Rekommendationer för hantering av administrationsmallfiler för Grupprincip (. adm)


Sammanfattning


Den här artikeln beskrivs hur ADM-filer fungerar, principinställningar som är tillgängliga för att hantera sin verksamhet och rekommendationer om hur du hanterar vanliga ADM-filhanteringsscenarier. Notera Vi rekommenderar att du använder Windows Vista för att hantera infrastrukturen för grupprincip med hjälp av ett centrallager. Den här rekommendationen gäller även när miljön har en blandning av ned-nivå klienter och servrar, till exempel datorer som kör Windows XP eller Windows Server 2003. I Windows Vista används en ny modell som använder ADMX-och ADML-filer för att hantera Gruppprincipmallar. Mer information finns på följande webbplatser:
Windows XP: Glöm inte om mig... http://blogs.technet.com/GroupPolicy/Archive/2006/08/31/453147.aspx Distribuera grupprincip med hjälp av Windows Vistahttp://TechNet.Microsoft.com/en-us/library/cc766208.aspxskapa ett central lager för administrativa mallar för Grupprincip i Window Vistahttp://support.Microsoft.com/kb/929841
Om du måste använda Windows XP-eller Windows Server 2003-baserade datorer för att hantera infrastrukturen för Grupprincip finns i rekommendationerna i den här artikeln.

Introduktion till ADM-filer

ADM-filer är mallfiler som används av grupprinciper för att beskriva var registerbaserade principinställningar lagras i registret. ADM-filer beskriver också det användargränssnitt som administratörer ser i snapin-modulen Redigeraren för grupprincipobjekt. redigeraren för grupprincipobjekt används av administratörer när de skapar eller ändrar grupprincipobjekt (GPO).

ADM-fillagring och standardvärden

I mappen SYSVOL för varje domänkontrollant upprätthåller varje domängrupprincip objekt en enda mapp och den här mappen kallas för grupprincipmallen (GPT). GPT lagrar alla ADM-filer som användes i redigeraren för grupprincipobjekt när grupprincipobjekten senast skapades eller redigerades. Varje operativsystem innehåller en standarduppsättning av ADM-filer. Dessa standardfiler är standardfilerna som läses in av redigeraren för grupprincipobjekt. Till exempel innehåller Windows Server 2003 följande ADM-filer:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Anpassade ADM-filer

Anpassade ADM-filer kan skapas av programutvecklare eller IT-proffs att utvidga användningen av registerbaserade principinställningar till nya program och komponenter. Notera Program och komponenter måste utformas och kodas för att känna igen och svara på de principinställningar som beskrivs i ADM-filen. Så här läser du in ADM-filer i redigeraren för grupprincipobjekt:
  1. Starta redigeraren för grupprincipobjekt.
  2. Högerklicka på Administrationsmallaroch klicka sedan på Lägg till/ta bort mallar. Notera Administrativa mallar är tillgängliga under antingendator -eller Användarkonfiguration. Välj den konfiguration som är korrekt för din egen mall.
  3. Klicka på Lägg till.
  4. Klicka på en ADM-fil och sedan påÖppna.
  5. Klicka på Stäng.
  6. De anpassade inställningarna för ADM-fil är nu tillgängliga i redigeraren för grupprincipobjekt.

Uppdatera ADM-filer och tidsstämplar

Varje administrativ arbetsstation som används för att köra redigeraren för grupprincipobjekt lagrar ADM-filer i mappen%windir%\Inf. När grupprincipobjekt skapas och först redigeras, kopieras ADM-filerna från den här mappen till ADM-undermappen i GPT. Detta inkluderar standard ADM-filer och alla anpassade ADM-filer som läggs till av administratören. Notera Skapa ett grupprincipobjekt utan att senare redigera GRUPPRINCIPOBJEKTET skapar en GPT utan ADM-filer. Som standard när grupprincipobjekt redigeras jämför Grupprincip Object Editor tidsstämplar för ADM-filer i arbetsstationens%windir%\Inf mapp med de som lagras i mappen GPTs adm. Om arbetsstationens filer är nyare kopierar redigeraren för grupprincipobjekt filerna till mappen GPT adm och skriver över alla befintliga filer med samma namn. Den här jämförelsen inträffar när noden administrativa mallar (dator eller Användarkonfiguration) är markerad i redigeraren för grupprincipobjekt, oavsett om administratören faktiskt redigerar GRUPPRINCIPOBJEKTET. Notera ADM-filer som lagras i GPT kan uppdateras genom att visa ett GPO i redigeraren för grupprincipobjekt. På grund av betydelsen av tidsstämplar på ADM-filhantering, rekommenderas inte redigering av systemlevererade ADM-filer. Om en ny principinställning krävs rekommenderar Microsoft att du skapar en anpassad ADM-fil. Detta förhindrar att ADM-filer som tillhandahålls av systemet ersätts när Service Packs släpps.

