在 Windows Server 2012 R2 中管理 Windows 10 組策略用戶端的已知問題
原始 KB 編號: 4015786
摘要
當您從 Windows Server 2012 R2 伺服器管理 Windows 10 組策略用戶端基底時,可能會發生一些已知的挑戰。 當您管理 Windows 10 用戶端時,Windows Server 2012 R2 伺服器上的進階組策略管理伺服器 (AGPM) 會套用相同的挑戰。
本文會在每個後續升級發行時分成各節。 它也表示變更只會影響組策略 ADMX 範本檔案的特定組建。
下列變更清單不包含新增至每個範本檔案的許多新額外設定。 如果它們已新增至現有的部署,它們就不會有任何作用。 現有的部署不會使用這些設定。 因此,它不太可能影響環境。
也請務必考慮在 GPMC 啟動期間,控制台會將 ADMX 檔案快取到記憶體中。 即使報表重新整理之後,工具開啟時所發生的範本所做的任何變更也不會出現。 工具關閉后再重新開啟之後,它會從 PolicyDefinitions 資料夾取得新的 ADMX 檔案。
其他相關資訊
傳統上,將組策略設定轉譯成使用者介面的方法很容易由ADM檔案提供。 這些檔案會使用自己的標記語言。 它們是地區設定特定的。 因此,他們很難為跨國公司管理。
Windows Vista 和 Windows Server 2008 引進了在組策略管理控制台中顯示設定的新方法。 以登錄為基礎的原則設定會定義為使用標準型 XML 檔格式,稱為 ADMX,通常稱為系統管理範本。 這些設定位於組策略物件編輯器中的 [系統管理範本] 類別之下。
組策略對象編輯器和組策略管理控制台基本上保持不變。 在大部分情況下,您不會注意到 ADMX 檔案在每日組策略管理工作中是否存在。
在某些情況下,您需要瞭解:
- ADMX 檔案的結構
- 儲存位置
ADMX 檔案提供 XML 架構結構。 此結構用於定義組策略工具中系統管理範本原則設定的顯示。 只有當您使用執行 Windows Vista 或 Windows Server 2008 或更新版本的電腦時,組策略工具才會辨識 ADMX 檔案。
不同於 ADM 檔案,ADMX 檔案不會儲存在個別 GPO 中。 針對網域型企業,系統管理員可以建立ADMX檔案的集中存放區位置。 任何有權建立或編輯 GPO 的人員都可以存取此位置。 組策略工具會繼續辨識現有環境中的任何自定義 ADM 檔案。 但是他們會忽略 ADMX 檔案已取代的任何 ADM 檔案,例如:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
如果您已編輯上述任何檔案來變更或建立原則設定,則 Windows Vista 型組策略工具不會讀取或顯示已變更或新的設定。
組策略物件編輯器會自動從儲存在本機或選擇性 ADMX 中央存放區中的 ADMX 檔案讀取和顯示系統管理範本原則設定。 組策略物件編輯器會自動從儲存在 GPO 中的自訂 ADM 檔案讀取及顯示系統管理範本原則設定。 您仍然可以使用 [新增/移除範本] 功能表選項來新增或移除自定義 ADM 檔案。 Windows Server 2003、Windows XP 和 Windows 2000 提供之 ADM 檔案中的所有組策略設定,也適用於 Windows Vista 和 Windows Server 2008 ADMX 檔案。
升級具有 ADMX 檔案修訂的 PolicyDefinitions 資料夾可能會很困難。 原因是某些設定已被取代,有些則已新增。 一般而言,新增設定的效果最低。 不過,取代設定通常會導致預先設定的組策略保留無法再變更的設定。 通常,來自新 ADMX 檔案的這些備援設定類型會列為設定報告中的額外登錄設定。 這些設定仍會套用至生產環境,但系統管理員無法再將其開啟或關閉。
若要管理這種情況,如果不再需要組策略,系統管理員可以刪除組策略。 或者,他們可以將舊版 ADMX 範本複製到 PolicyDefinitions 資料夾。 它可讓設定再次受到管理。 但稍後修訂 ADMX 範本的新設定會遺失。
Windows 10 組建 1607 中的已知 ADMX 檔案內容變更問題
| 檔案名稱 | 變更 | 可能的效果 |
|---|---|---|
| DataCollection.admx | 已將原則設定 Allow Telemetry 類別值從 計算機 變更為 [兩者] |
此 ADMX 首次出現在 Windows 10 RTM 中,並設定為 RTM 和 1511 修訂中的電腦。 在組建1607中,類別已變更為[兩者]。 這表示此設定同時適用於登錄的 [使用者] 和 [計算機] 端。 因為它是現有設定的延伸模組,所以這項變更沒有預期的效果。 |
