有关管理组策略管理模板 (.adm) 文件的建议

  • 项目

本文介绍 ADM 文件的工作原理、可用于管理其操作的策略设置,以及有关如何处理常见 ADM 文件管理方案的建议。

适用于: Windows Server (所有受支持的版本) 、Windows 客户端 (所有受支持的版本)
原始 KB 编号: 816662

注意

建议使用低于 Windows Vista 的 Windows,使用中央存储管理组策略基础结构。 即使环境混合了下级客户端和服务器(例如运行 Windows XP 或 Windows Server 2003 的计算机),此建议也成立。 Windows Vista 使用采用 ADMX 和 ADML 文件来管理组策略模板的新模型。

有关详细信息,请访问以下网站:

如果必须使用基于 Windows XP 或基于 Windows Server 2003 的计算机来管理组策略基础结构,请参阅本文中的建议。

ADM 文件简介

ADM 文件是组策略用来描述基于注册表的策略设置在注册表中的存储位置的模板文件。 ADM 文件还描述了管理员在 组策略 Object 编辑器 管理单元中看到的用户界面。 组策略 对象编辑器由管理员在创建或修改组策略对象 (GPO) 时使用。

ADM 文件存储和默认值

在每个域控制器的 Sysvol 文件夹中,每个域 GPO 维护一个文件夹,并且此文件夹名为“组策略模板” (GPT) 。 GPT 存储上次创建或编辑 GPO 时组策略对象编辑器中使用的所有 ADM 文件。

每个操作系统都包含一组标准的 ADM 文件。 这些标准文件是由 组策略 Object 编辑器 加载的默认文件。 例如,Windows Server 2003 包含以下 ADM 文件:

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自定义 ADM 文件

程序开发人员或 IT 专业人员可以创建自定义 ADM 文件,以将基于注册表的策略设置的使用扩展到新程序和组件。

注意

程序和组件必须经过设计和编码,以便识别和响应 ADM 文件中描述的策略设置。

若要在 组策略 对象编辑器中加载 ADM 文件,请执行以下步骤:

  1. 启动组策略对象编辑器。

  2. 右键单击“ 管理模板”,然后单击“ 添加/删除模板”。

    注意

    计算机”或“用户配置”下提供管理模板。 选择适用于自定义模板的配置。

  3. 单击“添加”

  4. 单击 ADM 文件,然后单击“ 打开”。

  5. 单击“关闭”

  6. 自定义 ADM 文件策略设置现在可在 组策略 Object 编辑器 中使用。

更新 ADM 文件和时间戳

用于运行 组策略 Object 编辑器的每个管理工作站将 ADM 文件存储在 %windir%\Inf 文件夹中。 创建并首次编辑 GPO 时,此文件夹中的 ADM 文件将复制到 GPT 中的 Adm 子文件夹中。 这包括由管理员添加的标准 ADM 文件和任何自定义 ADM 文件。

注意

创建 GPO 而不进行后续编辑,GPO 会创建不带任何 ADM 文件的 GPT。

默认情况下,编辑 GPO 时,组策略 Object 编辑器会将工作站的 %windir%\Inf 文件夹中 ADM 文件的时间戳与存储在 GPT Adm 文件夹中的时间戳进行比较。 如果工作站的文件较新,组策略 Object 编辑器会将这些文件复制到 GPT Adm 文件夹,覆盖任何同名的现有文件。 在 组策略 对象编辑器中选择了“管理模板”节点 (计算机或用户配置) 时,无论管理员是否实际编辑 GPO,都会发生此比较。

注意

可以通过查看 组策略 Object 编辑器 中的 GPO 来更新 GPT 中存储的 ADM 文件。

由于时间戳对 ADM 文件管理的重要性,因此不建议编辑系统提供的 ADM 文件。 如果需要新的策略设置,Microsoft 建议创建自定义 ADM 文件。 这可以防止在发布 Service Pack 时替换系统提供的 ADM 文件。

组策略管理控制台

默认情况下,组策略管理控制台 (GPMC) 始终使用本地 ADM 文件(无论其时间戳如何),并且从不将 ADM 文件复制到 Sysvol。 如果未找到 ADM 文件,GPMC 将在 GPT 中查找 ADM 文件。 此外,GPMC 用户可以为 ADM 文件指定备用位置。 如果指定了备用位置,则此备用位置优先。

GPO 复制

文件复制服务 (FRS) 在整个域中复制 GPO 的 GPT。 作为 GPT 的一部分,Adm 子文件夹将复制到域中的所有域控制器。 由于每个 GPO 存储多个 ADM 文件,并且其中一些文件可能非常大,因此你必须了解在使用 组策略 对象编辑器时添加或更新的 ADM 文件如何影响复制流量。

使用策略设置控制 ADM 文件更新

两个策略设置区域可用于帮助管理 ADM 文件。 通过这些设置,管理员可以针对特定环境优化 ADM 文件的使用。 这些是“关闭 ADM 文件的自动更新”和“始终将本地 ADM 文件用于组策略 编辑器”设置。

关闭 ADM 文件的自动更新

Windows Server 2003、Windows XP 和 Windows 2000 中的“用户配置\管理模板\System\组策略”下提供了此策略设置。 此设置可以应用于任何启用了组策略的客户端。

始终将本地 ADM 文件用于组策略编辑器

此策略设置位于“计算机配置\管理模板\System\组策略”下。 这是一个新的策略设置。 它可能仅成功应用于 Windows Server 2003 客户端。 此设置可以部署到较旧的客户端,但不会影响其行为。 如果启用此设置,组策略对象编辑器编辑组策略对象时,始终使用本地系统 %windir%\Inf 文件夹中的本地 ADM 文件。

注意

如果启用此策略设置,则隐含“关闭 ADM 文件自动更新”策略设置。

多语言管理问题的常见方案和建议

在某些环境中,可能必须以不同的语言向用户界面显示策略设置。 例如,美国中的管理员可能希望以英语查看特定 GPO 的策略设置,而法国的管理员可能希望使用法语作为其首选语言来查看同一 GPO。 由于 GPT 只能存储一组 ADM 文件,因此不能使用 GPT 存储这两种语言的 ADM 文件。

对于 Windows 2000,不支持通过组策略对象编辑器使用本地 ADM 文件。 若要解决此问题,请使用“关闭 ADM 文件的自动更新”策略设置。 由于此策略设置不会影响新 GPO 的创建,因此本地 ADM 文件将上传到 Windows 2000 中的 GPT,在 Windows 2000 中创建 GPO 实际上定义了“GPO 的语言”。 如果“关闭 ADM 文件的自动更新”策略设置在所有 Windows 2000 工作站上都有效,则 GPT 中 ADM 文件的语言将由用于创建 GPO 的计算机的语言定义。

对于使用 Windows XP 和 Windows Server 2003 的管理员,可以使用“始终将本地 ADM 文件用于组策略编辑器”策略设置。 这样,法国管理员就可以通过使用本地安装在其工作站上的 ADM 文件来查看策略设置, (法语) ,而不考虑 GPT 中存储的 ADM 文件。 使用此策略设置时,会暗示启用“关闭 ADM 文件的自动更新”策略设置,以避免对 GPT 的 ADM 文件进行不必要的更新。

此外,请考虑在多语言管理环境中对 Microsoft 管理工作站的最新操作系统进行标准化。 然后配置“始终将本地 ADM 文件用于组策略编辑器”和“关闭 ADM 文件的自动更新”策略设置。

如果使用 Windows 2000 工作站,请使用管理员的“关闭 ADM 文件的自动更新”策略设置,并将 GPT 中的 ADM 文件视为所有 Windows 2000 工作站的有效语言。

注意

Windows XP 工作站仍可能使用其本地语言特定版本。

操作系统和 Service Pack 发布问题的常见方案和建议

每个操作系统或 Service Pack 版本都包含早期版本提供的 ADM 文件的超集,包括特定于与新版本不同的操作系统的策略设置。 例如,随 Windows Server 2003 提供的 ADM 文件包括所有操作系统的所有策略设置,包括仅与 Windows 2000 或 Windows XP Professional 相关的策略设置。 这意味着,仅从具有新版本的操作系统或服务包的计算机查看 GPO 才能有效地升级 ADM 文件。 由于更高版本通常是以前的 ADM 文件的超集,这通常不会造成问题,假设正在使用的 ADM 文件尚未编辑。

在某些情况下,操作系统或 Service Pack 版本可能包含早期版本随附的 ADM 文件的子集。 这可能会显示 ADM 文件的早期子集,导致管理员在使用 组策略 对象编辑器时不再对策略设置可见。 但是,策略设置将在 GPO 中保持活动状态。 仅影响 组策略 对象编辑器中的策略设置可见性。 任何活动 (启用或禁用) 策略设置在 组策略 对象编辑器中不可见,但保持活动状态。 由于设置不可见,因此管理员无法查看或编辑这些策略设置。 若要解决此问题,管理员必须先熟悉每个操作系统或 Service Pack 版本随附的 ADM 文件,然后再在该操作系统上使用 组策略 Object 编辑器,请记住,当时间戳比较确定更新合适时,查看 GPO 的行为足以更新 GPT 中的 ADM 文件。

若要在你的环境中对此进行规划,Microsoft 建议你:

  • 定义一个标准操作系统/服务包,从中可以进行 GPO 的所有查看和编辑,确保正在使用的 ADM 文件包括所有平台的策略设置。

  • 为所有组策略管理员使用“关闭 ADM 文件的自动更新”策略设置,以确保 GPT 中不会被任何组策略对象编辑器会话覆盖 ADM 文件,并确保使用 Microsoft 提供的最新 ADM 文件。

注意

当运行 组策略 Object 编辑器 的操作系统支持时,“始终对 组策略 编辑器使用本地 ADM 文件”策略通常与此策略一起使用。

从 Sysvol 文件夹中删除 ADM 文件

默认情况下,ADM 文件存储在 GPT 中,这会显著增加 Sysvol 文件夹大小。 此外,频繁编辑 GPO 可能会导致大量的复制流量。 结合使用“关闭 ADM 文件的自动更新”和“始终将本地 ADM 文件用于组策略编辑器”策略设置可以大大减少 Sysvol 文件夹的大小,并减少发生大量策略编辑时与策略相关的复制流量。

如果 Sysvol 卷的大小或组策略相关的复制流量变得有问题,请考虑实现 Sysvol 不存储任何 ADM 文件的环境。 或者考虑在管理工作站上维护 ADM 文件。 下一节中描述了此过程。

若要清除 ADM 文件的 Sysvol 文件夹,请执行以下步骤:

  1. 为所有要编辑 GPO 的组策略管理员启用“关闭 ADM 文件的自动更新”策略设置。
  2. 请确保已应用此策略。
  3. 将任何自定义 ADM 模板复制到 %windir%\Inf 文件夹。
  4. 编辑现有 GPO,然后从 GPT 中删除所有 ADM 文件。 为此,请右键单击“ 管理模板”,然后单击“ 添加/删除模板”。
  5. 为管理工作站启用“始终将本地 ADM 文件用于组策略对象编辑”策略设置。

在管理工作站上维护 ADM 文件

使用“始终将本地 ADM 文件用于组策略编辑器”策略设置时,请确保每个工作站具有最新版本的默认和自定义 ADM 文件。 如果所有 ADM 文件都在本地不可用,则 GPO 中包含的某些策略设置对管理员不可见。 通过为所有管理员实现标准操作系统和 Service Pack 版本来避免这种情况。 如果无法使用标准操作系统和服务包,请实现将最新的 ADM 文件分发到所有管理工作站的过程。

注意

  • 由于工作站 ADM 文件存储在 %windir%\Inf 文件夹中,因此用于分发这些文件的任何进程都必须在工作站上具有管理凭据的帐户的上下文中运行。
  • 当 Sysvol 文件夹中没有 ADM 文件时,Windows XP 不支持编辑 GPO。 在实时环境中,必须考虑此设计限制。