Konsolen Grupprinciphantering

Som standard använder konsolen Grupprinciphantering (GPMC) alltid lokala ADM-filer, oavsett deras tidsstämpel och kopierar aldrig ADM-filer till SYSVOL. Om det inte går att hitta en ADM-fil söker GPMC efter ADM-filen i GPT. GPMC-användare kan också ange en alternativ plats för ADM-filer. Om en alternativ plats anges har den här alternativa platsen företräde.

Replikering av grupprincipobjekt

File Replication Service (FRS) replikerar GPTs för grupprincipobjekt i hela domänen. Som en del av GPT replikeras ADM-undermappen till alla domänkontrollanter i domänen. Eftersom varje GPO lagrar flera ADM-filer, och vissa kan vara ganska stora, måste du förstå hur ADM-filer som läggs till eller uppdateras när du använder redigeraren för grupprincipobjekt kan påverka replikeringstrafik.

Använd principinställningar för att kontrollera ADM-filuppdateringar

Det finns två princip inställningsområden som kan hjälpa dig med hanteringen av ADM-filer. Dessa inställningar gör det möjligt för administratören att finjustera användningen av ADM-filer för en viss miljö. Dessa är "Inaktivera automatiska uppdateringar av ADM-filer" och "Använd alltid lokala ADM-filer för grupprincip Editor" inställningar.

Inaktivera automatiska uppdateringar av ADM-filer

Den här inställningen är tillgänglig underAnvändarkonfiguration \ administrativa Templates\System\Group policy i Windows Server 2003, Windows XP och Windows 2000. Den här inställningen kan tillämpas på alla Grupprincip aktiverad klient.

Använd alltid lokala ADM-filer för Principeditorn

Den här principinställningen är tillgänglig under Datorkonfiguration\administrativa Mallar\system\grupperingsprincip. Detta är en ny principinställning. Det kan tillämpas med framgång endast för Windows Server 2003-klienter. Inställningen kan distribueras till äldre klienter, men den påverkar inte deras beteende. Om den här inställningen är aktiverad använder redigeraren för grupprincipobjekt alltid lokala ADM-filer i mappen%windir%\Inf lokalt system när du redigerar ett grupprincipobjekt. Notera Om den här inställningen är aktiverad, den Inaktivera automatiska uppdateringar av ADM-filer principinställningen är underförstått.

Vanliga scenarier och rekommendationer

Frågor om flerspråkadministration

I vissa miljöer kan det hända att principinställningarna visas för användargränssnittet på olika språk. En administratör i USA kanske till exempel vill visa principinställningar för ett visst grupprincipobjekt på engelska, och en administratör i Frankrike kanske vill visa samma GPO genom att använda franska som sitt föredragna språk. Eftersom GPT kan lagra endast en uppsättning ADM-filer, kan du inte använda GPT för att lagra ADM-filer för båda språken. För Windows 2000 stöds inte användning av lokala ADM-filer av redigeraren för grupprincipobjekt. Undvik detta genom att använda den "Inaktivera automatiska uppdateringar av ADM-filer" principinställningen. Eftersom den här inställningen har ingen inverkan på skapandet av nya grupprincipobjekt, lokala ADM-filer kommer att överföras till GPT i Windows 2000 och skapa ett grupprincipobjekt i Windows 2000 definierar effektivt "språket för GRUPPRINCIPOBJEKTET". Om inställningen "Inaktivera automatiska uppdateringar av ADM-filer" är i kraft på alla arbetsstationer i Windows 2000, definieras språket för ADM-filer i GPT av språket för den dator som används för att skapa GRUPPRINCIPOBJEKTET. För administratörer som använder Windows XP och Windows Server 2003, den "Använd alltid lokala ADM-filer för grupprincip Editor" principinställningen kan användas. Detta gör det möjligt för den franska administratören att visa principinställningar med hjälp av ADM-filer som installeras lokalt på hans eller hennes arbetsstation (franska), oavsett ADM-fil som lagras i GPT. Observera att när du använder den här inställningen är det underförstått att principinställningen "Inaktivera automatiska uppdateringar av ADM-filer" är aktiverad för att undvika onödiga uppdateringar av ADM-filer till GPT. Överväg också att standardisera det senaste operativsystemet från Microsoft för administrativa arbetsstationer i en administrativ miljö med flera språk. Konfigurera sedan både den "Använd alltid lokala ADM-filer för grupprincip Editor" och "Inaktivera automatiska uppdateringar av ADM-filer" principinställningar. Om Windows 2000 arbetsstationer används använder du inställningen "Inaktivera automatiska uppdateringar av ADM-filer" för administratörer och Överväg att ADM-filerna i GPT ska vara det effektiva språket för alla Windows 2000-arbetsstationer. Notera Windows XP-arbetsstationer kan fortfarande använda sina lokala, språkspecifika versioner.

