管理组策略管理模板 (.adm) 文件的建议


摘要


本文介绍了 ADM 文件的工作方式、可用于管理其操作的策略设置以及关于如何处理常见 ADM 文件管理情况的建议。

注意 我们建议你使用 Windows Vista 通过中央存储来管理组策略基础结构。 即使环境中同时使用下层客户端和服务器(如运行 Windows XP 或 Windows Server 2003 的计算机),此建议仍然适用。 Windows Vista 使用一种新模型,该模型使用 ADMX 和 ADML 文件来管理组策略模板。

有关更多信息,请访问下面的网站:
Windows XP: 不要忘记“关于我”...

http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx

使用 Windows Vista 部署组策略

http://technet.microsoft.com/zh-cn/library/cc766208.aspx

如何在 Windows Vista 中为组策略管理模板创建中央存储
http://support.microsoft.com/zh-cn/kb/929841
如果必须使用基于 Windows XP 或基于 Windows Server 2003 的计算机来管理组策略基础结构,请参阅本文中的建议。

ADM 文件简介

ADM 文件是组策略用以描述基于注册表的策略设置在注册表中的存储位置的模板文件。 ADM 文件还描述了管理员在“组策略对象编辑器”管理单元中看到的用户界面。管理员使用组策略对象编辑器创建或修改组策略对象 (GPO)。

ADM 文件存储和默认值

在每个域控制器的 Sysvol 文件夹中,每个域 GPO 都包含一个文件夹,该文件夹被称为组策略模板 (GPT)。 GPT 存储上次创建或编辑 GPO 时组策略对象编辑器中使用的所有 ADM 文件。

每个操作系统都包含一个标准 ADM 文件集。 这些标准文件是组策略对象编辑器加载的默认文件。 例如,Windows Server 2003 包括以下 ADM 文件:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自定义 ADM 文件

程序开发人员或 IT 专业人员可以创建自定义 ADM 文件,以便将对基于注册表的策略设置的使用扩展到新的程序和组件中。

注意 必须对程序和组件进行设计和编码,以识别和响应 ADM 文件中描述的策略设置。


要在组策略对象编辑器中加载 ADM 文件,请执行以下操作步骤:
  1. 启动“组策略对象编辑器”。
  2. 右键单击管理模板,然后单击添加/删除模板

    注意“管理模板”可在以下任一选项下获得
    计算机用户配置。 选择您的自定义模板的正确配置。
  3. 单击“添加”
  4. 单击 ADM 文件,然后单击
    打开
  5. 单击“关闭”
  6. 此时组策略对象编辑器中已经有自定义 ADM 文件策略设置了。

更新 ADM 文件和时间戳

每个用于运行组策略对象编辑器的管理工作站都将 ADM 文件存储在 %windir%\Inf 文件夹中。 创建并首次编辑 GPO 后,此文件夹中的 ADM 文件即被复制到 GPT 中的 Adm 子文件夹中。 这些文件包括标准 ADM 文件和管理员添加的任何自定义 ADM 文件。

注意 创建一个 GPO 而不需要稍后编辑该 GPO 会创建一个没有任何 ADM 文件的 GPT。

在默认情况下,当编辑 GPO 时,“组策略对象编辑器”将工作站的 %windir%\Inf 文件夹中的 ADM 文件的时间戳与存储在 GPT ADM 文件夹中的时间戳进行比较。 如果工作站的文件较新,“组策略对象编辑器”会将这些文件复制到 GPT ADM 文件夹,从而覆盖所有同名的现有文件。 如果在组策略对象编辑器中选中了管理模板节点(计算机或用户配置),无论管理员是否实际编辑了 GPO,都会进行比较。


注意 可以通过在“组策略对象编辑器”中查看 GPO 来更新存储在 GPT 中的 ADM 文件。

由于 ADM 文件管理上的时间戳的重要性,建议不要对系统提供的 ADM 文件进行编辑。 如果需要新的策略设置,Microsoft 建议您创建一个自定义 ADM 文件。 这会防止在释放 Service Pack 时替换系统提供的 ADM 文件。