| DeliveryOptimization.admx | 已將 [原則] 設定 [下載模式] [下載模式 ] 組態專案從 [ 無 ] 變更為 [僅限 HTTP] | 這項變更只是顯示文字變更。 基礎值與先前的 ADMX 檔案組建相同。 因此,對生產組策略沒有任何影響。 |
| inetres.admx | 已移除 [在因特網選項上顯示內容建議程式] 原則設定 | 此設定已從 ADMX 檔案的 1607 組建淘汰,該檔案已存在 2012 年前和 Windows 8。 此設定仍會根據下列條件進行設定:
|
| MicrosoftEdge.admx | 下列 15 個設定已從電腦變更為 [兩者] 類別:
|
此 ADMX 首次出現在 Windows 10 RTM 中,並設定為 RTM 和 1511 修訂中的 Machine 。 在組建1607中,類別已變更為[兩者]。 這表示此設定同時適用於登錄的 [使用者] 和 [計算機] 端。 因為它是現有設定的延伸模組,所以這項變更沒有預期的效果。 |
| WindowsDefender.admx | 已移除的原則設定 定義用於記錄的偵測事件速率 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx | 已移除原則設定 IP位址範圍排除 專案和 埠號碼排除專案 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx | 已移除原則設定 輸出流量的處理程式排除專案 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx | 已移除原則設定 威脅標識碼排除專案 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx: | 已移除原則設定 [開啟 資訊保護 控件] | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx | 已移除原則設定 開啟網路保護以防止已知弱點的惡意探索 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsDefender.admx | 已變更原則設定 隱藏 enabledValue=0 和 disabledValue=1 的所有通知 (UX_Configuration_Notification_Suppress) 啟用和停用值到 enabledValue=1 和 disabledValue=0 | 此變更發生在組建 1607 上,與組建 1511 和先前版本不同。 此變更可讓此設定如預期般運作,因為若要先前啟用此設定,則必須停用此設定。 升級的影響是:如果設定設定且 PolicyDefinitions 已升級至 1607,則設定會自動還原為先前設定的相反設定。 請參閱 附錄 1 Windows Defender |
| WindowsDefender.admx | 已移除原則設定 設定本機設定覆寫以關閉入侵預防系統 | 此設定已從 ADMX 檔案淘汰。 此設定仍會根據下列條件進行設定:
|
| WindowsExplorer.admx | 已變更原則設定 設定 Windows SmartScreen (EnableSmartScreen),已取代下拉式清單專案以啟用/停用設定專案。 | 此設定已從舊版變更,特別是啟用智慧型手機畫面的選項,但在執行下載的未知軟體之前,需要系統管理員核准才已被取代。 如果先前已設定此設定,在 ADMX 升級之後,它將會變成無法管理。 如果啟用此設定,但智慧型手機畫面已停用,則升級之後會停用整個設定。 請參閱 附錄 2 Windows 檔案總管 |
| WindowsUpdate.admx | 已移除原則設定延遲升級和更新 (DeferUpgrade),由更詳細的原則設定取代 (DeferFeatureUpdates、 DeferQualityUpdates、 ExcludeWUDriversInQualityUpdateActiveHours、 ) |
延遲升級選項會根據 Windows 10 RTM 提供,並在組建 1607 上變更。 一旦設定好設定,並將 PolicyDefinitions 資料夾升級為組建 1607,設定就會變成無法管理。 已設定的設定會維持設定。 但是,若不使用下列其中一種方法,就無法變更它:
請參閱 附錄 3 Windows Update |
Windows 10 組建 1511 中的已知 ADMX 檔案內容變更問題
