在 Windows Server 2012 R2 中管理 Windows 10 组策略客户端的已知问题
原始 KB 数: 4015786
总结
从 Windows Server 2012 R2 服务器管理 Windows 10 组策略客户端群时,可能会出现一些已知挑战。 管理 Windows 10 客户端时,在 Windows Server 2012 R2 服务器上使用高级组策略管理服务器(AGPM)时,同样的挑战也适用。
本文将每个后续升级的各部分分开,因为它们已发布。 它还指示更改何时仅影响组策略 ADMX 模板文件的特定版本。
以下更改列表不包括添加到每个模板文件的许多新增设置。 如果它们已添加到现有部署,则它们没有任何影响。 现有部署不使用这些设置。 因此,它不太可能影响环境。
此外,请务必在 GPMC 启动期间,控制台将 ADMX 文件缓存到内存中。 即使报表刷新后,工具打开时发生的模板的任何更改也不会显示。 关闭并重新打开该工具后,它将从 PolicyDefinitions 文件夹中获取新的 ADMX 文件。
详细信息
传统上,将组策略设置转换为可以轻松管理的用户界面的方法由 ADM 文件提供。 这些文件使用自己的标记语言。 它们是特定于区域设置的。 因此,他们很难为跨国公司管理。
Windows Vista 和 Windows Server 2008 引入了在组策略管理控制台中显示设置的新方法。 基于注册表的策略设置定义为使用基于标准的 XML 文件格式(称为 ADMX),通常称为管理模板。 这些设置位于组策略对象编辑器中的“管理模板”类别下。
组策略对象编辑器和组策略管理控制台基本保持不变。 在大多数情况下,在日常组策略管理任务期间,你不会注意到 ADMX 文件的存在。
在某些情况下,需要了解:
- 如何构建 ADMX 文件
- 存储位置
ADMX 文件提供基于 XML 的结构。 此结构用于定义组策略工具中管理模板策略设置的显示。 仅当你使用运行 Windows Vista 或 Windows Server 2008 或更高版本的计算机时,组策略工具才会识别 ADMX 文件。
与 ADM 文件不同,ADMX 文件不会存储在单个 GPO 中。 对于基于域的企业,管理员可以创建 ADMX 文件的中央存储位置。 拥有创建或编辑 GPO 权限的任何人都可以访问此位置。 组策略工具继续识别现有环境中的任何自定义 ADM 文件。 但是,它们将忽略 ADMX 文件取代的任何 ADM 文件,例如:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
如果编辑了其中任何文件以更改或创建策略设置,则基于 Windows Vista 的组策略工具不会读取或显示已更改或新设置。
组策略对象编辑器会自动从本地或可选的 ADMX 中央存储区中存储的 ADMX 文件读取和显示管理模板策略设置。 组策略对象编辑器会自动从存储在 GPO 中的自定义 ADM 文件中读取和显示管理模板策略设置。 你仍然可以使用“添加/删除模板”菜单选项添加或删除自定义 ADM 文件。 Windows Vista 和 Windows Server 2008 ADMX 文件也提供当前由 Windows Server 2003、Windows XP 和 Windows 2000 传送的 ADM 文件中的所有组策略设置。
升级具有更高版本 ADMX 文件的 PolicyDefinitions 文件夹可能很困难。 原因是某些设置已弃用,并且添加了一些设置。 通常,添加设置的效果最小。 但是,弃用设置通常会导致预配置的组策略保留无法再更改的设置。 通常,新 ADMX 文件中的这些类型的冗余设置在设置报告中列为“额外注册表设置”。 这些设置仍应用于生产环境,但管理员无法再将其打开或关闭。
若要管理这种情况,管理员可以删除组策略(如果不再需要)。 或者,他们可以将旧的 ADMX 模板复制回 PolicyDefinitions 文件夹。 它将允许再次管理设置。 但稍后修订 ADMX 模板中的新设置将丢失。
Windows 10 内部版本 1607 中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的效果 |
|---|---|---|
| DataCollection.admx | 已将策略设置 Allow Telemetry 类值从 “计算机 ”更改为 “两者” |
此 ADMX 首先出现在 Windows 10 RTM 中,并已设置为 RTM 和 1511 修订版中的计算机。 在内部版本 1607 中,类更改为“两者”。 这意味着此设置适用于注册表的用户和计算机端。 因为它是现有设置的扩展,因此此更改没有预期效果。 |
