Рекомендации по управлению групповая политика файлами административных шаблонов (ADM)
В этой статье описывается, как работают файлы ADM, параметры политики, доступные для управления их работой, а также рекомендации по обработке распространенных сценариев управления файлами ADM.
Применимо к: Windows Server (все поддерживаемые версии), клиент Windows (все поддерживаемые версии)
Исходный номер базы знаний: 816662
Примечание.
Для управления инфраструктурой групповая политика с помощью центрального хранилища рекомендуется использовать Windows, выпущенную позже Windows Vista. Эта рекомендация действует, даже если в среде имеется сочетание клиентов и серверов нижнего уровня, таких как компьютеры под управлением Windows XP или Windows Server 2003. Windows Vista использует новую модель, которая использует файлы ADMX и ADML для управления шаблонами групповая политика.
Для получения дополнительных сведений посетите указанные ниже веб-сайты:
- Развертывание групповая политика с помощью Windows Vista
- Создание центрального хранилища для файлов административных шаблонов групповая политика в Windows Vista
Если для управления инфраструктурой групповая политика необходимо использовать компьютеры под управлением Windows XP или Windows Server 2003, ознакомьтесь с рекомендациями в этой статье.
Общие сведения о файлах ADM
Файлы ADM — это файлы шаблонов, которые используются групповыми политиками для описания места хранения параметров политики на основе реестра в реестре. Файлы ADM также описывают пользовательский интерфейс, который администраторы видят в оснастке групповая политика object Редактор. групповая политика Объектный Редактор используется администраторами при создании или изменении объектов групповая политика (GPO).
Хранилище файлов ADM и значения по умолчанию
В папке Sysvol каждого контроллера домена каждый объект групповой политики домена поддерживает одну папку, и эта папка называется шаблоном групповая политика (GPT). В GPT хранятся все файлы ADM, которые использовались в групповая политика объектных Редактор, когда объекты групповой политики были созданы или изменены в последний раз.
Каждая операционная система включает стандартный набор файлов ADM. Эти стандартные файлы по умолчанию загружаются групповая политика object Редактор. Например, Windows Server 2003 включает следующие файлы ADM:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
Пользовательские файлы ADM
Пользовательские файлы ADM могут создаваться разработчиками программ или ИТ-специалистами, чтобы расширить использование параметров политики на основе реестра для новых программ и компонентов.
Примечание.
Программы и компоненты должны быть разработаны и закодированы для распознавания параметров политики, описанных в файле ADM, и реагирования на них.
Чтобы загрузить файлы ADM в Редактор объектов групповая политика, выполните следующие действия.
Запустите Редактор объекта групповая политика.
Щелкните правой кнопкой мыши административные шаблоны и выберите пункт Добавить и удалить шаблоны.
Примечание.
Административные шаблоны доступны в разделе Конфигурация компьютера или пользователя. Выберите правильную конфигурацию для пользовательского шаблона.
Нажмите кнопку Добавить.
Щелкните ADM-файл и нажмите кнопку Открыть.
Нажмите кнопку Закрыть.
Настраиваемые параметры политики файлов ADM теперь доступны в групповая политика Object Редактор.
Обновление файлов ADM и меток времени
Каждая административная рабочая станция, используемая для запуска групповая политика object Редактор хранит файлы ADM в папке %windir%\Inf. При создании и первом редактировании объектов групповой политики файлы ADM из этой папки копируются во вложенную папку Adm в GPT. Сюда входят стандартные файлы ADM и все пользовательские файлы ADM, добавленные администратором.
Примечание.
Создание объекта групповой политики без последующего редактирования этого объекта групповой политики создает GPT без файлов ADM.
По умолчанию при изменении объектов групповой политики групповая политика Object Редактор сравнивает метки времени файлов ADM в папке %windir%\Inf рабочей станции с теми, которые хранятся в папке Adm групповой политики. Если файлы рабочей станции более новые, групповая политика Object Редактор копирует эти файлы в папку GPT Adm, перезаписав все существующие файлы с тем же именем. Это сравнение происходит, когда узел Административные шаблоны (конфигурация компьютера или пользователя) выбран в групповая политика Объектная Редактор, независимо от того, действительно ли администратор изменяет объект групповой политики.
Примечание.
Файлы ADM, хранящиеся в GPT, можно обновить, просмотрев объект групповой политики в Редактор объектов групповая политика.
Из-за важности меток времени для управления файлами ADM редактирование файлов ADM, предоставляемых системой, не рекомендуется. Если требуется новый параметр политики, корпорация Майкрософт рекомендует создать пользовательский ADM-файл. Это предотвращает замену системных файлов ADM при выпуске пакетов обновления.
