de lucru Windows XP pot utiliza în continuare versiunile lor locale, lingvistice specifice.

Probleme de eliberare a sistemului de operare și a pachetului Service Pack

Fiecare versiune de sistem de operare sau pachet Service Pack include un superset de fișiere ADM furnizate de versiuni anterioare, inclusiv setările de politică care sunt specifice sistemelor de operare care sunt diferite de cele ale versiunii noi. De exemplu, fișierele ADM care sunt furnizate cu Windows Server 2003 includ toate setările de politică pentru toate sistemele de operare, inclusiv cele care sunt relevante numai pentru Windows 2000 sau Windows XP Professional. Aceasta înseamnă că numai vizualizarea unui obiect GPO de pe un computer cu noua versiune a unui sistem de operare sau Service Pack actualizează eficient fișierele ADM. Ca versiunile ulterioare sunt de obicei un superset de fișiere ADM anterioare, acest lucru nu va crea de obicei probleme, presupunând că fișierele ADM care sunt utilizate nu au fost editate. În unele situații, un sistem de operare sau pachet Service Pack poate include un subset de fișiere ADM care a fost furnizat cu versiuni anterioare. Acest lucru are potențialul de a prezenta un subset mai devreme de fișiere ADM, rezultând în setările de politică nu mai sunt vizibile pentru administratori atunci când se utilizează editorul de obiect politică de grup. Cu toate acestea, setările de politică va rămâne activă în GPO. Este afectată numai vizibilitatea setărilor de politică în editorul de obiecte de politică de grup. Orice setări de politică active (fie activate sau dezactivate) nu sunt vizibile în editorul de obiecte de politică de grup, dar rămân active. Deoarece setările nu sunt vizibile, nu este posibil ca administratorul să vizualizeze sau să editeze aceste setări de politică. Pentru a rezolva această problemă, administratorii trebuie să se familiarizeze cu fișierele ADM care sunt incluse în fiecare sistem de operare sau pachet Service Pack înainte de a utiliza editorul de obiecte de politică de grup pe acel sistem de operare, ținând cont de faptul că actul de vizualizare a unui GPO este suficient pentru a actualiza fișierele ADM în GPT, atunci când compararea timestamp determină o actualizare este adecvată. Pentru a planifica acest lucru în mediul dvs., Microsoft vă recomandă fie:
  • Definiți un sistem de operare/Service Pack standard din care apare toate vizualizarea și editarea de GPO, asigurându-vă că fișierele ADM care sunt utilizate includ setările de politică pentru toate platformele.
  • Utilizați setarea de politică "dezactivați actualizările automate de ADM fișiere" pentru toți administratorii de politică de grup pentru a vă asigura că fișierele ADM nu sunt suprascrise în GPT de orice sesiune de politică de grup Object Editor și asigurați-vă că utilizați cele mai recente fișiere ADM care sunt disponibile de la Microsoft.
Notă Politica de "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup" este de obicei utilizat cu această politică, atunci când este acceptată de sistemul de operare din care se execută editorul de obiect politică de grup.

Eliminați fișierele ADM din folderul SYSVOL

În mod implicit, fișierele ADM sunt stocate în GPT, iar acest lucru poate crește semnificativ dimensiunea folderului SYSVOL. De asemenea, editarea frecventă a GPOs poate duce la o cantitate semnificativă de trafic de replicare. Folosind o combinație de "dezactivați actualizările automate ale fișierelor ADM" și "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup" setările de politică poate reduce foarte mult dimensiunea folderului SYSVOL și reduce traficul de replicare legate de politică în cazul în care un număr semnificativ de apar editări de politică. În cazul în care dimensiunea SYSVOL volum sau de politică de grup legate de reproducerea trafic devine problematică, luați în considerare punerea în aplicare a unui mediu în cazul în care SYSVOL nu stochează orice fișiere ADM. Sau luați în considerare menținerea fișierelor ADM pe stațiile de lucru administrative. Acest proces este descris în secțiunea următoare. Pentru a goli folderul SYSVOL al fișierelor ADM:
  1. Activați setarea de politică "Dezactivați actualizarea automată a fișierelor ADM" pentru toți administratorii de politică de grup care va fi editarea GPO.
  2. Asigurați-vă că această politică a fost aplicată.
  3. Copiați orice șabloane ADM particularizate în folderul%windir%\Inf.
  4. Editați GPOs existente, și apoi eliminați toate fișierele ADM din GPT. Pentru aceasta, faceți clic dreapta pe șabloane administrative, și apoi faceți clic pe Adăugare/eliminare șablon.
  5. Activați setarea de politică "întotdeauna utilizați fișierele ADM locale pentru politică de grup obiect Edit" pentru stațiile de lucru administrative.

Menținerea fișierelor ADM pe stații de lucru administrative

Când utilizați setarea de politică "întotdeauna utilizați fișierele ADM locale pentru editorul de politică de grup", asigurați-vă că fiecare stație de lucru are cea mai recentă versiune a fișierelor ADM implicite și particularizate. Dacă toate fișierele ADM nu sunt disponibile la nivel local, unele setări de politică care sunt conținute într-un obiect GPO nu va fi vizibil pentru administrator. Evitați acest lucru prin punerea în aplicare a unui sistem de operare standard și versiunea pachet Service Pack pentru toți administratorii. Dacă nu puteți utiliza un sistem de operare standard și pachet Service Pack, implementați un proces pentru a distribui cele mai recente fișiere ADM la toate stațiile de lucru administrative. Notă Deoarece fișierele ADM stație de lucru sunt stocate în folderul%windir%\Inf, orice proces care este utilizat pentru a distribui aceste fișiere trebuie să ruleze în contextul unui cont care are acreditări administrative pe stația de lucru. Notă Windows XP nu acceptă editarea GPO atunci când nu există fișiere ADM în folderul SYSVOL. Într-un mediu viu, trebuie să ia în considerare această limitare de proiectare.

Referințe


Pentru mai multe informații despre politicile de grup în Windows Server 2003, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
316977 grup politică șablon comportament în Windows Server 2003