在 Windows Server 2012 R2 中管理Windows 10 组策略客户端的已知问题
适用于:窗口 10 - 所有版本、Windows Server 2019 Windows Server 2012 R2
原始 KB 编号: 4015786
摘要
从 Windows Server 2012 R2 服务器管理Windows 10组策略客户端时,可能会出现一些已知的挑战。 管理Windows 10客户端时,在 Windows Server 2012 R2 服务器上使用高级组策略管理服务器 (AGPM) 时,同样的挑战也适用。
本文在发布每个后续升级时分为多个部分。 它还指示更改何时仅影响组策略 ADMX 模板文件的特定版本。
以下更改列表不包括添加到每个模板文件的许多新附加设置。 如果将它们添加到现有部署,则它们不会有任何影响。 现有部署不使用这些设置。 因此,它不太可能影响环境。
还必须考虑到,在 GPMC 启动期间,主机会将 ADMX 文件缓存到内存中。 工具打开时对模板所做的任何更改都不会出现,即使在报表刷新后也是如此。 关闭并重新打开该工具后,它将从 PolicyDefinitions 文件夹中获取新的 ADMX 文件。
更多信息
传统上,将组策略设置转换为可轻松管理的用户界面的方法由 ADM 文件提供。 这些文件使用自己的标记语言。 它们是特定于区域设置的。 因此,对于跨国公司来说,他们很难管理。
Windows Vista 和 Windows Server 2008 引入了一种在 组策略 管理控制台中显示设置的新方法。 基于注册表的策略设置定义为使用基于标准的 XML 文件格式(称为 ADMX),通常称为管理模板。 这些设置位于 组策略 对象编辑器的“管理模板”类别下。
组策略对象编辑器和组策略管理控制台基本保持不变。 在大多数情况下,在日常组策略管理任务中,你不会注意到存在 ADMX 文件。
在某些情况下,需要了解:
- 如何构建 ADMX 文件
- 存储位置
ADMX 文件提供基于 XML 的结构。 此结构用于在组策略工具中定义管理模板策略设置的显示。 仅当你使用运行 Windows Vista 或 Windows Server 2008 或更高版本的计算机时,组策略工具才能识别 ADMX 文件。
与 ADM 文件不同,ADMX 文件不存储在单个 GPO 中。 对于基于域的企业,管理员可以创建 ADMX 文件的中央存储位置。 有权创建或编辑 GPO 的任何人都可以访问此位置。 组策略工具继续识别现有环境中的任何自定义 ADM 文件。 但他们将忽略已被 ADMX 文件取代的任何 ADM 文件,例如:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
如果你已编辑其中任何文件以更改或创建策略设置,则基于 Windows Vista 的组策略工具不会读取或显示已更改的或新的设置。
组策略 对象编辑器从本地或可选的 ADMX 中央存储区中存储的 ADMX 文件自动读取和显示管理模板策略设置。 组策略对象编辑器自动读取并显示存储在 GPO 中的自定义 ADM 文件中的管理模板策略设置。 你仍然可以使用“添加/删除模板”菜单选项添加或删除自定义 ADM 文件。 Windows Vista 和 Windows Server 2008 ADMX 文件中当前所有由 Windows Server 2003、Windows XP 和 Windows 2000 传递的 ADM 文件中的所有组策略设置也可用。
升级具有 ADMX 文件的后续修订的 PolicyDefinitions 文件夹可能具有挑战性。 原因是某些设置已弃用,并添加了一些设置。 通常,添加设置的效果微乎其微。 但是,弃用设置通常会导致预配置的组策略保留无法再更改的设置。 通常,新 ADMX 文件中的这些类型的冗余设置在设置报告中列为“额外的注册表设置”。 这些设置仍应用于生产环境,但管理员无法再打开或关闭这些设置。
若要管理这种情况,管理员可以删除组策略(如果不再需要)。 或者,他们可以将旧版 ADMX 模板复制回 PolicyDefinitions 文件夹。 这将允许再次管理设置。 但是,更高版本的 ADMX 模板中的新设置会丢失。
内部版本 1607 Windows 10中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的效果 |
|---|---|---|
| DataCollection.admx | 已将策略设置 Allow Telemetry 类值从 “计算机” 更改为 “两者” |
此 ADMX 首次出现在 Windows 10 RTM 中,在 RTM 和 1511 修订版中都设置为 Machine。 在内部版本 1607 中,类更改为 “两者”。 这意味着该设置同时适用于注册表的“用户”和“计算机”端。 因为它是现有设置的扩展,因此此更改没有预期效果。 |