Problem med utgåva av operativsystem och Service Pack

Varje operativsystem eller Service Pack-utgåva innehåller en inbegriper av ADM-filer som tillhandahålls av tidigare versioner, inklusive principinställningar som är specifika för operativsystem som skiljer sig från den nya versionen. Till exempel ADM-filer som ingår i Windows Server 2003 innehåller alla principinställningar för alla operativsystem, inklusive de som endast är relevanta för Windows 2000 eller Windows XP Professional. Detta innebär att endast visa ett grupprincipobjekt från en dator med den nya versionen av ett operativsystem eller Service Pack effektivt uppgraderar ADM-filer. Som senare utgåvor är vanligtvis en inbegriper av tidigare ADM-filer, detta kommer vanligtvis inte att skapa problem, förutsatt att ADM-filer som används inte har redigerats. I vissa situationer kan ett operativsystem eller en Service Pack-utgåva innehålla en delmängd av ADM-filer som har angetts med tidigare versioner. Detta har potential att presentera en tidigare delmängd av ADM-filer, vilket resulterar i att principinställningarna inte längre är synliga för administratörer när de använder redigeraren för grupprincipobjekt. Principinställningarna kommer dock att förbli aktiva i GRUPPRINCIPOBJEKTET. Endast synligheten för principinställningarna i redigeraren för grupprincipobjekt påverkas. Alla aktiva (antingen aktiverade eller inaktiverade) principinställningar visas inte i redigeraren för grupprincipobjekt, men förblir aktiva. Eftersom inställningarna inte visas är det inte möjligt för administratören att visa eller redigera dessa principinställningar. Undvik det här problemet måste administratörer bekanta sig med ADM-filer som ingår i varje operativsystem eller Service Pack-versionen innan du använder redigeraren för grupprincipobjekt på det operativsystemet, med tanke på att handlingen att visa ett grupprincipobjekt är tillräckligt för att uppdatera ADM-filer i GPT, när jämförelsen tidsstämpel avgör en uppdatering är lämplig. Om du vill planera för detta i din miljö rekommenderar Microsoft att du antingen:
  • Definiera ett standardoperativsystem/Service Pack som alla visning och redigering av grupprincipobjekt inträffar, se till att ADM-filer som används inkluderar principinställningar för alla plattformar.
  • Använd den "Inaktivera automatiska uppdateringar av ADM-filer" inställningen för alla Grupprincipadministratörer att se till att ADM-filer inte skrivs över i GPT av en grupprincip Object Editor-session och kontrollera att du använder de senaste ADM-filer som är tillgängliga från Microsoft.
Notera Principen "Använd alltid lokala ADM-filer för Principeditorn" används vanligtvis med den här principen när den stöds av operativsystemet som redigeraren för grupprincipobjekt körs från.

Ta bort ADM-filer från mappen SYSVOL

Som standard lagras ADM-filer i GPT, och detta kan avsevärt öka SYSVOL-mappens storlek. Frekvent redigering av grupprincipobjekt kan också resultera i en betydande mängd replikeringstrafik. Med hjälp av en kombination av "Inaktivera automatiska uppdateringar av ADM-filer" och "alltid använda lokala ADM-filer för grupprincip Editor" principinställningar kan avsevärt minska storleken på SYSVOL-mappen och minska principrelaterad replikeringstrafik där ett stort antal princip redigeringar sker. Om storleken på SYSVOL-volymen eller Gruppprinciprelaterad replikeringstrafik blir problematisk, Överväg att implementera en miljö där SYSVOL inte lagrar några ADM-filer. Eller Överväg att underhålla ADM-filer på administrativa arbetsstationer. Den här processen beskrivs i följande avsnitt. Så här rensar du mappen SYSVOL för ADM-filer:
  1. Aktivera principinställningen "inaktivera automatisk uppdatering av ADM-filer" för alla Grupprincipadministratörer som ska redigera GPO.
  2. Kontrollera att den här principen har tillämpats.
  3. Kopiera alla anpassade ADM-mallar till mappen%windir%\Inf.
  4. Redigera befintliga grupprincipobjekt och ta bort alla ADM-filer från GPT. Det gör du genom att högerklicka på Administrationsmallaroch sedan klicka på Lägg till/ta bort mall.
  5. Aktivera principinställningen "Använd alltid lokala ADM-filer för grupprincipobjekt redigering" för administrativa arbetsstationer.

Underhåll ADM-filer på administrativa arbetsstationer

Kontrollera att varje arbetsstation har den senaste versionen av standard och anpassade ADM-filer när du använder principinställningen "Använd alltid lokala ADM-filer för grupprincip Editor". Om alla ADM-filer inte är tillgängliga lokalt, kommer vissa principinställningar som ingår i ett grupprincipobjekt inte att visas för administratören. Undvik detta genom att implementera en standard version av operativsystemet och Service Pack för alla administratörer. Om du inte kan använda ett standardoperativsystem och Service Pack implementerar du en process för att distribuera de senaste ADM-filerna till alla administrativa arbetsstationer. Notera Eftersom arbetsstationens ADM-filer lagras i mappen%windir%\Inf, måste alla processer som används för att distribuera dessa filer köras i kontexten för ett konto som har administratörsbehörighet på arbetsstationen. Notera Windows XP stöder inte redigering av grupprincipobjekt när det inte finns några ADM-filer i SYSVOL-mappen. I en Live-miljö måste du tänka på denna designbegränsning.

Referenser


Mer information om grupprinciper i Windows Server 2003 klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:
316977 Grupprincip mallens beteende i Windows Server 2003