| 檔案名稱 | 變更 | 可能的效果 |
|---|---|---|
| Explorer.admx | 已移除原則設定 關閉軟登陸說明提示 (DisableSoftLanding) | 此設定已從 Window 10 RTM ADMX 檔案淘汰,且不存在於 2012 R2 中。 如果設定已部署至生產環境,且 ADMX 已升級,則設定會維持設定。 但是,若不使用下列其中一種方法,就無法變更它:
|
| inetres.admx | 已移除原則設定 防止在網址列 上設定最上層搜尋 (TopResultPol) (計算機/Windows 元件/IE/因特網設定/進階設定/搜尋) | 此設定已從 ADMX 檔案淘汰。 如果設定已部署至生產環境,且 ADMX 已升級,則設定會維持設定。 但不需要使用自定義ADMX或刪除儲存設定的整個原則,就無法變更。 |
| LocationProviderAdm.admx | 已取代新檔名 LocationProviderAdm.admx 的 Microsoft-Windows-Geolocation-WLPAdm.admx | 當您從 Windows 10 RTM 升級至 Windows 10 版本 1511 時,會將新的 LocationProviderAdm.admx 檔案複製到資料夾,同時保留舊的 Microsoft-Windows-Geolocation-WLPAdm.admx 檔案。 因此,有兩個 ADMX 檔案可尋址相同的原則命名空間。 這會產生錯誤。 當您在 Windows 中編輯原則時,請參閱 「『Microsoft.Policies.Sensors.WindowsLocationProvider』 已定義」錯誤 |
| MicrosoftEdge.admx | 已移除的原則設定 可讓您執行腳本,例如 JavaScript (AllowActiveScripting ) (計算機) | 此設定已從 ADMX 檔案淘汰。 如果設定已部署至生產環境,且 ADMX 已升級,則設定會維持設定。 但是,如果沒有使用自定義ADMX或刪除儲存設定的整個原則,它將無法變更。 |
| MicrosoftEdge.admx | 下列九個設定已從 [兩者] 變更為 [計算機] 類別:
|
從 [兩者 ] 變更為 [計算機 ] 表示: 設定會從原則的 User 和 Machine 端套用到僅限 Machine 端的設定範圍。 如果已在用戶端設定原則,您就無法在ADMX升級之後再次變更使用者端設定。 不過,設定仍會維持設定。 |
| ParentalControls.admx | 已在此ADMX組建中移除 | 從最新的範本組建中移除 ADMX 時,可能已從舊版檔案設定的所有設定都會停滯不前。 PolicyDefinitions如果資料夾已升級,則現有的上一個檔案仍然存在。 所以,沒有作用。 如果下列條件成立,設定仍會存在且正常運作:
|
| WindowsStore.admx | 已新增,直接取代 WinStoreUI.admx (從 Windows 2012/8 RTM ADMX 取得,且不存在於 2012 R2/8.1) | 名為 Software\Policies\Microsoft\WindowsStore 且其值為 EnableWindowsStoreOnWTG 的密鑰中的 EnableWindowsStoreOnWTG 設定已被取代。 它可防止設定重新設定,而不需要使用自定義 ADMX 或刪除儲存設定的整個原則。 此外,DisableAutoDownload 設定值會從 3 (winStoreUI) 變更為 4 (WindowsStore)。 它會導致取代原始設定,並出現在額外的登錄設定之下。 它也會導致原始設定變成不可變更。 不過,它仍會設定。 請參閱 附錄 4 WinStoreUI 升級至 WindowsStore。 如果這兩個檔案同時存在,GPMC 就無法載入。 這是因為這兩個檔案的命名空間也是重複的。 產生 'Microsoft.Policies.WindowsStore' 設定 reportNamespace 時,它會導致錯誤,已定義為存放區中另一個檔案的目標命名空間。 檔案 \\<Domain Name>\SysVol<DomainName>\Policies\PolicyDefinitions\WinStoreUI.admx,第 4 行,欄 80 |
Windows 10 RTM 中的已知 ADMX 檔案內容變更問題
| 檔案名稱 | 變更 | 可能的效果 |
|---|---|---|
