Рекомендации по управлению файлами административного шаблона групповой политики (ADM)

В этой статье описывается, как работают файлы ADM, параметры политики, доступные для управления их операцией, и рекомендации по обработке распространенных сценариев управления файлами ADM.

Область применения: Windows Server (все поддерживаемые версии), клиент Windows (все поддерживаемые версии)
Исходный номер базы знаний: 816662

Примечание.

Рекомендуется использовать Windows, выпущенные позже, чем Windows Vista, для управления инфраструктурой групповой политики с помощью центрального хранилища. Эта рекомендация имеет значение true, даже если среда имеет сочетание клиентов и серверов нижнего уровня, таких как компьютеры под управлением Windows XP или Windows Server 2003. Windows Vista использует новую модель, которая использует ADMX и ADML-файлы для управления шаблонами групповой политики.

Для получения дополнительных сведений посетите указанные ниже веб-сайты:

• Развертывание групповой политики с помощью Windows Vista
• Создание файлов административных шаблонов групповой политики в Windows Vista

Если для управления инфраструктурой групповой политики необходимо использовать компьютеры под управлением Windows XP или Windows Server 2003, ознакомьтесь с рекомендациями в этой статье.

Общие сведения о файлах ADM

Файлы ADM — это файлы шаблонов, используемые групповыми политиками для описания параметров политики на основе реестра в реестре. Файлы ADM также описывают пользовательский интерфейс, который администраторы видят в оснастке редактора объектов групповой политики. Редактор объектов групповой политики используется администраторами при создании или изменении объектов групповой политики (объектов групповой политики).

Хранилище файлов ADM и значения по умолчанию

В папке Sysvol каждого контроллера домена каждый объект групповой политики домена поддерживает одну папку, и эта папка называется шаблоном групповой политики (GPT). GPT хранит все файлы ADM, которые использовались в редакторе объектов групповой политики при последнем создании или изменении объектов групповой политики.

Каждая операционная система включает стандартный набор файлов ADM. Эти стандартные файлы — это файлы по умолчанию, загруженные редактором объектов групповой политики. Например, Windows Server 2003 включает следующие файлы ADM:

• System.adm
• Inetres.adm
• Conf.adm
• Wmplayer.adm
• Wuau.adm

Пользовательские файлы ADM

Пользовательские файлы ADM можно создать разработчиками программ или ИТ-специалистами, чтобы расширить использование параметров политики на основе реестра до новых программ и компонентов.

Примечание.

Программы и компоненты должны быть разработаны и закодированы для распознавания и реагирования на параметры политики, описанные в файле ADM.

Чтобы загрузить файлы ADM в редакторе объектов групповой политики, выполните следующие действия.

1. Запустите редактор объектов групповой политики.

2. Щелкните правой кнопкой мыши Административные шаблоныи выберите команду Добавление и удаление шаблонов.

   Примечание.

   Административные шаблоны доступны в разделе "Компьютер" или "Конфигурация пользователя". Выберите конфигурацию, правильную для пользовательского шаблона.

3. Нажмите кнопку Добавить.

4. Щелкните файл ADM и нажмите кнопку "Открыть".

5. Нажмите кнопку Закрыть.

6. Настраиваемые параметры политики файлов ADM теперь доступны в редакторе объектов групповой политики.

Обновление файлов ADM и меток времени

Каждая административная рабочая станция, используемая для запуска редактора объектов групповой политики, хранит файлы ADM в папке %windir%\Inf. При создании и первом изменении объектов групповой политики файлы ADM из этой папки копируются в вложенную папку Adm в GPT. К ним относятся стандартные файлы ADM и все пользовательские файлы ADM, добавленные администратором.

Примечание.

Создание объекта групповой политики без последующего редактирования объекта групповой политики создает GPT без каких-либо файлов ADM.

По умолчанию при изменении объектов групповой политики редактор объектов групповой политики сравнивает метки времени файлов ADM в папке %windir%\Inf рабочей станции с теми, которые хранятся в папке ADM. Если файлы рабочей станции более новые, редактор объектов групповой политики копирует эти файлы в папку GPT Adm, перезаписав все существующие файлы с тем же именем. Это сравнение происходит при выборе узла административных шаблонов (компьютера или пользовательской конфигурации) в редакторе объектов групповой политики независимо от того, редактирует ли администратор объект групповой политики.

Примечание.

Файлы ADM, хранящиеся в GPT, можно обновить, просмотрев объект групповой политики в редакторе объектов групповой политики.

Из-за важности меток времени для управления файлами ADM не рекомендуется изменять системные файлы ADM. Если требуется новый параметр политики, корпорация Майкрософт рекомендует создать пользовательский ADM-файл. Это предотвращает замену системных файлов ADM при выпуске пакетов обновления.