| DeliveryOptimization.admx | 将“下载模式” (“下载模式”) 的策略设置从“无”更改为“仅 HTTP” | 此更改只是显示文本更改。 基础值与以前版本的 ADMX 文件相同。 因此,对生产组策略没有影响。 |
| inetres.admx | 删除了“在 Internet 上显示内容顾问”选项的策略设置 | 此设置已从 ADMX 文件的 1607 版本中弃用,该版本在 2012 年以前已存在,Windows 8。 设置在以下条件下保持配置:
|
| MicrosoftEdge.admx | 以下 15 个设置的类已从 “计算机” 更改为 “两者”:
|
此 ADMX 首次出现在 Windows 10 RTM 中,在 RTM 和 1511 修订版中都设置为“计算机”。 在内部版本 1607 中,类更改为“两者”。 这意味着该设置同时适用于注册表的“用户”和“计算机”端。 因为它是现有设置的扩展,因此此更改没有预期效果。 |
| WindowsDefender.admx | 已删除策略设置 定义日志记录的检测事件的速率 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx | 删除了策略设置 IP 地址范围排除 项和 端口号排除项 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx | 删除了出站流量的“进程排除”策略设置 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx | 删除了策略设置 威胁 ID 排除项 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx: | 已删除策略设置启用信息保护控制 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx | 已删除策略设置 启用网络保护,防止已知漏洞的攻击 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsDefender.admx | 更改了策略设置 禁止从 enabledValue=0 和 disabledValue=1 到 enabledValue=1 和 disabledValue=0 启用和禁用值的所有 (UX_Configuration_Notification_Suppress) 通知 | 此更改发生在内部版本 1607 上,不同于内部版本 1511 和上一版本。 此更改使此设置能够按预期工作,因为要启用此设置,必须禁用此设置。 升级的影响是:如果配置了设置并将 PolicyDefinitions 升级到 1607,则该设置将自动还原之前配置的相反设置。 请参阅附录 1 Windows Defender |
| WindowsDefender.admx | 已删除策略设置 配置本地设置替代以关闭入侵防护系统 | ADMX 文件中已弃用此设置。 设置在以下条件下保持配置:
|
| WindowsExplorer.admx | 更改了策略设置 配置 Windows SmartScreen (EnableSmartScreen) ,已将下拉项替换为启用/禁用的配置项目。 | 此设置在此版本中已从以前的版本更改,特别是启用智能屏幕的选项,但在运行下载的未知软件之前需要管理员的批准已弃用。 如果以前配置此设置,则 ADMX 升级后,该设置将变得不可管理。 如果已启用此设置,但智能屏幕已禁用,则在升级后,整个设置将变为禁用状态。 请参阅 附录 2 Windows 资源管理器 |
| WindowsUpdate.admx | 已删除策略设置延迟升级和汇报 (DeferUpgrade) ,替换为更详细的策略设置 (DeferFeatureUpdates、DeferQualityUpdates、 ExcludeWUDriversInQualityUpdateActiveHours) |
延迟升级选项已根据 RTM Windows 10 提供,并在内部版本 1607 上进行了更改。 配置设置,并将 PolicyDefinitions 文件夹升级到内部版本 1607 后,设置将变得不可管理。 配置的设置将保持配置状态。 但是,如果不使用以下方法之一,则无法更改它:
请参阅附录 3 Windows 更新 |
Windows 10内部版本 1511 中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的影响 |
|---|---|---|