| DeliveryOptimization.admx | 已将策略设置 “下载模式 ”(DownloadMode)配置项目从 “无 ”更改为 “仅 HTTP” | 此更改只是显示文本更改。 基础值与以前版本的 ADMX 文件相同。 因此,对生产组策略没有影响。 |
| inetres.admx | 删除了“在 Internet 选项上显示内容顾问”策略设置 | 此设置已从 ADMX 文件的 1607 内部版本弃用,该文件已存在于 2012 和 Windows 8 之前。 此设置仍按以下条件进行配置:
|
| MicrosoftEdge.admx | 以下 15 个设置已将类从 计算机 更改为 “两者”:
|
此 ADMX 首先出现在 Windows 10 RTM 中,并已设置为 RTM 和 1511 修订版中的计算机 。 在内部版本 1607 中,类更改为“两者”。 这意味着此设置适用于注册表的用户和计算机端。 因为它是现有设置的扩展,因此此更改没有预期效果。 |
| WindowsDefender.admx | 已删除的策略设置 定义日志记录的检测事件的速率 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx | 已删除策略设置 IP 地址范围排除 项和 端口号排除项 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx | 已删除策略设置 出站流量的进程排除 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx | 已删除策略设置 威胁 ID 排除项 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx: | 已删除策略设置打开信息保护控制 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx | 已删除策略设置 :启用网络保护,防止已知漏洞攻击 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsDefender.admx | 已更改的策略设置 禁止启用所有通知 (UX_Configuration_Notification_Suppress)并从 enabledValue=0 和 disabledValue=1 禁用值到 enabledValue=1 和 disabledValue=0 | 此更改发生在内部版本 1607 上,不同于内部版本 1511 和以前的版本。 更改使此设置能够按预期工作,因为以前启用此设置时必须禁用此设置。 升级的影响是:如果配置了设置,PolicyDefinitions 升级到 1607,则设置将自动还原到之前配置的相反设置。 请参阅 附录 1 Windows Defender |
| WindowsDefender.admx | 已删除策略设置 配置本地设置替代以关闭入侵防护系统 | 此设置已从 ADMX 文件弃用。 此设置仍按以下条件进行配置:
|
| WindowsExplorer.admx | 已更改策略设置 配置 Windows SmartScreen (EnableSmartScreen),已替换下拉项以启用/禁用配置项目。 | 此设置已从以前版本更改,特别是启用智能屏幕的选项,但在运行下载的未知软件之前需要管理员批准。 如果之前配置了此设置,则 ADMX 升级后,此设置将变得不可管理。 如果启用此设置,但智能屏幕已禁用,则升级后将禁用整个设置。 请参阅 附录 2 Windows 资源管理器 |
| WindowsUpdate.admx | 删除了策略设置延迟升级和更新(DeferUpgrade),替换为更详细的策略设置(DeferFeatureUpdates、、DeferQualityUpdatesExcludeWUDriversInQualityUpdate、ActiveHours) |
根据 Windows 10 RTM 提供延迟升级选项,并在内部版本 1607 上更改。 配置设置后 PolicyDefinitions ,文件夹将升级到内部版本 1607,设置将变得不可管理。 配置的设置将保持配置状态。 但是,如果不使用以下方法之一,就无法更改它:
请参阅附录 3 Windows 更新 |
Windows 10 内部版本 1511 中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的效果 |
|---|---|---|