Консоль управления групповыми политиками

По умолчанию консоль управления групповыми политиками (GPMC) всегда использует локальные файлы ADM независимо от их метки времени и никогда не копирует файлы ADM в Sysvol. Если ADM-файл не найден, GPMC ищет ADM-файл в GPT. Кроме того, пользователь GPMC может указать альтернативное расположение для файлов ADM. Если указано альтернативное расположение, это альтернативное расположение имеет приоритет.

Репликация объекта групповой политики

Служба репликации файлов (FRS) реплицирует групповой политики для объектов групповой политики по всему домену. В рамках GPT вложенная папка Adm реплицируется ко всем контроллерам домена в домене. Так как каждый объект групповой политики хранит несколько файлов ADM, и некоторые из них могут быть довольно большими, необходимо понять, как файлы ADM добавляются или обновляются при использовании редактора объектов групповой политики может повлиять на трафик репликации.

Использование параметров политики для управления обновлениями файлов ADM

Две области параметров политики, доступные для управления файлами ADM. Эти параметры позволяют администратору настроить использование файлов ADM для определенной среды. Это параметр "Отключить автоматическое обновление файлов ADM" и "Всегда использовать локальные файлы ADM для редактора групповой политики".

Отключение автоматического обновления файлов ADM

Этот параметр политики доступен в разделе "Конфигурация пользователя\Административные шаблоны\System\Групповая политика в Windows Server 2003" в Windows XP и Windows 2000. Этот параметр может применяться к любому клиенту с поддержкой групповой политики.

Всегда используйте локальные ADM-файлы для редактора групповой политики

Этот параметр политики доступен в разделе "Конфигурация компьютера\Административные шаблоны\System\Group Policy". Это новый параметр политики. Его можно успешно применить только к клиентам Windows Server 2003. Параметр может быть развернут на старых клиентах, но он не будет влиять на их поведение. Если этот параметр включен, редактор объектов групповой политики всегда использует локальные файлы ADM в локальной системе %windir%\Inf при изменении объекта групповой политики.

Примечание.

Если этот параметр политики включен, подразумевается отключение автоматического обновления параметров политики файлов ADM.

Распространенные сценарии и рекомендации по вопросам администрирования с несколькими локальными службами

В некоторых средах параметры политики могут быть представлены пользовательскому интерфейсу на разных языках. Например, администратор в США может потребоваться просмотреть параметры политики для определенного объекта групповой политики на английском языке, а администратор во Франции может просмотреть тот же объект групповой политики, используя французский язык в качестве предпочтительного языка. Так как GPT может хранить только один набор файлов ADM, нельзя использовать GPT для хранения файлов ADM для обоих языков.

Для Windows 2000 использование локальных файлов ADM редактором объектов групповой политики не поддерживается. Чтобы обойти эту проблему, используйте параметр политики "Отключить автоматическое обновление файлов ADM". Так как этот параметр политики не влияет на создание новых объектов групповой политики, локальные файлы ADM будут отправлены в GPT в Windows 2000, и создание объекта групповой политики в Windows 2000 эффективно определяет "язык групповой политики". Если параметр политики "Отключить автоматическое обновление файлов ADM" действует на всех рабочих станциях Windows 2000, язык ADM-файлов в GPT определяется языком компьютера, который используется для создания групповой политики.

Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики "Всегда использовать локальные файлы ADM для редактора групповой политики". Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на своей рабочей станции (французский), независимо от файла ADM, хранящегося в GPT. При использовании этого параметра политики подразумевается, что параметр политики "Отключить автоматическое обновление файлов ADM" включен, чтобы избежать ненужных обновлений файлов ADM в GPT.

Кроме того, рекомендуется стандартизировать последнюю операционную систему от Корпорации Майкрософт для административных рабочих станций в многоязычной административной среде. Затем настройте параметры политики "Всегда использовать локальные файлы ADM для редактора групповой политики" и "Отключить автоматическое обновление файлов ADM".

Если используются рабочие станции Windows 2000, используйте параметр политики "Отключить автоматическое обновление файлов ADM" для администраторов и рассмотрите файлы ADM в GPT, чтобы быть эффективным языком для всех рабочих станций Windows 2000.

Примечание.

Рабочие станции Windows XP по-прежнему могут использовать свои локальные, языковые версии.

Распространенные сценарии и рекомендации по проблемам выпуска операционной системы и пакета обновления

Каждый выпуск операционной системы или пакета обновления содержит надмножество файлов ADM, предоставляемых предыдущими выпусками, включая параметры политики, относящиеся к операционным системам, которые отличаются от новых выпусков. Например, файлы ADM, предоставляемые Windows Server 2003, включают все параметры политики для всех операционных систем, включая те, которые относятся только к Windows 2000 или Windows XP Professional. Это означает, что только просмотр объекта групповой политики с компьютера с новым выпуском операционной системы или пакета обновления фактически обновляет файлы ADM. Как правило, более поздние выпуски представляют собой супермножество предыдущих файлов ADM, обычно это не создает проблемы, предполагая, что используемые файлы ADM не были изменены.

В некоторых ситуациях выпуск операционной системы или пакета обновления может включать подмножество файлов ADM, предоставляемых более ранними выпусками. Это может представить более раннее подмножество файлов ADM, что приводит к тому, что параметры политики больше не отображаются администраторам при использовании редактора объектов групповой политики. Однако параметры политики останутся активными в объекте групповой политики. Влияет только видимость параметров политики в редакторе объектов групповой политики. Все активные (включенные или отключенные) параметры политики не отображаются в редакторе объектов групповой политики, но остаются активными. Так как параметры не отображаются, администратор не может просматривать или изменять эти параметры политики. Чтобы обойти эту проблему, администраторы должны ознакомиться с файлами ADM, включенными в каждую операционную систему или выпуск пакета обновления перед использованием редактора объектов групповой политики в этой операционной системе, учитывая, что для обновления файлов ADM в GPT достаточно, если сравнение меток времени определяет, что обновление подходит.

Чтобы спланировать это в вашей среде, корпорация Майкрософт рекомендует выполнить следующие действия.

• Определите стандартную операционную систему или пакет обновления, из которого выполняется просмотр и редактирование объектов групповой политики, убедитесь, что используемые файлы ADM включают параметры политики для всех платформ.

• Используйте параметр политики "Отключить автоматическое обновление файлов ADM" для всех администраторов групповой политики, чтобы убедиться, что файлы ADM не перезаписаны в GPT сеансом редактора объектов групповой политики и убедитесь, что вы используете последние файлы ADM, доступные от Корпорации Майкрософт.

Примечание.

Политика "Всегда использовать локальные файлы ADM для редактора групповой политики" обычно используется с этой политикой, если она поддерживается операционной системой, из которой выполняется редактор объектов групповой политики.

Удаление файлов ADM из папки Sysvol

По умолчанию файлы ADM хранятся в GPT, и это может значительно увеличить размер папки Sysvol. Кроме того, частое редактирование объектов групповой политики может привести к значительному объему трафика репликации. Использование сочетания параметров политики "Отключить автоматическое обновление файлов ADM" и "Всегда использовать локальные файлы ADM для редактора групповой политики" может значительно уменьшить размер папки Sysvol и уменьшить трафик репликации, связанный с политикой, где происходит значительное количество изменений политики.

Если размер тома Sysvol или трафика репликации, связанного с групповой политикой, становится проблематичным, рассмотрите возможность реализации среды, в которой Sysvol не хранит файлы ADM. Или рассмотрите возможность обслуживания файлов ADM на административных рабочих станциях. Этот процесс описан в следующем разделе.

Чтобы очистить папку Sysvol файлов ADM, выполните следующие действия.

1. Включите параметр политики "Отключить автоматическое обновление файлов ADM" для всех администраторов групповой политики, которые будут редактировать объекты групповой политики.
2. Убедитесь, что эта политика применена.
3. Скопируйте все пользовательские шаблоны ADM в папку %windir%\Inf.
4. Измените существующие объекты групповой политики и удалите все файлы ADM из GPT. Для этого щелкните правой кнопкой мыши административные шаблоны и нажмите кнопку "Добавить или удалить шаблон".
5. Включите параметр политики "Всегда использовать локальные ADM-файлы для изменения объекта групповой политики" для административных рабочих станций.

Обслуживание файлов ADM на административных рабочих станциях

При использовании параметра политики "Всегда использовать локальные файлы ADM для редактора групповой политики" убедитесь, что каждая рабочая станция имеет последнюю версию файлов ADM по умолчанию и пользовательских ADM. Если все файлы ADM недоступны локально, некоторые параметры политики, содержащиеся в объекте групповой политики, не будут отображаться администратору. Избегайте этого, реализуя стандартную операционную систему и версию пакета обновления для всех администраторов. Если вы не можете использовать стандартную операционную систему и пакет обновления, реализуйте процесс распространения последних файлов ADM ко всем административным рабочим станциям.

Примечание.

• Так как файлы ADM рабочей станции хранятся в папке %windir%\Inf, любой процесс, используемый для распространения этих файлов, должен выполняться в контексте учетной записи с учетными данными администратора на рабочей станции.
• Windows XP не поддерживает редактирование объектов групповой политики, если в папке Sysvol нет файлов ADM. В динамической среде необходимо учитывать это ограничение проектирования.