如何在 Windows 中创建和管理组策略管理模板的中央存储

本文介绍了如何使用新的 .admx 和 .adml 文件,用于在 Windows 中创建和管理基于注册表的策略设置。 本文还解释了如何使用中央存储在域环境中存储和复制基于 Windows 的策略文件。

原始 KB 数: 3087759

若要查看更高操作系统版本中可用的新设置的 ADMX 电子表格,请参阅以下电子表格:

概述

管理模板文件分为 .admx 文件和特定语言的 .adml 文件,供组策略管理员使用。 通过这些文件中实现的更改,管理员可以使用两种语言配置同一组策略。 管理员可以使用特定语言的 .adml 文件和中性语言的 .admx 文件来配置策略。

管理模板文件存储

Windows 使用中央存储来存储管理模板文件。 与早期版本的 Windows 一样,ADM 文件夹不是在组策略对象 (GPO) 中创建的。 因此,Windows 域控制器不会存储或复制 .adm 文件的冗余副本。

中央存储

若要利用 .admx 文件的优势,则必须在 Windows 域控制器上的 sysvol 文件夹中创建一个中央存储。 中央存储是默认情况下由组策略工具检查的文件位置。 组策略工具使用中央存储中所有的 .admx 文件。 中央存储中的文件将复制到域中的所有域控制器。

我们建议保留一个 ADMX/L 文件的存储库,供你可能要使用的应用程序使用。 例如,Microsoft 桌面优化包 (MDOP)、Microsoft Office 等操作系统扩展,以及提供组策略支持的第三方应用程序。

若要为 .admx 和 .adml 文件创建中央存储,请在域控制器上的以下位置(例如)创建一个名为 PolicyDefinitions 的新文件夹:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

如果你已经有了这样一个包含以前构建的中央存储的文件夹,请使用描述当前版本的新文件夹,例如:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-24H2

将源计算机上 PolicyDefinitions 文件夹中的所有文件复制到域控制器上的新 PolicyDefinitions 文件夹中。 源位置可以是以下任一位置:

  • C:\Windows\PolicyDefinitions基于 Windows 10 或基于 Windows 11 的客户端计算机上的文件夹
  • C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions 文件夹,如果你已经从上面的链接中单独下载了任何管理模板。

Windows 域控制器上的 PolicyDefinitions 文件夹存储客户端计算机上启用的所有语言的 .admx 文件和 .adml 文件。

.adml 文件存储在特定语言的文件夹中。 例如,英语 (美国) .adml 文件存储在名为 en-US 的文件夹中。 韩国 .adml 文件存储在名为 ko-KR 的文件夹中,依此等。

如果需要其他语言的 .adml 文件,则必须将包含该语言的 .adml 文件的文件夹复制到中央存储。 复制所有 .admx 和 .adml 文件时,域控制器上的 PolicyDefinitions 文件夹应包含 .admx 文件和一个或多个包含特定语言的 .adml 文件的文件夹。

注意

从基于 Windows 10 或基于 Windows 11 的计算机复制 .admx 和 .adml 文件时,请验证是否已安装这些文件的最新更新。 此外,请确保复制最新的管理模板文件。 此建议还适用于 Service Pack(如果适用)。

操作系统集合完成后,将任何操作系统扩展或应用程序 ADMX/ADML 文件合并到新的 PolicyDefinitions 文件夹中。

完成后,重命名当前 PolicyDefinitions 文件夹以反映它是以前的版本,例如 PolicyDefinitions-23H2。 然后,将新文件夹(如 PolicyDefinitions-24H2)重命名为生产名称。

我们建议使用这种方法,因为如果新文件集出现严重问题,你可以恢复到旧文件夹。 如果新文件集没有遇到任何问题,可以将旧 PolicyDefinitions 文件夹移动到 sysvol 文件夹外部的存档位置。

组策略管理

Windows 10 及更高版本不包括具有 .adm 扩展名的管理模板。 建议使用运行 Windows 10 或更高版本的计算机来执行组策略管理。

更新管理模板文件

在 Windows Vista 和更高版本的 Windows 的组策略中,如果更改本地计算机上的管理模板策略设置,sysvol 文件夹不会自动更新以包含新的 .admx 或 .adml 文件。 实现此行为是为了减少网络负载和磁盘存储要求,以及防止在不同位置对管理模板策略设置进行更改时 .admx 和 .adml 文件之间发生冲突。

为了确保任何本地更新都反映在 sysvol 文件夹中,必须将本地计算机上的 PolicyDefinitions 文件中更新的 .admx 或 .adml 文件手动复制到域控制器共享 sysvol 文件夹 contoso.com\PolicyDefinitions

通过以下更新,可以将本地组策略编辑器配置为使用本地 .admx 文件,而不是中央存储:

更新可供组策略编辑器使用本地 ADMX 文件

你还可以使用此设置:

  • 根据域策略C:\Windows\PolicyDefinitions在管理工作站上测试新构建的文件夹,然后再将其复制到 sysvol 文件夹上的中央存储。
  • 使用较旧的 PolicyDefinitions 文件夹编辑最新版本的中央存储中没有 ADMX 文件的策略设置。 一个常见的例子是策略中包含的 Microsoft Office 旧版本设置仍在组策略中。 对于每个版本,Microsoft Office 都有一组单独的 ADMX/L 文件。

已知问题