| Explorer.admx | 已删除策略设置 关闭软登陆帮助提示 (DisableSoftLanding) | 此设置已从 Window 10 RTM ADMX 文件弃用,2012 R2 中不存在。 如果设置已部署到生产环境中并且 ADMX 已升级,则设置将保持配置状态。 但是,如果不使用以下方法之一,就无法更改它:
|
| inetres.admx | 已删除策略设置 阻止在地址栏 (TopResultPol) 上配置顶级搜索结果(计算机/Windows 组件/IE/Internet 设置/高级设置/搜索) | 此设置已从 ADMX 文件弃用。 如果设置已部署到生产环境中并且 ADMX 已升级,则设置将保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则不可更改。 |
| LocationProviderAdm.admx | 新文件名 LocationProviderAdm.admx 的弃用Microsoft-Windows-Geolocation-WLPAdm.admx | 从 Windows 10 RTM 升级到 Windows 10 版本 1511 时,新的 LocationProviderAdm.admx 文件将复制到文件夹,同时保留旧的 Microsoft-Windows-Geolocation-WLPAdm.admx 文件。 因此,有两个 ADMX 文件用于处理同一策略命名空间。 这会生成错误。 在 Windows 中编辑策略时,请参阅 “已定义”Microsoft.Policies.Sensors.WindowsLocationProvider“错误 |
| MicrosoftEdge.admx | 删除的策略设置 允许运行脚本,如 JavaScript (AllowActiveScripting ) (计算机) | 此设置已从 ADMX 文件弃用。 如果设置已部署到生产环境中,并且 ADMX 已升级,则设置将保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则它不可更改。 |
| MicrosoftEdge.admx | 以下九个设置的类已从 两者 更改为 计算机:
|
从 两者 更改为 计算机 意味着: 将设置范围从策略的“用户”和“计算机”端应用于仅适用于“计算机”端。 如果策略已在用户端配置,则无法在 ADMX 升级后再次更改用户端设置。 但是,该设置仍保持配置状态。 |
| ParentalControls.admx | 此版本的 ADMX 中删除了 | 从最新版本的模板中删除 ADMX 时,可能已从以前版本的文件配置的所有设置都将停滞不前。 PolicyDefinitions如果文件夹已升级,则现有上一个文件仍然存在。 因此,没有效果。 如果满足以下条件,设置仍将存在且正常运行:
|
| WindowsStore.admx | 已添加,它直接替换 WinStoreUI.admx(从 Windows 2012/8 RTM ADMX 获取,2012 年 R2/8.1 中不存在) | 已弃用 EnableWindowsStoreOnWTG Software\Policies\Microsoft\WindowsStore 的值名称的密钥中的 EnableWindowsStoreOnWTG 设置。 它可防止在不使用自定义 ADMX 的情况下重新配置设置,或删除存储设置的整个策略。 此外,DisableAutoDownload 设置值从 3(winStoreUI)更改为 4(WindowsStore)。 它会导致原始设置被取代,并显示在额外的注册表设置下。 它还会导致原始设置不可更改。 但是,它仍将设置。 请参阅 附录 4 WinStoreUI 升级到 WindowsStore。 如果同时存在这两个文件,GPMC 将无法加载。 这是因为这两个文件的命名空间也是重复的。 生成设置“Microsoft.Policies.WindowsStore”时,它会导致错误,该设置 reportNamespace 已定义为存储中另一个文件的目标命名空间。 文件 \\<Domain Name>\SysVol<DomainName>\Policies\PolicyDefinitions\WinStoreUI.admx, line 4, column 80 |
Windows 10 RTM 中的已知 ADMX 文件内容更改问题
| Filename | 更改 | 可能的效果 |
|---|---|---|
| AppXRuntime.admx | 已更改策略 允许Microsoft帐户成为可选 类值,从 两者 更改为 计算机 | 这意味着已将设置范围从策略的“用户”和“计算机”端应用到“计算机”两端。 如果策略已在用户端配置,则无法在 ADMX 升级后再次更改用户端设置。 但是,该设置仍保持配置状态。 |
