Как создать центральное хранилище для административных шаблонов групповой политики в Windows и управлять им

Применимо к: Windows 10, version 1803Windows Server version 1803Windows Server Datacenter Core Больше

ВВЕДЕНИЕ


В статье описывается, как с помощью новых файлов ADMX и ADML создавать и администрировать в Windows параметры политик на базе реестра. Также объясняется, как хранить и реплицировать файлы политик на базе Windows в центральном хранилище в среде домена.
 

Ссылки для скачивания файлов административных шаблонов в зависимости от версии операционной системы

 

Чтобы просмотреть электронные таблицы ADMX с новыми параметрами, доступными в более поздних версиях ОС, перейдите на следующий веб-сайт Центра загрузки Майкрософт:

Дополнительная информация


Обзор

Файлы административных шаблонов, к которым относятся файлы ADMX и зависящие от языка файлы ADML, используются администраторами групповой политики. В эти файлы внесены изменения, позволяющие администраторам настраивать один и тот же набор политик с использованием двух языков. Администраторы могут настраивать политики, используя зависящие от языка файлы ADML и не зависящие от него файлы ADMX.

Хранилище файлов административных шаблонов

Файлы административных шаблонов хранятся в Windows в центральном хранилище. Папка ADM больше не создается в объекте групповой политики, как это происходило в более ранних версиях Windows. Поэтому контроллеры домена Windows не хранят и не реплицируют лишние копии ADM-файлов.

Центральное хранилище

Чтобы воспользоваться преимуществами ADML-файлов, нужно создать центральное хранилище в папке SYSVOL на контроллере домена Windows. Центральное хранилище — это расположение файлов, которое инструменты групповой политики проверяют по умолчанию. Инструменты групповой политики используют все ADMX-файлы, находящиеся в центральном хранилище. Файлы в центральном хранилище реплицируются на все контроллеры домена в домене.

Мы рекомендуем вести репозиторий для всех ваших файлов ADMX/L для приложений, которые могут вам пригодиться: расширений операционной системы, таких как Microsoft Desktop Optimization Pack (MDOP), Microsoft Office, а также сторонних приложений с поддержкой групповой политики.

Чтобы создать центральное хранилище для файлов ADMX и ADML, создайте новую папку с именем PolicyDefinitions, к примеру, в следующем расположении контроллера домена:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

Если у вас уже есть такая папка с ранее созданным центральным хранилищем, в названии новой папки укажите описание текущей версии, например:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

Скопируйте все файлы из папки PolicyDefinitions на исходном компьютере в новую папку PolicyDefinitions на контроллере домена. Возможные исходные папки приведены ниже:

  • Папка C:\Windows\PolicyDefinitions на клиентском компьютере под управлением Windows 8.1 или Windows 10.
  • Папка C:\Program Files (x86)\Microsoft Group Policy\<зависит_от_версии>\PolicyDefinitions, если вы скачали какие-то административные шаблоны отдельно по указанным выше ссылкам.

В папке PolicyDefinitions на контроллере домена Windows хранятся все файлы ADMX и файлы ADML для всех языков, доступных на клиентском компьютере.

Файлы ADML хранятся в папке для соответствующего языка. Например, ADML-файлы для английского языка (США) хранятся в папке "en-US", ADML-файлы для русского языка (Россия) хранятся в папке "ru-RU" и т. д.

Если вам нужны ADML-файлы для дополнительных языков, скопируйте в центральное хранилище папку с ADML-файлами для этого языка. После копирования файлов ADMX и ADML папка PolicyDefinitions на контроллере домена должна содержать ADMX-файлы и одну или несколько папок с ADML-файлами для нужных языков.

Примечание. При копировании файлов ADMX и ADML с компьютера под управлением Windows 8.1 или Windows 10 убедитесь, что для этих файлов установлены самые последние обновления. Также убедитесь, что реплицированы самые свежие файлы административных шаблонов. Данный совет также относится и к пакетам обновления, если они имеются.

