通过

管理组策略管理模板 (.adm) 文件的建议

  • 项目

本文介绍 ADM 文件的工作原理、可用于管理其操作的策略设置,以及有关如何处理常见 ADM 文件管理方案的建议。

适用于: Windows Server(所有支持的版本)、Windows 客户端(所有支持的版本)
原始 KB 数: 816662

注意

建议使用 Windows Vista 之后发布的 Windows,通过中央存储管理组策略基础结构。 即使环境混合使用下层客户端和服务器(例如运行 Windows XP 或 Windows Server 2003 的计算机)也是如此。 Windows Vista 使用使用 ADMX 和 ADML 文件来管理组策略模板的新模型。

有关详细信息,请访问以下网站:

如果必须使用基于 Windows XP 的计算机或基于 Windows Server 2003 的计算机来管理组策略基础结构,请参阅本文中的建议。

ADM 文件简介

ADM 文件是组策略用来描述注册表中存储基于注册表的策略设置的模板文件。 ADM 文件还描述了管理员在组策略对象编辑器管理单元中看到的用户界面。 管理员在创建或修改组策略对象(GPO)时使用组策略对象编辑器。

ADM 文件存储和默认值

在每个域控制器的 Sysvol 文件夹中,每个域 GPO 维护一个文件夹,此文件夹名为组策略模板(GPT)。 GPT 存储上次创建或编辑 GPO 时在组策略对象编辑器中使用的所有 ADM 文件。

每个操作系统都包含一组标准 ADM 文件。 这些标准文件是组策略对象编辑器加载的默认文件。 例如,Windows Server 2003 包含以下 ADM 文件:

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自定义 ADM 文件

自定义 ADM 文件可由程序开发人员或 IT 专业人员创建,以将基于注册表的策略设置的使用扩展到新的程序和组件。

注意

必须设计和编码程序和组件才能识别和响应 ADM 文件中所述的策略设置。

若要在组策略对象编辑器中加载 ADM 文件,请执行以下步骤:

  1. 启动组策略对象编辑器。

  2. 右键单击“管理模板” ,然后单击“添加/删除模板”

    注意

    管理模板在计算机用户配置可用。 为自定义模板选择正确的配置。

  3. 单击“添加” 。

  4. 单击 ADM 文件,然后单击“ 打开”。

  5. 单击“关闭” 。

  6. 自定义 ADM 文件策略设置现在可在组策略对象编辑器中使用。

更新 ADM 文件和时间戳

用于运行组策略对象编辑器的每个管理工作站将 ADM 文件存储在 %windir%\Inf 文件夹中。 创建并首次编辑 GPO 时,此文件夹中的 ADM 文件将复制到 GPT 中的 Adm 子文件夹中。 这包括标准 ADM 文件和管理员添加的任何自定义 ADM 文件。

注意

在不以后编辑 GPO 的情况下创建 GPO,该 GPO 将创建不包含任何 ADM 文件的 GPT。

默认情况下,编辑 GPO 时,组策略对象编辑器会将工作站的 %windir%\Inf 文件夹中 ADM 文件的时间戳与存储在 GPTs Adm 文件夹中的时间戳进行比较。 如果工作站的文件较新,组策略对象编辑器会将这些文件复制到 GPT Adm 文件夹,覆盖同名的任何现有文件。 当组策略对象编辑器中选择“管理模板”节点(计算机或用户配置)时,无论管理员是否实际编辑 GPO,都会发生此比较。

注意

可以通过在组策略对象编辑器中查看 GPO 来更新 GPT 中存储的 ADM 文件。

由于 ADM 文件管理上时间戳的重要性,因此不建议编辑系统提供的 ADM 文件。 如果需要新的策略设置,Microsoft建议创建自定义 ADM 文件。 这可以防止在释放 Service Pack 时替换系统提供的 ADM 文件。

组策略管理控制台

默认情况下,组策略管理控制台(GPMC)始终使用本地 ADM 文件,而不考虑其时间戳,并且永远不会将 ADM 文件复制到 Sysvol。 如果未找到 ADM 文件,GPMC 将查找 GPT 中的 ADM 文件。 此外,GPMC 用户可以指定 ADM 文件的替代位置。 如果指定了备用位置,则此备用位置优先。

GPO 复制

文件复制服务(FRS)在整个域中复制 GPO 的 GPO。 作为 GPT 的一部分,Adm 子文件夹将复制到域中的所有域控制器。 由于每个 GPO 存储多个 ADM 文件,有些文件可能非常大,因此必须使用组策略对象编辑器时添加或更新的 ADM 文件如何影响复制流量。

使用策略设置控制 ADM 文件更新

两个策略设置区域可用于帮助管理 ADM 文件。 这些设置使管理员能够优化特定环境的 ADM 文件的使用。 这些是“关闭 ADM 文件的自动更新”和“始终对组策略编辑器使用本地 ADM 文件”设置。

关闭 ADM 文件的自动更新

此策略设置在 Windows Server 2003、Windows XP 和 Windows 2000 中的用户配置\管理模板\系统\组策略下提供。 此设置可应用于任何已启用组策略的客户端。

始终对组策略编辑器使用本地 ADM 文件

此策略设置在计算机配置\管理模板\System\组策略下可用。 这是一个新的策略设置。 它可能仅应用于 Windows Server 2003 客户端。 该设置可以部署到较旧的客户端,但它不会影响其行为。 如果启用此设置,组策略对象编辑器在编辑组策略对象时始终在本地系统 %windir%\Inf 文件夹中使用本地 ADM 文件。

注意

如果启用此策略设置,则隐含关闭 ADM 文件策略设置的自动更新。

多语言管理问题的常见方案和建议

在某些环境中,策略设置可能需要以不同语言呈现给用户界面。 例如,美国中的管理员可能需要使用英语查看特定 GPO 的策略设置,而法国的管理员可能希望使用法语作为首选语言查看同一 GPO。 由于 GPT 只能存储一组 ADM 文件,因此不能使用 GPT 存储这两种语言的 ADM 文件。

对于 Windows 2000,不支持通过组策略对象编辑器使用本地 ADM 文件。 若要解决此问题,请使用“关闭 ADM 文件的自动更新”策略设置。 由于此策略设置不会影响新 GPO 的创建,因此本地 ADM 文件将上传到 Windows 2000 中的 GPT,并在 Windows 2000 中创建 GPO 实际上定义了“GPO 的语言”。 如果“关闭 ADM 文件的自动更新”策略设置在所有 Windows 2000 工作站上生效,GPT 中的 ADM 文件的语言将由用于创建 GPO 的计算机的语言定义。

对于使用 Windows XP 和 Windows Server 2003 的管理员,可以使用“始终使用组策略编辑器的本地 ADM 文件”策略设置。 这样,无论存储在 GPT 中的 ADM 文件,法国管理员都可以通过使用本地安装的 ADM 文件(法语)来查看策略设置。 使用此策略设置时,暗示启用了“关闭 ADM 文件的自动更新”策略设置,以避免将 ADM 文件不必要的更新更新到 GPT。

此外,请考虑在多语言管理环境中对管理工作站Microsoft的最新操作系统进行标准化。 然后配置“始终使用组策略编辑器的本地 ADM 文件”和“关闭 ADM 文件的自动更新”策略设置。

如果使用 Windows 2000 工作站,请使用管理员的“关闭 ADM 文件的自动更新”策略设置,并将 GPT 中的 ADM 文件视为所有 Windows 2000 工作站的有效语言。

注意

Windows XP 工作站仍可能使用其本地语言特定版本。

操作系统和 Service Pack 发布问题的常见方案和建议

每个操作系统或 Service Pack 版本都包含早期版本提供的 ADM 文件的超集,包括特定于与新版本不同操作系统的策略设置。 例如,随 Windows Server 2003 一起提供的 ADM 文件包括所有操作系统的所有策略设置,包括仅与 Windows 2000 或 Windows XP Professional 相关的策略设置。 这意味着,仅从具有新版本操作系统或 Service Pack 的计算机查看 GPO 会有效地升级 ADM 文件。 由于更高版本通常是以前的 ADM 文件的超集,因此通常不会创建问题,假设正在使用的 ADM 文件尚未编辑。

在某些情况下,操作系统或 Service Pack 版本可能包含与早期版本一起提供的 ADM 文件的子集。 这有可能显示早期 ADM 文件的子集,导致策略设置在使用组策略对象编辑器时不再对管理员可见。 但是,策略设置将在 GPO 中保持活动状态。 仅影响组策略对象编辑器中策略设置的可见性。 组策略对象编辑器中不显示任何活动(启用或禁用)策略设置,但保持活动状态。 由于设置不可见,因此管理员无法查看或编辑这些策略设置。 若要解决此问题,管理员必须在使用该操作系统上的组策略对象编辑器之前熟悉每个操作系统或 Service Pack 版本中随附的 ADM 文件,请记住,查看 GPO 的行为足以在 GPT 中更新 ADM 文件(当时间戳比较确定更新合适时)。

若要在环境中规划此计划,Microsoft建议:

  • 定义标准操作系统/Service Pack,从中执行 GPO 的所有查看和编辑,确保正在使用的 ADM 文件包括所有平台的策略设置。

  • 对所有组策略管理员使用“关闭 ADM 文件的自动更新”策略设置,以确保任何组策略对象编辑器会话不会覆盖 GPT 中的 ADM 文件,并确保使用可从Microsoft获取的最新 ADM 文件。

注意

当运行组策略对象编辑器的操作系统支持此策略时,“始终对组策略编辑器使用本地 ADM 文件”策略。

从 Sysvol 文件夹中删除 ADM 文件

默认情况下,ADM 文件存储在 GPT 中,这可以显著增加 Sysvol 文件夹大小。 此外,频繁编辑 GPO 可能会导致大量的复制流量。 结合使用“关闭 ADM 文件的自动更新”和“始终将本地 ADM 文件用于组策略编辑器”策略设置,可以大大减少 Sysvol 文件夹的大小,并减少发生大量策略编辑时与策略相关的复制流量。

如果与 Sysvol 卷或组策略相关的复制流量的大小成问题,请考虑实现 Sysvol 不存储任何 ADM 文件的环境。 或者考虑在管理工作站上维护 ADM 文件。 以下部分介绍了此过程。

若要清除 ADM 文件的 Sysvol 文件夹,请执行以下步骤:

  1. 为所有将编辑 GPO 的组策略管理员启用“关闭 ADM 文件的自动更新”策略设置。
  2. 请确保已应用此策略。
  3. 将任何自定义 ADM 模板复制到 %windir%\Inf 文件夹。
  4. 编辑现有 GPO,然后从 GPT 中删除所有 ADM 文件。 为此,请 右键单击“管理模板”,然后单击“ 添加/删除模板”。
  5. 为管理工作站启用“始终对组策略对象编辑使用本地 ADM 文件”策略设置。

在管理工作站上维护 ADM 文件

使用“始终使用组策略编辑器的本地 ADM 文件”策略设置时,请确保每个工作站都具有最新版本的默认和自定义 ADM 文件。 如果所有 ADM 文件在本地不可用,则 GPO 中包含的某些策略设置对管理员不可见。 通过为所有管理员实现标准操作系统和 Service Pack 版本来避免此问题。 如果无法使用标准操作系统和 Service Pack,请实现将最新的 ADM 文件分发到所有管理工作站的过程。

注意

  • 由于工作站 ADM 文件存储在 %windir%\Inf 文件夹中,因此用于分发这些文件的任何进程都必须在工作站上具有管理凭据的帐户的上下文中运行。
  • 当 Sysvol 文件夹中没有 ADM 文件时,Windows XP 不支持编辑 GPO。 在实时环境中,必须考虑此设计限制。