Консоль управления групповыми политиками
По умолчанию консоль управления групповая политика (GPMC) всегда использует локальные файлы ADM, независимо от их метки времени, и никогда не копирует файлы ADM в Sysvol. Если файл ADM не найден, GPMC ищет ADM-файл в GPT. Кроме того, пользователь GPMC может указать альтернативное расположение для файлов ADM. Если указано альтернативное расположение, это альтернативное расположение имеет приоритет.
Репликация объекта групповой политики
Служба репликации файлов (FRS) реплицирует объекты групповой политики для объектов групповой политики по всему домену. В рамках GPT вложенная папка Adm реплицируется во все контроллеры домена в домене. Так как в каждом объекте групповой политики хранится несколько ADM-файлов, а некоторые из них могут быть довольно большими, необходимо понимать, как файлы ADM, добавляемые или обновляемые при использовании групповая политика объектных Редактор, могут влиять на трафик репликации.
Использование параметров политики для управления обновлениями файлов ADM
Две области параметров политики, доступные для управления файлами ADM. Эти параметры позволяют администратору настраивать использование ADM-файлов для определенной среды. Это параметры "Отключить автоматическое обновление файлов ADM" и "Всегда использовать локальные файлы ADM для групповая политика Редактор".
Отключение автоматического обновления файлов ADM
Этот параметр политики доступен в разделе Конфигурация пользователя\Административные шаблоны\System\групповая политика в Windows Server 2003, Windows XP и Windows 2000. Этот параметр можно применить к любому клиенту с поддержкой групповая политика.
Всегда используйте локальные файлы ADM для редактора групповая политика
Этот параметр политики доступен в разделе Конфигурация компьютера\Административные шаблоны\Система\групповая политика. Это новый параметр политики. Он может быть успешно применен только к клиентам Windows Server 2003. Параметр может быть развернут на более старых клиентах, но он не повлияет на их поведение. Если этот параметр включен, Редактор объект групповая политика всегда использует локальные файлы ADM в папке %windir%\Inf в локальной системе при редактировании объекта групповая политика.
Примечание.
Если этот параметр политики включен, подразумевается параметр политики Отключить автоматическое обновление файлов ADM.
Распространенные сценарии и рекомендации по проблемам многоязычного администрирования
В некоторых средах параметры политики могут быть представлены в пользовательском интерфейсе на разных языках. Например, администратор в США может захотеть просмотреть параметры политики для определенного объекта групповой политики на английском языке, а администратору во Франции может потребоваться просмотреть тот же объект групповой политики, используя французский в качестве предпочтительного языка. Так как GPT может хранить только один набор ADM-файлов, вы не можете использовать GPT для хранения ADM-файлов для обоих языков.
В Windows 2000 использование локальных файлов ADM групповая политика Object Редактор не поддерживается. Чтобы обойти эту проблему, используйте параметр политики "Отключить автоматическое обновление файлов ADM". Так как этот параметр политики не влияет на создание новых объектов групповой политики, локальные файлы ADM будут передаваться в GPT в Windows 2000, а создание объекта групповой политики в Windows 2000 фактически определяет "язык объекта групповой политики". Если параметр политики "Отключить автоматическое обновление файлов ADM" действует на всех рабочих станциях Windows 2000, язык файлов ADM в GPT будет определяться языком компьютера, используемого для создания объекта групповой политики.
Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики "Всегда использовать локальные файлы ADM для редактора групповая политика". Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на рабочей станции (французский), независимо от файла ADM, хранящегося в GPT. При использовании этого параметра политики подразумевается, что параметр политики "Отключить автоматическое обновление файлов ADM" включен, чтобы избежать ненужных обновлений файлов ADM в GPT.
Кроме того, рассмотрите возможность стандартизации последней операционной системы майкрософт для административных рабочих станций в многоязыковой административной среде. Затем настройте параметры политики "Всегда использовать локальные файлы ADM для редактора групповая политика" и "Отключить автоматическое обновление файлов ADM".
Если используются рабочие станции Windows 2000, используйте параметр политики "Отключить автоматическое обновление файлов ADM" для администраторов и рассмотрите файлы ADM в GPT как эффективный язык для всех рабочих станций Windows 2000.
Примечание.
Рабочие станции Windows XP могут по-прежнему использовать локальные версии, зависящие от языка.
Распространенные сценарии и рекомендации по проблемам с выпуском операционной системы и пакета обновления
Каждый выпуск операционной системы или пакета обновления включает в себя надмножество файлов ADM, предоставляемых более ранними выпусками, включая параметры политики, характерные для операционных систем, которые отличаются от параметров новой версии. Например, файлы ADM, предоставляемые с Windows Server 2003, включают все параметры политики для всех операционных систем, включая те, которые относятся только к Windows 2000 или Windows XP Professional. Это означает, что только просмотр объекта групповой политики с компьютера с новым выпуском операционной системы или пакета обновления эффективно обновляет файлы ADM. Так как более поздние выпуски обычно являются надмножеством предыдущих файлов ADM, это обычно не создает проблем, если используемые файлы ADM не были изменены.
