Đề xuất quản lý tệp khuôn mẫu quản trị chính sách Nhóm (. ADM)


Tóm tắt


Bài viết này mô tả cách ADM tệp hoạt động, thiết đặt chính sách có sẵn để quản lý hoạt động của họ và khuyến nghị về cách xử lý các trường hợp quản lý tệp ADM phổ biến. Lưu ý Chúng tôi khuyên bạn nên sử dụng Windows Vista để quản lý cơ sở hạ tầng chính sách nhóm bằng cách sử dụng một cửa hàng Trung tâm. Đề nghị này đúng ngay cả khi môi trường có kết hợp xuống cấp khách hàng và máy chủ, chẳng hạn như máy tính đang chạy Windows XP hoặc Windows Server 2003. Windows Vista dùng mô hình mới sử dụng tệp ADMX và ADML để quản lý các mẫu chính sách nhóm. Để biết thêm thông tin, hãy ghé thăm web site sau:
Windows XP: Đừng quên tôi... http://blogs.technet.com/grouppolicy/Archive/2006/08/31/453147.aspx Triển khai chính sách nhóm sử dụng Windows Vistahttp://technet.Microsoft.com/en-US/Library/cc766208.aspxlàm thế nào để tạo một cửa hàng Trung tâm cho khuôn mẫu quản trị chính sách nhóm trong Window Vistahttp://support.Microsoft.com/kb/929841
Nếu bạn phải sử dụng máy tính chạy Windows XP hoặc Windows Server 2003 để quản lý cơ sở hạ tầng chính sách nhóm, hãy xem các khuyến nghị trong bài viết này.

Giới thiệu về ADM tập tin

ADM tệp là các tệp mẫu được sử dụng chính sách nhóm để mô tả nơi thiết đặt chính sách dựa trên sổ đăng ký được lưu trữ trong sổ đăng ký. ADM tệp cũng mô tả giao diện người dùng quản trị viên xem trong chỉnh sửa đối tượng chính sách Nhóm snap-in. nhóm chính sách đối tượng chỉnh sửa được sử dụng bởi quản trị viên khi họ tạo hoặc sửa đổi các đối tượng chính sách Nhóm (GPO).

Lưu trữ và mặc định tệp ADM

Trong thư mục Sysvol của từng bộ điều khiển miền, mỗi miền GPO duy trì một thư mục và thư mục này được đặt tên là khuôn mẫu chính sách Nhóm (GPT). GPT lưu tất cả các tệp ADM được sử dụng trong chỉnh sửa đối tượng chính sách nhóm khi GPO được tạo hoặc sửa đổi lần cuối. Mỗi hệ điều hành bao gồm một bộ tiêu chuẩn ADM tệp. Các tệp chuẩn là các tệp mặc định được tải bằng trình chỉnh sửa đối tượng chính sách nhóm. Ví dụ, Windows Server 2003 bao gồm các tệp ADM sau:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Tệp ADM tuỳ chỉnh

Tuỳ chỉnh ADM tệp có thể được tạo ra bởi nhà phát triển chương trình hoặc các chuyên gia để mở rộng sử dụng thiết đặt chính sách dựa trên sổ đăng ký chương trình và cấu phần mới. Lưu ý Chương trình và cấu phần phải được thiết kế và mã nhận dạng và phản hồi các thiết đặt chính sách được mô tả trong tệp ADM. Tải tệp ADM trong chỉnh sửa đối tượng chính sách Nhóm:
  1. Khởi động trình chỉnh sửa đối tượng chính sách nhóm.
  2. Bấm chuột phải vào khuôn mẫu quản trị, và sau đó bấm thêm/loại bỏ mẫu. Lưu ý Mẫu quản trị có sẵn trongmáy tính hoặc cấu hình người dùng. Chọn cấu hình đúng cho mẫu tuỳ chỉnh của bạn.
  3. Bấm vào Thêm.
  4. Bấm tệp ADM, và sau đó nhấp vàomở.
  5. Bấm vào Đóng.
  6. Tuỳ chỉnh ADM tệp thiết đặt chính sách hiện có sẵn trong chỉnh sửa đối tượng chính sách nhóm.