| AppXRuntime.admx | 已變更原則 允許Microsoft帳戶成為選擇性 類別值,從 [兩者 ] 變更為 [計算機] | 這表示已將設定範圍從原則的 [使用者] 和 [計算機] 端套用至 [計算機]。 如果已在用戶端設定原則,您就無法在ADMX升級之後再次變更使用者端設定。 不過,設定仍會維持設定。 |
| ErrorReporting.admx | 已移除原則設定 自動傳送作業系統產生的錯誤報告記憶體傾印 (WerAutoApproveOSDumps_1 (使用者設定), WerAutoApproveOSDumps_2 (電腦設定) | 如果 ADMX 已從 Windows Server 2012 R2 版本就地升級,您就無法再次變更設定。 設定會維持設定。 不過,您無法在沒有使用自定義 ADMX 的情況下變更它,或刪除儲存設定的整個原則。 |
| ErrorReporting.admx | 已移除原則設定 [設定預設同意 ] (WerDefaultConsent_1 (使用者設定), WerDefaultConsent_2 (計算機設定) | 將 ErrorReporting.ADMX 從 2012 R2 修訂取代為 Windows 10 RTM 版本之後,您會看到下列錯誤: 登錄值 DefaultConsent 是非預期的類型。 若要解決此問題,請移除組策略,然後使用新的 ADMX 範本,將設定重建至新的原則。 請參閱 附錄 5 錯誤報告 |
| inetres.admx | 已移除原則設定 允許 Internet Explorer 使用 SPDY/3 網路協定 | 此設定已從 2012 R2 ADMX 檔案淘汰。 如果設定已部署至生產環境,且 ADMX 已升級,則設定會維持設定。 不過,您無法在沒有使用自定義 ADMX 的情況下變更它,或刪除儲存設定的整個原則。 |
| NAPXPQec.admx | ADMX 檔案已被取代。 | 從範本的 RTM 組建中移除 ADMX 時,可能已從舊版檔案設定的所有設定都會變成停滯狀態。 如果 PolicyDefinitions 資料夾已升級,現有的先前檔案仍存在。 所以,沒有作用。 如果下列條件成立,這些設定仍然存在且正常運作:
|
| NetworkProjection.admx | ADMX 檔案已被取代。 | 當 ADMX 從範本的 RTM 組建中移除時,可能已從舊版檔案設定的所有設定都會停滯不前。 如果 PolicyDefinitions 資料夾已升級,則現有的上一個檔案仍會存在,因此不會有任何作用。 如果下列條件成立,這些設定仍然存在且正常運作:
|
| PswdSync.admx | 此檔案已移除,現在僅透過伺服器操作系統傳遞 | 當 ADMX 從範本的 RTM 組建中移除時,可能已從舊版檔案設定的所有設定都會停滯不前。 如果 PolicyDefinitions 資料夾已升級,則現有的上一個檔案會維持存在,因此不會有任何作用。 如果下列條件成立,這些設定仍然存在且正常運作:
|
| SkyDrive.admx | 從 2012 R2 修訂開始,此檔案有許多變更,但所有從 Skydrive 變更為 OneDrive 的參考,相關登錄位置也會變更。 以下是一些範例: 1.將 policyNamespace 從 “target prefix=”skydrive“ namespace=”Microsoft.Policies.Skydrive“” 變更為 “target prefix=”onedrive“ namespace=”Microsoft.Policies.OneDrive“” 2. 已將類別 Skydrive 變更為 OneDrive 3.已變更原則 防止使用 OneDrive 儲存盤案的 OneDrive 登錄機碼 () 從 Skydrive 登錄機碼 ( Software\Policies\Microsoft\Windows\OneDriveSoftware\Policies\Microsoft\Windows\Skydrive) |
在 Windows 10 RTM 版本的 Skydrive.admx 取代檔案的 2012 R2 修訂之後,Skydrive 元件的所有控制權都會取代為 OneDrive 版本設定。 如果您仍在使用 Skydrive 應用程式,這些設定仍會套用。 不過,它們將無法管理,而不需要使用自定義 ADMX 或復原 2012 R2 版本的範本。 |
| Snis.admx | 此檔案已移除,現在僅透過伺服器操作系統傳遞 | 當 ADMX 從範本的 RTM 組建中移除時,可能已從舊版檔案設定的所有設定都會停滯不前。 如果 PolicyDefinitions 資料夾已升級,則現有的先前檔案會維持存在。 所以,沒有作用。 如果下列條件成立,這些設定仍然存在且正常運作:
|
| TerminalServer.admx | 已變更原則設定 使用 RemoteFX 時優化視覺體驗 (TS_RemoteDesktopVirtualGraphics),已從 ... 移除輸入錯誤...ScreeenImageQuality... 至 ...ScreenImageQuality... | 此設定已在內部變更,其名稱參考只會用來將ADMX檔案連結至ADML內容。 這項變更不會影響設定的實際設定,或原則中的設定使用。 |
| WinStoreUI.admx | ADMX 檔案已被取代。 | 此檔案已從 Windows 10 RTM 中移除。 如果使用 Windows Server 2012 R2 設定Microsoft市集,這些設定將會變成額外的登錄設定。 這些設定仍然存在且功能正常。 但是,您無法在沒有使用自定義 ADMX 的情況下重新設定它們,或刪除儲存設定的整個原則。 注意:此檔案已在 Windows 10 組建 1511 中取代為 WindowsStore.ADMX 檔案。 在下一節中閱讀該檔案的詳細數據。 |
ADMX 來源檔案參考
| 檔案名稱 | 參考組建 | 修訂編號 | 數位訊號日期 |
|---|---|---|---|
| Windows8-Server2012ADMX-RTM.msi | RTM | {EEDEB0DE-8C60-4EB6-A04D-7B3C5E121D03} | 2013 年 1 月 24 日星期四 下午 10:08:25 |
| Windows8.1-Server2012R2ADMX-RTM.msi | RTM | {4AED4C7A-9B51-445C-9066-91F3CEE0E690} | 2013 年 11 月 25 日星期一 上午 2:09:46 |
| Windows10-ADMX.msi | RTM | {79A07922-2B64-445E-B6DD-5578B607A411} | 2015年8月3日星期一上午6:07:15 |
| Windows10_Version_1511_ADMX.msi | 1511 | {095735F1-0D68-4941-A4CE-16BDEC8CAF21} | 2015年11月17日星期二上午7:38:18 |
| Windows 10 和 Windows Server 2016 ADMX.msi | 1607 | {7848F166-A24F-4AE3-AEC9-6622770F8A85} | 2016年12月19日星期一 下午2:07:42, |
其他參考
- 如何在 Windows 中建立和管理組策略系統管理範本的中央存放區
- 管理組策略 ADMX 檔案逐步指南
- 當您在 Windows 中編輯原則時,“'Microsoft.Policies.Sensors.WindowsLocationProvider' 已定義”錯誤
- ADMX 版本歷程記錄
- 在 Excel 電子表格中,ADMX/L 檔案之間的內容差異如下: https://go.microsoft.com/fwlink/?linkid=829685。
附錄
附錄 1 Windows Defender
ADMX 升級至 1607d 之後的相同設定 (未編輯原則)
![顯示 [隱藏所有通知原則] 已停用的螢幕快照。](media/known-issues-for-group-policy-clients/windows-defender-2.png)
附錄 2 Windows 檔案總管
如果已啟用 SmartScreen 設定,且 已選取 [執行下載的未知軟體 ] 選項之前,需要系統管理員核准,您會看到:
![此螢幕快照顯示 [設定 Windows SmartScreen 原則] 已啟用,且此原則下有 1 個專案的 [挑選下列其中一個設定] 方塊。](media/known-issues-for-group-policy-clients/windows-explorer-1.png)
直接升級範本而不變更原則之後,您會看到:
![此螢幕快照顯示某些設定的顯示名稱無法在 [額外登錄設定] 下找到。此專案下會列出 3 個設定。](media/known-issues-for-group-policy-clients/windows-explorer-2.png)
如果您選取第二個選項 (“提供警告”),您會看到:
![如果您在組策略對象編輯器中選取第二個選項,[設定 Windows SmartScreen] 設定視窗的螢幕快照。](media/known-issues-for-group-policy-clients/windows-explorer-3.png)
不過,在 GPMC 的 [設定] 索引標籤中,您會看到:
![螢幕快照顯示 [設定 Windows SmartScreen 原則] 已啟用,且此原則下有 [挑選下列其中一個設定] 方塊。](media/known-issues-for-group-policy-clients/windows-explorer-4.png)
注意
[挑選下列其中一項設定] 底下未列出任何專案。
升級範本之後,您會看到:
![此螢幕快照顯示 [設定 Windows SmartScreen 原則] 已啟用,且此原則下是空的。](media/known-issues-for-group-policy-clients/windows-explorer-5.png)
您現在啟用原則並選取以停用智慧型手機畫面,如下所示:
![當您選取 [關閉 SmartScreen] 選項時,[組策略對象編輯器] 中 [設定 Windows SmartScreen] 設定視窗的螢幕快照。](media/known-issues-for-group-policy-clients/windows-explorer-6.png)
進行此設定之後,您會在報表中看到下列內容:
![顯示 [設定 Windows SmartScreen 原則] 已啟用的螢幕快照。關閉 SmartScreen 列在 [挑選下列其中一個設定] 方塊底下。](media/known-issues-for-group-policy-clients/windows-explorer-7.png)
將範本升級為組建 1607 之後,設定報告會如下所示:
![顯示 [設定 Windows SmartScreen 原則] 已停用的螢幕快照。](media/known-issues-for-group-policy-clients/windows-explorer-8.png)
如果您現在編輯設定,您會看到:
![組策略對象編輯器中 [設定 Windows SmartScreen 設定] 視窗的螢幕快照。值設定為 Disabled。](media/known-issues-for-group-policy-clients/windows-explorer-9.png)
附錄 3 Windows Update
將原則定義升級至至少 Windows 10 RTM 組建,並設定 Windows Update 設定以延遲升級之後,您會看到:
將 PolicyDefinitions 資料夾升級為組建 1611 之後,設定會變成額外的登錄設定,如下所示:
![此螢幕快照顯示某些設定的顯示名稱無法在 [額外登錄設定] 下找到。此專案下會列出5個設定。](media/known-issues-for-group-policy-clients/windows-update-2.png)
附錄 4 WinStoreUI 升級至 WindowsStore
使用 ADMX 的 Windows Server 2012 R2 組建啟用Microsoft市集選項會提供報告:
在中央存放區中將 ADMX 檔案取代為組建 1511 之後,您會看到:
![此螢幕快照顯示 [關閉市集應用程式原則] 已啟用,且無法在 [額外登錄設定] 下找到某些設定的顯示名稱。列出 7 個設定。](media/known-issues-for-group-policy-clients/winstoreui-upgrade-to-windowsstore-2.png)
附錄 5 錯誤報告
在 Windows Server 2012 R2 中,如果您啟用 [ 設定預設同意],您會收到下列報告:
![此螢幕快照顯示 [關閉設定預設同意原則] 已啟用。此原則底下的方塊會顯示同意層級為 [傳送所有數據]。](media/known-issues-for-group-policy-clients/error-reporting-1.png)
如果取代 errorreporting.admx,報表會如下所示:
您也可以看到影像:
移除 WinStoreUI 並新增 WindowsStore 之後,您會看到:
![此螢幕快照顯示 [關閉市集應用程式原則] 已啟用,且無法在 [額外登錄設定] 下找到某些設定的顯示名稱。列出 2 個設定。](media/known-issues-for-group-policy-clients/error-reporting-4.png)
在原則定義資料夾中同時存在 ADMX/L 範本之後,您會看到:
