Как создать центральное хранилище для административных шаблонов групповой политики в Windows и управлять им

Статья
11/19/2024

В статье описывается, как с помощью новых файлов ADMX и ADML создавать и администрировать в Windows параметры политик на базе реестра. Также объясняется, как хранить и реплицировать файлы политик на базе Windows в центральном хранилище в среде домена.

Исходный номер базы знаний: 3087759

Ссылки для скачивания файлов административных шаблонов в зависимости от версии операционной системы

Сведения о просмотре электронных таблиц ADMX новых параметров, доступных в более поздних версиях операционной системы, см. в следующих электронных таблицах:

Обзор

Файлы административных шаблонов, к которым относятся файлы ADMX и зависящие от языка файлы ADML, используются администраторами групповой политики. В эти файлы внесены изменения, позволяющие администраторам настраивать один и тот же набор политик с использованием двух языков. Администраторы могут настраивать политики, используя зависящие от языка файлы ADML и не зависящие от него файлы ADMX.

Хранилище файлов административных шаблонов

Файлы административных шаблонов хранятся в Windows в центральном хранилище. Папка ADM больше не создается в объекте групповой политики, как это происходило в более ранних версиях Windows. Поэтому контроллеры домена Windows не хранят и не реплицируют лишние копии ADM-файлов.

Центральное хранилище

Чтобы воспользоваться преимуществами файлов .admx, необходимо создать центральное хранилище в папке SYSVOL на контроллере домена Windows. Центральное хранилище — это расположение файлов, которое инструменты групповой политики проверяют по умолчанию. Инструменты групповой политики используют все ADMX-файлы, находящиеся в центральном хранилище. Файлы в центральном хранилище реплицируются на все контроллеры домена в домене.

Мы рекомендуем сохранить репозиторий файлов ADMX/L, которые у вас есть для приложений и которые вы можете использовать. Например, расширения операционной системы, такие как пакет Microsoft Desktop optimization Pack (MDOP), Microsoft Office, а также сторонние приложения, которые предлагают поддержку групповой политики.

Чтобы создать центральное хранилище для файлов .admx и .adml, создайте новую папку с именем PolicyDefinitions (например) в следующем расположении на контроллере домена:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

Если у вас уже есть такая папка с ранее созданным центральным хранилищем, в названии новой папки укажите описание текущей версии, например:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-24H2

Скопируйте все файлы из папки PolicyDefinitions на исходном компьютере в новую папку PolicyDefinitions на контроллере домена. В качестве исходного местоположения может быть:

Папка C:\Windows\PolicyDefinitions на клиентском компьютере под управлением Windows 10 или Windows 11
Папка C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions, если вы скачали любой из административных шаблонов не по ссылкам, приведенным выше.

В папке PolicyDefinitions на контроллере домена Windows хранятся все файлы ADMX и файлы ADML для всех языков, доступных на клиентском компьютере.

Файлы ADML хранятся в папке для соответствующего языка. Например, файлы .adml с текстом на английском языке (США) хранятся в папке с именем en-US. Корейские ADML-файлы хранятся в папке с именем ko-KR и т. д.

Если вам нужны ADML-файлы для дополнительных языков, скопируйте в центральное хранилище папку с ADML-файлами для этого языка. После копирования файлов ADMX и ADML папка PolicyDefinitions на контроллере домена должна содержать ADMX-файлы и одну или несколько папок с ADML-файлами для нужных языков.

Примечание.

При копировании файлов ADMX и ADML с компьютера под управлением Windows 10 или Windows 11 убедитесь, что установлены последние обновления этих файлов. Также убедитесь, что реплицированы самые свежие файлы административных шаблонов. Данный совет также относится и к пакетам обновления, если они имеются.

Закончив собирать файлы, относящиеся к ОС, объедините все файлы ADMX и ADML для расширений ОС и приложений в новую папку PolicyDefinitions.

По завершении переименуйте текущую папку PolicyDefinitions, чтобы отразить, что это предыдущая версия, например PolicyDefinitions-23H2. Затем переименуйте новую папку (например, PolicyDefinitions-24H2) в имя рабочей среды.

Мы рекомендуем использовать этот подход, чтобы при возникновении серьезных проблем с новым набором файлов вы могли вернуться к использованию старой папки. Если проблем с новым набором файлов не возникает, можно перенести старую папку PolicyDefinitions в архив вне папки SYSVOL.

Администрирование групповой политики

Windows 10 и более поздних версий не включают административные шаблоны с расширением ADM. Рекомендуется использовать компьютеры под управлением Windows 10 или более поздних версий Windows для администрирования групповой политики.

Обновление файлов административных шаблонов

В групповой политике для Windows Vista и более поздних версий Windows при изменении параметров политики административных шаблонов на локальных компьютерах папка SYSVOL не обновляется автоматически и не включает новые файлы .admx или .adml. Это изменение поведения позволяет снизить нагрузку на сеть и требования к дисковому пространству, а также предотвратить конфликты между файлами .admx и .adml, когда параметры политики административных шаблонов изменяются сразу в нескольких местах.

Чтобы обеспечить отражение всех локальных обновлений в папке sysvol, необходимо вручную скопировать обновленные файлы ADMX или ADML из файла PolicyDefinitions на локальном компьютере в папку sysvol контроллера домена contoso.com\PolicyDefinitions.

Следующее обновление позволяет настроить редактор локальной групповой политики для использования локальных файлов ADMX вместо Центрального хранилища:

Доступно обновление, позволяющее редактору групповой политики использовать локальные ADMX-файлы.

Эту настройку можно использовать и в других целях:

Проверьте работу новой папки C:\Windows\PolicyDefinitions на административной рабочей станции, применив к ней политики доменов, прежде чем копировать ее в центральное хранилище в папке SYSVOL.
Используйте старую папку PolicyDefinitions, чтобы изменить параметры политики, для которых нет ADMX-файла в последней версии вашего центрального хранилища. Типичный пример — политики, у которых есть параметры для более старых версий Microsoft Office, которые до сих пор находятся в групповых политиках. (У каждого выпуска Microsoft Office свой набор файлов ADMX/L.)

Известные проблемы

Проблема 1

После копирования шаблонов .admx, хранящихся в ОС Windows 10, в центральное хранилище SYSVOL и перезаписи всех существующих файлов .admx и .adml выберите узел Политики в разделе Конфигурация компьютера или Конфигурация пользователя. В этом случае отобразится следующее сообщение об ошибке:

Пространство имен Microsoft.Policies.Sensors.WindowsLocationProvider уже определено как целевое пространство имен для другого файла в хранилище.
Файлы
\\contoso.com\SysVol\contoso.com\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, строка 5, столбец 110

Чтобы устранить эту проблему, см. раздел При изменении политики в Windows возникает ошибка «Пространство имен Microsoft.Policies.Sensors.WindowsLocationProvider уже определено».
Проблема 2

Обновленные файлы ADMX/L для Windows 10 версии 1803 содержат только файл SearchOCR.ADML. Он не совместим с более ранней версией SearchOCR.ADMX, который до сих пор хранится в вашем центральном хранилище. Дополнительные сведения об этой проблеме см. в разделе При открытии в Windows файла gpedit.msc появляется ошибка «Не удалось найти ресурс '$(string ID=Win7Only)', на который ссылается атрибут displayName».

Возникновение обеих проблем можно избежать, создав исходную папку PolicyDefinitions из базовой папки выпуска ОС, как описано выше.

Поделиться через