Cập Nhật ADM tệp và dấu

Mỗi trạm làm việc quản trị được sử dụng để chạy chỉnh sửa đối tượng chính sách Nhóm cửa hàng ADM tệp trong thư mục%windir%\Inf. Khi GPO được tạo ra và đầu tiên sửa, ADM tệp từ thư mục này được sao chép vào mục con ADM trong GPT. Điều này bao gồm các tiêu chuẩn ADM tệp và bất kỳ tệp ADM tuỳ chỉnh được thêm vào bởi quản trị viên. Lưu ý Tạo một GPO không chỉnh sửa sau đó GPO tạo GPT mà không có bất kỳ tệp ADM. Theo mặc định, khi GPOs được chỉnh sửa, soạn thảo đối tượng chính sách nhóm so sánh dấu thời gian của tệp ADM trong thư mục%windir%\Inf của máy trạm được lưu trữ trong thư mục GPTs ADM. Nếu máy trạm của các tập tin mới hơn, chỉnh sửa đối tượng chính sách nhóm sao các tệp vào thư mục GPT ADM, ghi đè lên bất kỳ tệp hiện có cùng tên. So sánh này xảy ra khi nút Administrative Templates (cấu hình máy tính hoặc người dùng) được chọn trong chỉnh sửa đối tượng chính sách nhóm, bất kể cho dù quản trị viên thực sự chỉnh sửa GPO. Lưu ý ADM tệp lưu trữ trong GPT có thể được cập nhật bằng cách xem một GPO trong chỉnh sửa đối tượng chính sách nhóm. Do tầm quan trọng của nhãn thời gian quản lý tệp ADM, chỉnh sửa hệ thống cung cấp ADM tệp không được khuyến nghị. Nếu thiết đặt chính sách mới là bắt buộc, Microsoft khuyên bạn tạo một tệp ADM tuỳ chỉnh. Điều này ngăn cản việc thay thế các tệp ADM cung cấp hệ thống khi gói dịch vụ được phát hành.

Bảng điều khiển quản lý chính sách Nhóm

Theo mặc định, Bàn điều khiển quản lý chính sách Nhóm (GPMC) luôn sử dụng tệp ADM cục bộ, bất kể dấu thời gian của họ và không sao chép các tệp ADM Sysvol. Nếu không tìm thấy tệp ADM, GPMC trông cho tệp ADM trong GPT. Ngoài ra, người dùng GPMC có thể chỉ định một vị trí khác ADM tệp. Nếu một vị trí thay thế được chỉ định, vị trí thay thế này có ưu tiên.

Nhân bản GPO

Dịch vụ nhân bản tệp (FRS) sao chép GPTs GPOs trong miền. Là một phần của GPT, thư mục ADM được sao chép tất cả các bộ điều khiển miền trong miền. Vì mỗi GPO lưu trữ nhiều ADM tệp và một số có thể khá lớn, bạn phải hiểu cách ADM tệp được thêm hoặc Cập Nhật khi bạn sử dụng trình chỉnh sửa đối tượng chính sách nhóm có thể ảnh hưởng đến lưu lượng sao chép.

Sử dụng thiết đặt chính sách để kiểm soát bản cập nhật tệp ADM

Hai chính sách thiết đặt khu vực có sẵn để giúp quản lý ADM tệp. Các thiết đặt này giúp quản trị viên điều chỉnh sử dụng ADM tệp cho môi trường cụ thể. Đây là "tắt Cập nhật tự động ADM tệp" và "luôn sử dụng tệp ADM cục bộ soạn chính sách nhóm" cài đặt.

Tắt Cập nhật tự động ADM tệp

Thiết đặt chính sách này có sẵn trong chính sách Templates\System\Group Administrative người dùng trong Windows Server 2003, Windows XP và Windows 2000. Thiết đặt này có thể được áp dụng cho bất kỳ chính sách nhóm hỗ trợ khách hàng.

Luôn sử dụng tệp ADM cục bộ soạn chính sách Nhóm

Thiết đặt chính sách này có sẵn trong máy tính Configuration\Administrative Templates\System\Group chính sách. Đây là một thiết đặt chính sách mới. Nó có thể được áp dụng thành công chỉ cho khách hàng Windows Server 2003. Cài đặt có thể được triển khai cho khách hàng cũ, nhưng nó sẽ không ảnh hưởng đến hành vi của họ. Nếu thiết đặt này được bật, chỉnh sửa đối tượng chính sách nhóm luôn sử dụng địa phương ADM tệp trong thư mục%windir%\Inf hệ thống cục bộ khi bạn chỉnh sửa một đối tượng chính sách nhóm. Lưu ý Nếu thiết đặt chính sách này được bật, tắt Cập nhật tự động ADM tệp thiết đặt chính sách được ngụ ý.