Закончив собирать файлы, относящиеся к ОС, объедините все файлы ADMX и ADML для расширений ОС и приложений в новую папку PolicyDefinitions.

После этого переименуйте текущую папку PolicyDefinitions так, чтобы было понятно, что она относится к более ранней версии, например: PolicyDefinitions-1709. Затем переименуйте новую папку (например, PolicyDefinitions-1803) в “рабочую” версию (то есть PolicyDefinitions).

 

Мы рекомендуем использовать этот подход, чтобы при возникновении серьезных проблем с новым набором файлов вы могли вернуться к использованию старой папки. Если у вас не возникнет проблем с новым набором файлов, вы сможете перенести старую папку PolicyDefinitions в архив вне SYSVOL.

Администрирование групповой политики

В Windows 8.1 и Windows 10 не входят административные шаблоны с расширением ADM. Для администрирования групповой политики рекомендуется использовать компьютеры под управлением Windows 8.1 или более поздних версий Windows.
 

Обновление файлов административных шаблонов

В групповой политике для Windows Vista и более поздних версий Windows при изменении параметров политики административных шаблонов на локальных компьютерах папка SYSVOL не обновляется автоматически, то есть в нее не попадают новые файлы ADMX и ADML. Это изменение в поведении позволяет снизить нагрузку на сеть и требования к дисковому пространству, а также предотвратить конфликты между файлами ADMX и ADML, когда параметры политики административных шаблонов изменяются сразу в нескольких местах.

Чтобы все локальные изменения отразились в папке SYSVOL, необходимо вручную копировать обновленные файлы из папки PolicyDefinitions на локальном компьютере в папку Sysvol\PolicyDefinitions на соответствующем контроллере домена.

Следующее обновление позволяет настроить редактор локальных групповых политик так, чтобы локальные файлы ADMX использовались без обращения к центральному хранилищу:
 

Эту настройку можно использовать и в других целях:

  • чтобы проверить работу новой папки c:\windows\policydefinitions на административной рабочей станции, применив к ней политики для домена, прежде чем копировать ее в центральное хранилище в папке SYSVOL;
  • чтобы использовать старую папку PolicyDefinitions, когда вам нужно изменить параметры политики, для которых нет ADMX-файла в последней версии вашего центрального хранилища. Типичный пример — политики, у которых есть параметры для более старых версий Microsoft Office, которые до сих пор находятся в групповых политиках. (У каждого выпуска Microsoft Office свой набор файлов ADMX/L.)

Известные проблемы

Проблема 1
Возникает, когда после копирования ADMX-шаблонов Windows 10 в центральное хранилище SYSVOL и перезаписи всех существующих файлов ADMX и ADML вы выбираете узел Политики в разделе Конфигурация компьютера или Конфигурация пользователя. При этом может появляться следующее сообщение об ошибке:
 
Текст сообщения диалогового окна
Пространство имен Microsoft.Policies.Sensors.WindowsLocationProvider уже определено как целевое пространство имен для другого файла в хранилище.

Файл
\\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, строка 5, столбец 110

Примечание
. В данном сообщении заполнитель <forest.root> в обозначении пути представляет имя домена.

Для устранения этой проблемы выполните действия, описанные в следующей статье базы знаний Майкрософт:
 
Проблема 2

В обновленных файлах ADMX/L для Windows 10 версии 1803 есть только SearchOCR.ADML. Он не совместим с более старым выпуском SearchOCR.ADMX, который до сих пор хранится в вашем центральном хранилище. Подробные сведения о проблеме:

При открытии в Windows файла gpedit.msc появляется ошибка «Не удалось найти ресурс '$(string id=Win7Only)', на который ссылается атрибут displayName»

Обеих проблем можно избежать, создав новую папку PolicyDefinitions из базовой папки нужной ОС, как описано выше.