В некоторых ситуациях выпуск операционной системы или пакета обновления может включать подмножество файлов ADM, которые были предоставлены в более ранних выпусках. Это может представить более раннее подмножество файлов ADM, в результате чего параметры политики больше не видны администраторам при использовании групповая политика объектных Редактор. Однако параметры политики останутся активными в объекте групповой политики. Влияет только видимость параметров политики в Редактор объектов групповая политика. Все активные параметры политики (включено или отключено) не отображаются в Редактор объектов групповая политика, но остаются активными. Так как параметры не отображаются, администратор не может просматривать или изменять эти параметры политики. Чтобы обойти эту проблему, администраторы должны ознакомиться с файлами ADM, которые входят в состав каждой операционной системы или пакета обновления, прежде чем использовать групповая политика object Редактор в этой операционной системе, учитывая, что действия просмотра объекта групповой политики достаточно для обновления файлов ADM в GPT, когда сравнение меток времени определяет, что обновление является подходящим.
Чтобы спланировать это в вашей среде, корпорация Майкрософт рекомендует выполнить следующие действия:
Определите стандартную операционную систему или пакет обновления, из которых выполняется все просмотр и редактирование объектов групповой политики, убедившись, что используемые файлы ADM содержат параметры политики для всех платформ.
Используйте параметр политики "Отключить автоматическое обновление файлов ADM" для всех администраторов групповая политика, чтобы убедиться, что файлы ADM не перезаписаны в GPT любым сеансом групповая политика object Редактор, и убедитесь, что вы используете последние файлы ADM, доступные от Корпорации Майкрософт.
Примечание.
Политика "Всегда использовать локальные файлы ADM для редактора групповая политика" обычно используется с этой политикой, если она поддерживается операционной системой, из которой выполняется групповая политика object Редактор.
Удаление файлов ADM из папки Sysvol
По умолчанию файлы ADM хранятся в GPT, что может значительно увеличить размер папки Sysvol. Кроме того, частое редактирование объектов групповой политики может привести к значительному объему трафика репликации. Сочетание параметров политики "Отключить автоматическое обновление файлов ADM" и "Всегда использовать локальные файлы ADM для редактора групповая политика" может значительно уменьшить размер папки Sysvol и уменьшить трафик репликации, связанный с политикой, когда происходит значительное количество изменений политики.
Если размер тома Sysvol или трафика репликации, связанного с групповая политика, становится проблематичным, рассмотрите возможность реализации среды, в которой Sysvol не хранит файлы ADM. Или рассмотрите возможность обслуживания файлов ADM на административных рабочих станциях. Этот процесс описан в следующем разделе.
Чтобы очистить папку Sysvol от ADM-файлов, выполните следующие действия.
- Включите параметр политики "Отключить автоматическое обновление файлов ADM" для всех администраторов групповая политика, которые будут редактировать объекты групповой политики.
- Убедитесь, что эта политика применена.
- Скопируйте все пользовательские шаблоны ADM в папку %windir%\Inf.
- Измените существующие объекты групповой политики, а затем удалите все файлы ADM из GPT. Для этого щелкните правой кнопкой мыши административные шаблоны и выберите команду Добавить и удалить шаблон.
- Включите параметр политики "Всегда использовать локальные файлы ADM для групповая политика изменение объекта" для административных рабочих станций.
Обслуживание файлов ADM на административных рабочих станциях
При использовании параметра политики "Всегда использовать локальные файлы ADM для редактора групповая политика", убедитесь, что на каждой рабочей станции установлена последняя версия файлов ADM по умолчанию и пользовательских файлов ADM. Если все файлы ADM недоступны локально, некоторые параметры политики, содержащиеся в объекте групповой политики, не будут видны администратору. Избежать этого, реализовав стандартную версию операционной системы и пакета обновления для всех администраторов. Если вы не можете использовать стандартную операционную систему и пакет обновления, реализуйте процесс распространения последних файлов ADM на все административные рабочие станции.
Примечание.
- Так как файлы ADM рабочей станции хранятся в папке %windir%\Inf, любой процесс, используемый для распространения этих файлов, должен выполняться в контексте учетной записи с учетными данными администратора на рабочей станции.
- Windows XP не поддерживает редактирование объектов групповой политики, если в папке Sysvol нет файлов ADM. В динамической среде необходимо учитывать это ограничение конструкции.