| ErrorReporting.admx | 已删除的策略设置 自动发送 OS 生成的错误报告 (WerAutoApproveOSDumps_1(用户设置)、WerAutoApproveOSDumps_2(计算机设置)的内存转储) | 如果 ADMX 已从 Windows Server 2012 R2 版本就地升级,则不能再次更改设置。 此设置将保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法对其进行更改。 |
| ErrorReporting.admx | 已删除策略设置 “配置默认同意 ”(WerDefaultConsent_1(用户设置),WerDefaultConsent_2(计算机设置) | 将 ErrorReporting.ADMX 从 2012 R2 修订版替换为 Windows 10 RTM 版本后,将看到以下错误: 注册表值 DefaultConsent 的类型意外。 若要解决此问题,请删除组策略,并使用新的 ADMX 模板将设置重新生成到新策略中。 请参阅 附录 5 错误报告 |
| inetres.admx | 已删除策略设置 允许 Internet Explorer 使用 SPDY/3 网络协议 | 此设置已从 2012 R2 ADMX 文件弃用。 如果设置已部署到生产环境中并且 ADMX 已升级,则设置将保持配置状态。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法对其进行更改。 |
| NAPXPQec.admx | ADMX 文件已弃用。 | 从模板的 RTM 版本中删除 ADMX 后,可能已从以前版本的文件配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,现有以前的文件仍存在。 因此,没有效果。 如果满足以下条件,这些设置将保持存在且正常运行:
|
| NetworkProjection.admx | ADMX 文件已弃用。 | 从模板的 RTM 版本中删除 ADMX 后,可能已从以前版本的文件配置的所有设置都会停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件仍存在,因此将不起作用。 如果满足以下条件,这些设置将保持存在且正常运行:
|
| PswdSync.admx | 此文件已删除,现在仅随服务器操作系统一起传递 | 从模板的 RTM 生成中删除 ADMX 后,可能已从以前版本的文件配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,则现有的上一个文件将保留,因此不会有任何影响。 如果满足以下条件,这些设置将保持存在且正常运行:
|
| SkyDrive.admx | 从 2012 R2 修订版开始,此文件有许多更改,但所有更改从 Skydrive 到 OneDrive 的引用,相关注册表位置也会更改。 下面是几个示例: 1. 已将 policyNamespace 从“target prefix=”skydrive“ namespace=”Microsoft.Policies.Skydrive“更改为”target prefix=“onedrive” namespace=“Microsoft.Policies.OneDrive” 2. 已将类别 Skydrive 更改为 OneDrive 3. 已更改的策略 阻止使用 OneDrive 进行文件存储 以使用 Skydrive 注册表项 ( Software\Policies\Microsoft\Windows\OneDrive) 中的 OneDrive 注册表项 (Software\Policies\Microsoft\Windows\Skydrive) |
在 Windows 10 RTM 版本的 Skydrive.admx 替换文件的 2012 R2 修订版之后,Skydrive 组件的所有控件将替换为 OneDrive 版本设置。 如果仍在使用 Skydrive 应用程序,这些设置仍将适用。 但是,在不使用自定义 ADMX 或恢复 2012 R2 版本的模板的情况下,它们将不可管理。 |
| Snis.admx | 此文件已删除,现在仅随服务器操作系统一起传递 | 从模板的 RTM 生成中删除 ADMX 后,可能已从以前版本的文件配置的所有设置都将停滞不前。 如果 PolicyDefinitions 文件夹已升级,现有上一个文件将保持不变。 因此,没有效果。 如果满足以下条件,这些设置将保持存在且正常运行:
|