组策略管理控制台

默认情况下,组策略管理控制台 (GPMC) 一直使用本地 ADM 文件,而不考虑它们的时间戳,并且从不将 ADM 文件复制到 Sysvol。 如果找不到某个 ADM 文件,GPMC 则会在 GPT 中查找此文件。 另外,GPMC 用户还可以为 ADM 文件指定另一个位置。 如果指定了另一个位置,则首先会在此位置查找。

GPO 复制

文件复制服务 (FRS) 在整个域中复制 GPO 的 GPT。 作为 GPT 的一部分,Adm 子文件夹将被复制到域中的所有域控制器上。 由于每个 GPO 都存储了多个 ADM 文件,而且其中一些文件可能相当大,您必须了解使用组策略对象编辑器时添加或更新的 ADM 文件会对复制流量产生怎样的影响。

使用策略设置控制 ADM 文件更新

有两个策略设置区域可用于帮助管理 ADM 文件。 借助于这些设置,管理员可以为特定环境调整 ADM 文件的使用。 这两个设置分别是“关闭 ADM 文件的自动更新”和“始终为组策略编辑器使用本地 ADM 文件”设置。

关闭 ADM 文件的自动更新

此策略设置可在 Windows Server 2003、Windows XP 和 Windows 2000 中的“用户配置\管理模板\系统\组策略”下找到。 此设置可以应用于任何启用“组策略”的客户端。

始终为组策略编辑器使用本地 ADM 文件

此策略设置可在 Computer Configuration\Administrative Templates\System\Group Policy 下找到。 这是一项新的策略设置。 只能成功应用于 Windows Server 2003 客户端。 也可为较旧的客户端部署该设置,但是不会对它们的行为产生任何影响。 如果启用了此设置,编辑组策略对象时,组策略对象编辑器会始终使用本地系统 %windir%\Inf 文件夹中的本地 ADM 文件。

注意 如果启用了此策略设置,则隐含关闭 ADM 文件的自动更新策略设置。

常见情况和建议

多语言管理问题

在某些环境中,可能必须在用户界面中用不同的语言提供策略设置。 例如,位于美国的管理员可能希望以英语查看特定 GPO 的策略设置,位于法国的管理员则可能希望使用法语作为首选语言来查看同一个 GPO。 由于 GPT 只能存储一个 ADM 文件集,因此无法使用 GPT 来存储两种语言的 ADM 文件。

对于 Windows 2000,不支持组策略对象编辑器使用本地 ADM 文件。 要解决此问题,请使用“关闭 ADM 文件的自动配置”策略设置。 由于此策略设置不影响新 GPO 的创建,本地 ADM 文件将上传到 Windows 2000 中的 GPT,且在 Windows 2000 中创建 GPO 可有效地定义“GPO 的语言”。 如果“关闭 ADM 文件的自动更新”策略设置在所有的 Windows 2000 工作站中都有效,则 GPT 中 ADM 文件的语言将由用于创建 GPO 的计算机的语言定义。

对于使用 Windows XP 和 Windows Server 2003 的管理员来说,可以使用“始终为组策略编辑器使用本地 ADM 文件”策略设置。 这样,法国的管理员就可以通过使用本地安装在他(她)的工作站(法国的)上的 ADM 文件来查看策略设置,而不必考虑存储在 GPT 中的 ADM 文件。 请注意,使用此策略设置时,即意味着启用了“关闭 ADM 文件的自动更新”策略设置以避免对 GPT 中包含的 ADM 文件进行不必要的更新。

另外,对于多语言管理环境中的管理工作站,还应考虑在 Microsoft 提供的最新操作系统上进行标准化。 然后配置“始终为组策略编辑器使用本地 ADM 文件”和“关闭 ADM 文件的自动更新”这两种策略设置。

如果正在使用 Windows 2000 工作站,对于管理员来说,应使用“关闭 ADM 文件的自动更新”策略设置并将 GPT 中的 ADM 文件设为所有 Windows 2000 工作站的有效语言。

注意 Windows XP 工作站可能仍使用其本地语言特定版本。

操作系统和 Service Pack 版本问题

每个操作系统或 Service Pack 版本都包括较早版本提供的 ADM 文件的超集,其中包括特定于新版本操作系统以外的操作系统的策略设置。 例如,随 Windows Server 2003 一起提供的 ADM 文件包括用于所有操作系统的所有策略设置,其中包括仅与 Windows 2000 或 Windows XP Professional 相关的策略设置。 这意味着仅通过具有新版本操作系统或 Service Pack 的计算机查看 GPO 就可以有效地升级 ADM 文件。 因为较新版本通常是先前 ADM 文件的超集,所以通常情况下,如果未对正在使用的 ADM 文件进行编辑,就不会出现问题。

在某些情况下,一个操作系统或 Service Pack 版本可能包括随较早版本一起提供的 ADM 文件的子集。 这就有可能存在一个较早的 ADM 文件的子集,从而导致管理员使用组策略对象编辑器时策略设置不再可见。 但是,在 GPO 中这些策略设置仍处于活动状态。 只是影响了组策略对象编辑器中策略设置的可见度。 任何活动的(无论启用还是禁用)策略设置在组策略对象编辑器中都不可见,但是仍处于活动状态。 因为这些设置不可见,所以管理员无法对这些策略设置进行查看或编辑。 要解决此问题,管理员必须在使用操作系统上的组策略对象编辑器之前熟悉包含在每个操作系统或 Service Pack 版本中的 ADM 文件。在通过时间戳比较确定相应更新时,请记住:查看 GPO 的操作足以更新 GPT 中的 ADM 文件。

要在您的环境中制定此计划,Microsoft 建议您:
  • 定义一个标准操作系统/Service Pack,在其中对 GPO 进行所有查看和编辑操作,确保正在使用的 ADM 文件包含所有平台的策略设置。
  • 对于所有的组策略管理员,使用“关闭 ADM 文件的自动更新”策略设置,以确保 GPT 中的 ADM 文件不被任何组策略对象编辑器会话覆盖,并确保您正在使用的是 Microsoft 提供的最新 ADM 文件。
注意 当运行“组策略对象编辑器”的操作系统支持此策略时,“总是将本地 ADM 文件用于组策略编辑器”策略通常与此策略一起使用。

从 Sysvol 文件夹中删除 ADM 文件

默认情况下,ADM 文件存储在 GPT 中,这样可以显著增加 Sysvol 文件夹的大小。 另外,频繁编辑 GPO 可能导致大量的复制流量。 将“关闭 ADM 文件的自动更新”和“始终为组策略编辑器使用本地 ADM 文件”策略设置组合在一起使用可大大减小 Sysvol 文件夹的大小,并可在进行大量策略编辑操作时减少与策略相关的复制流量。

如果 Sysvol 卷大小或与组策略相关的复制流量出现问题,请考虑实现一个 Sysvol 不存储任何 ADM 文件的环境。 或者,考虑在管理工作站上维护 ADM 文件。 下一节将介绍此过程。

要清除 Sysvol 文件夹中的 ADM 文件,请执行以下步骤:
  1. 为所有要编辑 GPO 的组策略管理员启用“关闭 ADM 文件的自动更新”策略设置。
  2. 确保已应用此策略。
  3. 将任何自定义 ADM 模板复制到 %windir%\Inf 文件夹中。
  4. 编辑现有 GPO,然后从 GPT 中删除所有 ADM 文件。 要执行此操作,请右键单击管理模板,然后单击添加/删除模板
  5. 为管理工作站启用“始终为组策略编辑器使用本地 ADM 文件”策略设置。

在管理工作站上维护 ADM 文件

使用“始终为组策略编辑器使用本地 ADM 文件”策略设置时,确保每个工作站都具有默认和自定义 ADM 文件的最新版本。 如果在本地只能获得部分 ADM 文件,则 GPO 中的某些策略设置将对管理员不可见。 通过为所有管理员实现标准操作系统和 Service Pack 版本可避免此问题。 如果无法使用标准操作系统和 Service Pack,请实现一个将最新 ADM 文件分发到所有管理工作站的进程。

注意 由于工作站 ADM 文件存储在 %windir%\Inf 文件夹中,用于分发这些文件的任何进程都必须在工作站上具有管理凭据的帐户的上下文中运行。

注意 当 Sysvol 文件夹中没有 ADM 文件时,Windows XP 不支持编辑 GPO。 在实际环境中,必须考虑这种设计限制。

参考


有关 Windows Server 2003 中的组策略的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

316977 Windows Server 2003 中的“组策略”模板行为