Các trường hợp và khuyến nghị phổ biến

Vấn đề quản lý đa ngôn ngữ

Trong một số môi trường, thiết đặt chính sách có thể được trình bày cho giao diện người dùng trong ngôn ngữ khác nhau. Ví dụ: quản trị viên ở Hoa Kỳ có thể muốn xem thiết đặt chính sách cho GPO cụ thể bằng tiếng Anh và quản trị viên ở Pháp có thể xem GPO cùng bằng cách sử dụng tiếng Pháp như ngôn ngữ ưa thích của họ. Vì GPT có thể lưu trữ một tập hợp ADM tệp, bạn không thể sử dụng GPT lưu trữ ADM tệp cho cả hai ngôn ngữ. Đối với Windows 2000, sử dụng tệp ADM cục bộ bằng cách chỉnh sửa đối tượng chính sách nhóm không được hỗ trợ. Để khắc này, sử dụng thiết đặt chính sách "tắt Cập nhật tự động ADM tệp". Vì thiết đặt chính sách này không ảnh hưởng đến việc tạo GPO mới, tệp ADM cục bộ sẽ được tải lên GPT trong Windows 2000 và tạo một GPO trong Windows 2000 có hiệu quả định nghĩa "ngôn ngữ của GPO". Nếu thiết đặt chính sách "tắt Cập nhật tự động ADM tệp" có hiệu lực ở tất cả các trạm làm việc Windows 2000, ngôn ngữ ADM tệp trong GPT sẽ được xác định bằng ngôn ngữ của máy tính được sử dụng để tạo GPO. Dành cho quản trị viên đang sử dụng Windows XP và Windows Server 2003, thiết đặt chính sách "luôn sử dụng tệp ADM cục bộ soạn chính sách nhóm" có thể được sử dụng. Điều này làm cho quản trị viên Pháp xem thiết đặt chính sách bằng cách sử dụng ADM tệp được cài đặt cục bộ trên máy trạm của mình (tiếng Pháp), bất kể ADM tệp được lưu trữ trong GPT. Lưu ý rằng khi bạn sử dụng thiết đặt chính sách này, đó là ngụ ý rằng thiết đặt chính sách "tắt Cập nhật tự động ADM tệp" được kích hoạt để tránh các bản Cập Nhật không cần thiết ADM tệp GPT. Ngoài ra, hãy xem xét tiêu chuẩn hóa hệ điều hành mới nhất của Microsoft cho các trạm làm việc quản trị trong môi trường quản trị đa ngôn ngữ. Sau đó cấu hình cả hai "luôn sử dụng địa phương ADM tệp để chỉnh sửa chính sách nhóm" và "tắt Cập nhật tự động ADM tệp" thiết đặt chính sách. Nếu Windows 2000 trạm làm việc đang được sử dụng thiết đặt chính sách "tắt Cập nhật tự động ADM tệp" cho quản trị viên và xem xét các tập tin ADM GPT là ngôn ngữ hiệu quả cho tất cả các máy trạm Windows 2000. Lưu ý Trạm làm việc Windows XP vẫn có thể sử dụng các phiên bản ngôn ngữ cụ thể của địa phương.

Hệ điều hành và vấn đề phát hành gói dịch vụ

Mỗi phiên bản hệ điều hành hoặc gói dịch vụ bao gồm một tập hợp lớn ADM tệp được cung cấp bởi các phiên bản trước đó, bao gồm các thiết đặt chính sách dành riêng cho hệ điều hành khác với những phát hành mới. Ví dụ: ADM tệp được cung cấp với Windows Server 2003 bao gồm tất cả các thiết đặt chính sách cho tất cả các hệ điều hành, bao gồm những người chỉ có liên quan đến Windows 2000 hoặc Windows XP Professional. Điều này có nghĩa là chỉ xem GPO từ máy tính với phiên bản mới của hệ điều hành hoặc gói dịch vụ có hiệu quả nâng cấp ADM tệp. Khi các bản phát hành thường là một tập hợp lớn các tệp ADM trước đó, điều này sẽ không thường tạo ra sự cố, giả sử rằng ADM tệp đang được sử dụng không được chỉnh sửa. Trong một số trường hợp, bản phát hành gói dịch vụ hoặc hệ điều hành có thể bao gồm một tập con của các tệp ADM được cung cấp với phát hành trước đó. Điều này có khả năng trình bày một tập hợp trước của ADM tệp, dẫn đến thiết đặt chính sách không được hiển thị cho quản trị viên khi họ sử dụng trình chỉnh sửa đối tượng chính sách nhóm. Tuy nhiên, các thiết đặt chính sách sẽ vẫn hoạt động trong GPO. Chỉ hiển thị các thiết đặt chính sách trong chỉnh sửa đối tượng chính sách nhóm bị ảnh hưởng. Bất kỳ thiết đặt chính sách hoạt động (hoặc kích hoạt hoặc vô hiệu hoá) không hiển thị trong chỉnh sửa đối tượng chính sách nhóm, nhưng vẫn hoạt động. Vì các thiết đặt không hiển thị, không thể quản trị viên để xem hoặc chỉnh sửa các thiết đặt chính sách. Để khắc phục sự cố này, quản trị viên phải làm quen với ADM tệp đi kèm với mỗi hệ điều hành hoặc dịch vụ gói phát hành trước khi sử dụng chỉnh sửa đối tượng chính sách nhóm trên hệ điều hành, hãy nhớ rằng các hành động xem GPO là đủ để cập nhật các tập tin ADM trong GPT, khi so sánh dấu thời gian xác định bản Cập Nhật là thích hợp. Để lập kế hoạch cho điều này trong môi trường của bạn, Microsoft khuyến cáo rằng bạn hoặc:
  • Xác định gói dịch vụ/hệ điều hành tiêu chuẩn mà tất cả xem và chỉnh sửa GPO xảy ra, đảm bảo rằng ADM tệp đang được sử dụng bao gồm các thiết đặt chính sách cho tất cả các nền tảng.
  • Sử dụng thiết đặt chính sách "tắt Cập nhật tự động ADM tệp" cho tất cả quản trị viên chính sách nhóm để đảm bảo rằng ADM tệp không được ghi đè trong GPT bởi bất kỳ phiên bản chỉnh sửa đối tượng chính sách nhóm và đảm bảo rằng bạn đang sử dụng tệp ADM mới nhất có sẵn từ Microsoft.
Lưu ý Chính sách "luôn sử dụng tệp ADM cục bộ soạn chính sách nhóm" thường được sử dụng với chính sách này, khi nó được hỗ trợ bởi hệ điều hành mà chạy trình chỉnh sửa đối tượng chính sách nhóm.

Loại bỏ ADM tệp từ thư mục Sysvol

Theo mặc định, ADM tệp được lưu trữ trong GPT và điều này có thể tăng đáng kể kích thước thư mục Sysvol. Ngoài ra, thường xuyên chỉnh sửa GPO có thể dẫn đến một số lượng đáng kể giao thông sao chép. Sử dụng kết hợp các "tắt Cập nhật tự động ADM tệp" và "luôn sử dụng tệp ADM cục bộ soạn chính sách nhóm" thiết đặt chính sách có thể làm giảm đáng kể kích thước của thư mục Sysvol và giảm lưu lượng sao chép liên quan đến chính sách mà một số chỉnh sửa chính sách xảy ra. Nếu kích thước của ổ đĩa Sysvol hoặc liên quan đến chính sách nhóm lưu lượng truy cập nhân có vấn đề, xem xét việc thực hiện một môi trường mà Sysvol lưu trữ bất kỳ tệp ADM. Hoặc xem xét việc duy trì ADM tệp trên trạm làm việc quản trị. Quá trình này được mô tả trong phần sau. Để xoá thư mục Sysvol ADM tệp:
  1. Bật thiết đặt chính sách "tắt Cập nhật tự động ADM tệp" cho tất cả các quản trị viên chính sách nhóm sẽ chỉnh sửa GPO.
  2. Đảm bảo rằng chính sách này đã được áp dụng.
  3. Sao chép bất kỳ mẫu ADM tuỳ chỉnh vào thư mục%windir%\Inf.
  4. Chỉnh sửa GPO hiện tại, và sau đó xoá tất cả các tệp ADM từ GPT. Để thực hiện việc này, bấm chuột phải vào Administrative Templates, và sau đó nhấp vào thêm/loại bỏ mẫu.
  5. Bật thiết đặt chính sách "luôn sử dụng tệp ADM cục bộ để chỉnh sửa đối tượng chính sách nhóm" cho trạm làm việc quản trị.

Duy trì ADM tệp trên trạm làm việc quản trị

Khi bạn sử dụng thiết đặt chính sách "luôn sử dụng tệp ADM cục bộ soạn chính sách nhóm", đảm bảo rằng mỗi máy trạm có phiên bản mới nhất của tệp ADM tuỳ chỉnh và mặc định. Nếu tất cả các tệp ADM không có sẵn cục bộ, một số thiết đặt chính sách được chứa trong GPO sẽ không hiển thị cho quản trị viên. Tránh việc này bằng cách thực hiện một hệ điều hành tiêu chuẩn và phiên bản gói dịch vụ cho tất cả các quản trị viên. Nếu bạn không thể sử dụng hệ điều hành tiêu chuẩn và gói dịch vụ, thực hiện một quá trình phân phối các tệp ADM mới nhất cho tất cả các trạm làm việc quản trị. Lưu ý Vì máy trạm ADM tệp được lưu trữ trong thư mục%windir%\Inf, bất kỳ quá trình được sử dụng để phân phối các tệp phải chạy trong ngữ cảnh của tài khoản có uỷ nhiệm quản trị trên trạm làm việc. Lưu ý Windows XP không hỗ trợ chỉnh sửa GPO khi không có tệp ADM trong thư mục Sysvol. Trong một môi trường sống, bạn phải xem xét giới hạn thiết kế này.

Tham khảo


Để biết thêm thông tin về chính sách nhóm trong Windows Server 2003, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
316977 nhóm chính sách mẫu hành vi trong Windows Server 2003