| Explorer.admx | 已删除策略设置 禁用软登陆帮助提示 (DisableSoftLanding) | 此设置已从 Window 10 RTM ADMX 文件中弃用,在 2012 R2 中不存在。 如果设置已部署到生产环境中,并且 ADMX 已升级,该设置仍保持配置状态。 但是,如果不使用以下方法之一,则无法更改它:
|
| inetres.admx | 删除了策略设置 阻止在地址栏上配置 top-result 搜索 (topResultPol) (计算机/Windows 组件/IE/Internet 设置/高级设置/搜索) | ADMX 文件中已弃用此设置。 如果设置已部署到生产环境中,并且 ADMX 已升级,该设置仍保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法更改它。 |
| LocationProviderAdm.admx | 已弃用的新文件名 LocationProviderAdm.admx 的 Microsoft-Windows-Geolocation-WLPAdm.admx | 从 Windows 10 RTM 升级到 Windows 10 版本 1511 时,新的 LocationProviderAdm.admx 文件将复制到文件夹中,同时保留旧的 Microsoft-Windows-Geolocation-WLPAdm.admx 文件。 因此,有两个 ADMX 文件用于处理同一策略命名空间。 这会生成错误。 在 Windows 中编辑策略时,请参阅“Microsoft.Policies.Sensors.WindowsLocationProvider 已定义”错误 |
| MicrosoftEdge.admx | 已删除策略设置 ,允许运行脚本,例如 JavaScript (AllowActiveScripting) (计算机) | ADMX 文件中已弃用此设置。 如果设置已部署到生产环境中,并且 ADMX 已升级,则仍会保留该设置的配置。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,它将无法更改。 |
| MicrosoftEdge.admx | 以下 9 个设置的类已从 “两者” 更改为 “计算机”:
|
从 “两者” 更改为 “计算机” 意味着: 设置从同时适用于策略的“用户”和“计算机”端到“计算机”端。 如果已在用户端配置策略,则无法在 ADMX 升级后再次更改用户端设置。 但是,设置仍保持配置状态。 |
| ParentalControls.admx | 已在此 ADMX 内部版本中删除 | 从最新版本的模板中删除 ADMX 时,可能已从文件的早期版本配置的所有设置都将停滞不前。 PolicyDefinitions如果升级了文件夹,则现有的上一个文件仍然存在。 所以,没有效果。 如果满足以下条件,设置仍将存在并正常运行:
|
| WindowsStore.admx | 添加了 ,它直接替换了从 Windows 2012/8 RTM ADMX 获取的 WinStoreUI.admx (,在 2012 R2/8.1) | 已弃用值为 EnableWindowsStoreOnWTG 的名为 Software\Policies\Microsoft\WindowsStore 的键中的 EnableWindowsStoreOnWTG 设置。 它可以防止设置在不使用自定义 ADMX 或删除存储设置的整个策略的情况下重新配置。 此外,DisableAutoDownload 设置值从 3 (winStoreUI) 更改为 4 (WindowsStore) 。 它会导致原始设置被取代,并显示在额外的注册表设置下。 它还会导致原始设置变得不可更改。 但是,仍将设置它。 请参阅 附录 4 WinStoreUI 升级到 WindowsStore。 如果两个文件同时存在,GPMC 将无法加载。 这是因为这两个文件的命名空间也是重复的。 生成设置 reportNamespace “Microsoft.Policies.WindowsStore”已定义为存储中另一个文件的目标命名空间时,它会导致错误。 File \\<Domain Name>\SysVol<DomainName>\Policies\PolicyDefinitions\WinStoreUI.admx,第 4 行,第 80 列 |
Windows 10 RTM 中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的效果 |
|---|---|---|
| AppXRuntime.admx | 已更改策略 允许 Microsoft 帐户为可选 类值,从 “两者” 更改为 “计算机” | 这意味着设置已从同时适用于策略的“用户”和“计算机”两端而变为“计算机”。 如果已在用户端配置策略,则无法在 ADMX 升级后再次更改用户端设置。 但是,设置仍保持配置状态。 |
| ErrorReporting.admx | 已删除策略设置 自动发送操作系统生成的错误报告的内存转储 (WerAutoApproveOSDumps_1 (用户设置) ,WerAutoApproveOSDumps_2 (计算机设置) ) | 如果 ADMX 已从 Windows Server 2012 R2 版本就地升级,则无法再次更改设置。 设置保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法对其进行更改。 |
| ErrorReporting.admx | 删除了策略设置配置默认 同意 (WerDefaultConsent_1 (用户设置) ,WerDefaultConsent_2 (计算机设置) ) | 将 ErrorReporting.ADMX 从 2012 R2 修订版替换为 Windows 10 RTM 版本后,会看到以下错误:注册表值 DefaultConsent 为意外类型。若要解决此问题,请删除组策略,并使用新的 ADMX 模板将设置重新生成到新策略中。 请参阅 附录 5 错误报告 |
| inetres.admx | 删除了“允许 Internet Explorer 使用 SPDY/3 网络协议”设置 | 2012 R2 ADMX 文件中已弃用此设置。 如果设置已部署到生产环境中,并且 ADMX 已升级,该设置仍保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法对其进行更改。 |
| NAPXPQec.admx | ADMX 文件已弃用。 | 从模板的 RTM 生成中删除 ADMX 后,可能已从文件的早期版本配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件仍然存在。 所以,没有效果。 如果满足以下条件,这些设置将保持存在并正常运行:
|
| NetworkProjection.admx | ADMX 文件已弃用。 | 从模板的 RTM 生成中删除 ADMX 后,可能已从文件的早期版本配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件仍将存在,因此将不起作用。 如果满足以下条件,这些设置将保持存在并正常运行:
|
| PswdSync.admx | 此文件已删除,现在仅随服务器操作系统一起交付 | 从模板的 RTM 版本中删除 ADMX 后,可能已从文件的早期版本配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件将保持存在,因此将不起作用。 如果满足以下条件,这些设置将保持存在并正常运行:
|
| SkyDrive.admx | 从 2012 R2 修订版开始,此文件有许多更改,但所有从 Skydrive 到 OneDrive 的更改引用,以及相关的注册表位置更改。 下面是几个示例: 1. 已将 policyNamespace 从“target prefix=”skydrive“ namespace=”Microsoft.Policies.Skydrive“”更改为“target prefix=”onedrive“ namespace=”Microsoft.Policies.OneDrive“” 2. 将类别 Skydrive 更改为 OneDrive 3.更改了策略 阻止使用 OneDrive 进行文件存储 ,以使用 OneDrive 注册表项 ( Software\Policies\Microsoft\Windows\OneDrive Skydrive 注册表项 () Software\Policies\Microsoft\Windows\Skydrive) |
Windows 10 RTM 版本的 Skydrive.admx 替换文件的 2012 R2 修订版后,Skydrive 组件的所有控件将替换为 OneDrive 版本设置。 如果仍在使用 Skydrive 应用程序,这些设置仍将适用。 但是,如果不使用自定义 ADMX 或恢复模板的 2012 R2 版本,它们将不可管理。 |
| Snis.admx | 此文件已删除,现在仅随服务器操作系统一起交付 | 从模板的 RTM 版本中删除 ADMX 后,可能已从文件的早期版本配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件将保持存在。 所以,没有效果。 如果满足以下条件,这些设置将保持存在并正常运行:
|
| TerminalServer.admx | 更改了策略设置 优化使用 RemoteFX 时的视觉体验 (TS_RemoteDesktopVirtualGraphics) ,删除了 ...ScreeenImageQuality... 到 ...ScreenImageQuality... | 此设置已在内部更改,其名称引用仅用于将 ADMX 文件链接到 ADML 内容。 此更改不会影响策略中配置的实际设置或使用设置。 |
| WinStoreUI.admx | ADMX 文件已弃用。 | 此文件已从 WINDOWS 10 RTM 中删除。 如果使用 Windows Server 2012 R2 配置 Microsoft Store,这些设置将成为额外的注册表设置。 这些设置仍然存在且功能正常。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法重新配置它们。 注意:Windows 10内部版本 1511 中已将此文件替换为文件 WindowsStore.ADMX。 在下一部分中阅读该文件的详细信息。 |
ADMX 源文件引用
| Filename | 参考生成 | 修订次数 | 数字信号日期 |
|---|---|---|---|
| Windows8-Server2012ADMX-RTM.msi | RTM | {EEDEB0DE-8C60-4EB6-A04D-7B3C5E121D03} | 2013 年 1 月 24 日,星期四晚上 10:08:25 |
| Windows8.1-Server2012R2ADMX-RTM.msi | RTM | {4AED4C7A-9B51-445C-9066-91F3CEE0E690} | 2013 年 11 月 25 日(星期一)凌晨 2:09:46 |
| Windows10-ADMX.msi | RTM | {79A07922-2B64-445E-B6DD-5578B607A411} | 2015 年 8 月 3 日星期一上午 6:07:15 |
| Windows10_Version_1511_ADMX.msi | 1511 | {095735F1-0D68-4941-A4CE-16BDEC8CAF21} | 2015 年 11 月 17 日,星期二上午 7:38:18 |
| Windows 10和Windows Server 2016 ADMX.msi | 1607 | {7848F166-A24F-4AE3-AEC9-6622770F8A85} | 2016 年 12 月 19 日,星期一下午 2:07:42, |
其他参考
- 如何在 Windows 中创建和管理组策略管理模板的中央存储
- 管理组策略 ADMX 文件的分步指南
- 在 Windows 中编辑策略时出现“'Microsoft.Policies.Sensors.WindowsLocationProvider'已定义”错误
- ADMX 版本历史记录
- 此处提供了 Excel 电子表格中 ADMX/L 文件之间的内容差异: https://go.microsoft.com/fwlink/?linkid=829685。
附录
附录 1 Windows Defender
ADMX 升级到 1607d 后,无需编辑策略) , (相同的设置
附录 2 Windows 资源管理器
如果启用了 SmartScreen 设置,并且选择了“ 在运行下载的未知软件之前需要管理员批准 ”选项,则会看到:
直接升级模板而不更改策略后,会看到:
如果选择第二个选项 (“发出警告”) ,则会看到:
但是,在 GPMC 的“设置”选项卡中,可以看到:
注意
在“选取以下设置之一”下未列出任何项目。
升级模板后,会看到:
现在启用策略并选择禁用智能屏幕,如下所示:
进行此设置后,报表中会显示以下内容:
将模板升级到生成 1607 后,设置报告如下所示:
如果现在编辑设置,则会看到:
附录 3 Windows 更新
将策略定义至少升级到 Windows 10 RTM 版本,并将Windows 更新设置配置为延迟升级后,会看到:
将 PolicyDefinitions 文件夹升级到内部版本 1611 后,这些设置将成为额外的注册表设置,如下所示:
附录 4 WinStoreUI 升级到 WindowsStore
使用 ADMX 的 Windows Server 2012 R2 版本启用 Microsoft Store 选项可提供以下报告:
内部版本 1511 替换中央存储中的 ADMX 文件后,你将看到:
附录 5 错误报告
在 Windows Server 2012 R2 中,如果启用“配置默认许可”,则会收到以下报告:
如果替换了 errorreporting.admx,则报告将如下所示:
还可以查看图像:
删除 WinStoreUI 并添加 WindowsStore 后,你将看到:
在策略定义文件夹中存在这两个 ADMX/L 模板后,你将看到:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