| TerminalServer.admx | 更改了使用 RemoteFX 时优化视觉体验的策略设置(TS_RemoteDesktopVirtualGraphics),从 ... 中删除了键入错误...ScreeenImageQuality...to...ScreenImageQuality... | 此设置在内部已更改,其名称引用仅用于将 ADMX 文件链接到 ADML 内容。 此更改不会影响配置的实际设置或使用策略中的设置。 |
| WinStoreUI.admx | ADMX 文件已弃用。 | 此文件已从 Windows 10 RTM 中删除。 如果使用 Windows Server 2012 R2 配置了 Microsoft 应用商店,这些设置将成为额外的注册表设置。 设置仍然存在且功能正常。 但是,如果不使用自定义 ADMX 或删除存储设置的整个策略,则无法重新配置它们。 注意:此文件在 Windows 10 内部版本 1511 中替换为 WindowsStore.ADMX 文件。 在下一部分中阅读该文件的详细信息。 |
ADMX 源文件引用
| Filename | 参考生成 | 修订号 | 数字信号日期 |
|---|---|---|---|
| Windows8-Server2012ADMX-RTM.msi | RTM | {EEDEB0DE-8C60-4EB6-A04D-7B3C5E121D03} | 2013年1月24日星期四下午10:08:25 |
| Windows8.1-Server2012R2ADMX-RTM.msi | RTM | {4AED4C7A-9B51-445C-9066-91F3CEE0E690} | 2013年11月25日星期一凌晨2:09:46 |
| Windows10-ADMX.msi | RTM | {79A07922-2B64-445E-B6DD-5578B607A411} | 2015 年 8 月 3 日星期一 6:07:15 AM |
| Windows10_Version_1511_ADMX.msi | 1511 | {095735F1-0D68-4941-A4CE-16BDEC8CAF21} | 2015 年 11 月 17 日星期二上午 7:38:18 |
| Windows 10 和 Windows Server 2016 ADMX.msi | 1607 | {7848F166-A24F-4AE3-AEC9-6622770F8A85} | 2016年12月19日星期一下午2:07:42, |
其他参考资料
- 如何在 Windows 中创建和管理组策略管理模板的中央存储
- 管理组策略 ADMX 文件分步指南
- 在 Windows 中编辑策略时出现“'Microsoft.Policies.Sensors.WindowsLocationProvider'”错误
- ADMX 版本历史记录
- 在 Excel 电子表格中,ADMX/L 文件之间的内容差异如下: https://go.microsoft.com/fwlink/?linkid=829685
附录
附录 1 Windows Defender
ADMX 升级到 1607d 后,相同的设置(未编辑策略)
附录 2 Windows 资源管理器
如果启用了 SmartScreen 设置,并且 选择了“需要管理员批准”才能运行下载的未知软件 选项,则会看到:
直接升级模板而不更改策略后,会看到:
如果选择第二个选项(“发出警告”),则会看到:
但是,在 GPMC 的设置选项卡中,可以看到:
注意
以下设置之一下未列出任何项。
升级模板后,会看到:
现在启用策略并选择禁用智能屏幕,如下所示:
完成此设置后,报表中会显示以下内容:
将模板升级到生成 1607 后,设置报告将如下所示:
如果现在编辑该设置,则会看到:
附录 3 Windows 更新
将策略定义升级到至少 Windows 10 RTM 版本并配置Windows 更新设置以延迟升级后,会看到:
将 PolicyDefinitions 文件夹升级到内部版本 1611 后,这些设置将成为额外的注册表设置,如下所示:
附录 4 WinStoreUI 升级到 WindowsStore
使用 ADMX 的 Windows Server 2012 R2 版本启用Microsoft应用商店选项提供报告:
将 ADMX 文件替换为内部存储版本 1511 后,会看到:
附录 5 错误报告
在 Windows Server 2012 R2 中,如果启用 “配置默认许可”,则会收到以下报告:
如果替换 errorreporting.admx,报表将如下所示:
还可以查看图像:
删除 WinStoreUI 并添加 WindowsStore 后,会看到:
两个 ADMX/L 模板都存在于策略定义文件夹中后,可以看到:
