Обновление/установка административных шаблонов групповых политик (ADMX)

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
4. Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);
5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Управление административными шаблонами групповых политик

Административными шаблонами (Administrative Templates) называются параметры групповой политики, основанные на изменении параметров реестра. Как вы знаете, в операционных системах Windows большинство настроек хранится в системном реестре, и с помощью административных шаблонов этими настройками можно централизованно управлять.

Административные шаблоны есть как в части пользователей, так и компьютеров. Соответственно параметры политик, указанные на стороне пользователя, применяются к пользователям, а на стороне компьютера — к компьютерам.

Примечание. Если быть более точным, то политики административных шаблонов в конфигурации компьютера модифицируют значения параметров в разделах HKLM\Software\Policies и HKLM\Software\Microsoft\WindowsCurrentVersion\Policies, а административные шаблоны в конфигурации пользователя — HKCU\Software\Policies и HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.

Давайте на практике посмотрим, что из себя представляют административные шаблоны и как они работают. Для примера возьмем первый попавшийся параметр «Disable context menus in the Start Menu», расположенный в разделе «Start Menu and Taskbar» конфигурации компьютера.

Как следует из описания, этот параметр отвечает за показ контекстного меню в меню Пуск.

Технически административные шаблоны представляют собой пару XML-файлов: не связанный с языком файл (ADMX) и набор зависящих от языка файлов (ADML). По умолчанию административные шаблоны расположены локально на компьютере, в папке C:\Windows\PolicyDefinitions. Каждый файл ADMX соответствует определенному разделу групповой политики, соответственно за раздел «Start Menu and Taskbar» отвечает файл StartMenu.admx. Откроем его в текстовом редакторе и найдем секцию, отвечающую за интересующий нас параметр.

В ней содержится имя и область применения параметра, ключ реестра, отвечающий за его настройку, а также ссылки на описание, которое находится в соответствующем языковом файле.

Переходим к языковому файлу. Для каждого языка имеется специальная папка, к примеру файлы для английского языка расположены в папке en-US. Заходим в папку с нужным языком, открываем файл StartMenu.adml и находим строки с нашим параметром. В них хранится название параметров и их описание, которое мы видим в редакторе при редактировании политики.

Ну а результатом применения данной политики будет изменение значения параметра реестра «DisableСontextMenusInStart» в разделе HKLM\Software\Policies\Microsoft\Windows\Explorer.

Таким образом, административные шаблоны представляют из себя самую обычную инструкцию в формате XML по изменению параметров реестра (ADMX) и описание изменяемых параметров, отображаемых в оснастке редактора групповой политики (ADML).

Создание центрального хранилища

До выхода Windows Server 2008 и Vista административные шаблоны имели расширение adm и представляли из себя самые обычные текстовые файлы. У таких административных шаблонов был ряд недостатков. К примеру, в многоязыковой организации требовалось создавать отдельные ADM-файлы для каждого языка, соответственно при изменении параметров приходилось редактировать каждый шаблон отдельно. Кроме того, при использовании такие шаблоны сохранялись как часть объекта групповой политики, и если шаблон использовался в нескольких политиках, то он сохранялся несколько раз. Это увеличивало размер папки SYSVOL и усложняло ее репликацию.

Переход на формат ADMX/ADML изменил ситуацию в лучшую сторону. И одним из плюсов этого перехода стала возможность создания централизованного хранилища административных шаблонов. Использование централизованного хранилища позволяет решить проблему увеличения SYSVOL, поскольку папка ADM больше не создается в каждом объекте групповой политики, а контроллеры домена не хранят и не реплицируют лишние копии ADM-файлов. Это способствует уменьшению трафика репликации SYSVOL между контроллерами домена, а кроме того упрощает процедуру управления административными шаблонами в домене.

По умолчанию редактор групповых политик загружает шаблоны из локальной папки C:\Windows\PolicyDefinitions. Для создания центрального хранилища необходимо на любом контроллере домена взять эту папку и скопировать ее в папку SYSVOL по пути \\имя домена\SYSVOL\имя домена\Policies. Так для домена test.local путь будет выглядеть как \\test.local\SYSVOL\test.local\Policies.

Если после этого открыть объект групповой политики и перейти в раздел Administrative Template, то в качестве источника шаблонов будет указано центральное хранилище (retrieved from the central store).

Файлы в центральном хранилище реплицируются на все контроллеры домена, что очень удобно при обновлении шаблонов.

Обновление шаблонов

Операционные системы Windows постоянно обновляются, получают новые возможности. И для того, чтобы этими возможностями можно было управлять с помощью групповых политик, необходимо регулярно обновлять административные шаблоны.

Для наглядности приведу пример. В Windows 10 (начиная с версии 1607) появилась возможность использовать длинные пути файлов. Политика, отвечающая за это, находится в разделе «Computer configuration\Administrative templates\System\Filesystem» и называется «Enable Win32 long paths».

Но если не обновить административные шаблоны, то нужный нам параметр по указанному пути можно и не найти.

К счастью, Microsoft регулярно выпускает обновления административных шаблонов, нам надо только найти их и установить. На данный момент наиболее свежие шаблоны это Administrative Templates (.admx) for Windows 10 May 2019 Update (1903) v3.0 .

Установщик представляет из себя обычный msi-файл, который можно запустить на любом компьютере.

После запуска надо указать папку, в которую будут распакованы шаблоны

и дождаться окончания процесса распаковки.

Полученные шаблоны надо просто скопировать в хранилище, заменив имеющиеся. Для подстраховки старые шаблоны можно сохранить. Языковые файлы нужно скопировать не все, а только нужные, например для русского и английского языка.

В результате обновления потерянный параметр появился на своем законном месте.

Добавление шаблонов

С помощью административных шаблонов можно управлять не только настройками операционной системы, но и различных приложений. К примеру, мы хотим централизованно управлять настройками программ из пакета Microsoft Office (Word, Excel. Outlook и т.д.) на клиентских компьютерах в домене.

Для этого нам потребуется загрузить с сайта Microsoft и установить специальный пакет для MS Office. Обратите внимание, что для каждой версии предназначен свой набор административных шаблонов. Если в компании используются различные версии Office, то для каждой используемой версии необходимо загружать свою версию шаблонов:

Для примера возьмем набор для Office 2016 и установим его. Принцип примерно такой же, как и при обновлении шаблонов — запускаем установщик,

выбираем папку для распаковки шаблонов

и получаем набор файлов ADMX\ADML.

В нашем примере файлы шаблонов находятся в папке admx. Берем их и копируем в общее хранилище, к остальным шаблонам.

В результате в разделе Administrative Templates добавляются новые разделы, с помощью которых можно управлять настройками офисных программ.

Таким образом можно добавлять шаблоны и для ПО от сторонних производителей, например Google Chrome, Adobe Reader и многих других. Большинство крупных разработчиков выпускают административные шаблоны для своих программ. Ну а если готового шаблона нет, то его можно создать самому, это не так уж и сложно.

Создание и управление административными шаблонами центра групповой политики в Windows

В этой статье описывается использование новых файлов .admx и .adml для создания и администрирования параметров политики на основе реестра в Windows. В этой статье также рассказывается о том, как центральный магазин используется для хранения и репликации файлов политики на основе Windows в среде домена.

Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2019, Windows Server 2012 R2, Windows 7 Пакет обновления 1
Исходный номер КБ: 3087759

Ссылки на загрузку файлов административных шаблонов на основе версии операционной системы

Чтобы просмотреть таблицы ADMX новых параметров, доступных в более поздних версиях операционной системы, см. в справочной таблице Параметры групповой политики Windows 1809.

Обзор

Файлы административных шаблонов делятся на файлы .admx и языковые файлы .adml для использования администраторами групповой политики. Изменения, реализованные в этих файлах, могут позволить администраторам настраивать один и тот же набор политик с помощью двух языков. Администраторы могут настраивать политики, используя языковые файлы .adml и языковые файлы .admx.

Хранилище файлов административных шаблонов

Windows использует Центральный магазин для хранения файлов административных шаблонов. Папка ADM не создается в объекте групповой политики (GPO), как это делается в предыдущих версиях Windows. Поэтому контроллеры домена Windows не хранят и не реплицирует избыточные копии файлов .adm.

Центральный магазин

Чтобы воспользоваться преимуществами файлов .admx, необходимо создать центральный магазин в папке sysvol на контроллере домена Windows. Центральный магазин — это расположение файла, которое по умолчанию проверяется средствами групповой политики. В средствах групповой политики используются все файлы admx, которые находятся в Центральном магазине. Файлы, которые находятся в Центральном магазине, реплицированы во все контроллеры домена в домене.

Мы предлагаем сохранить репозиторий любых файлов ADMX/L, которые у вас есть для приложений, которые вы можете использовать. Например, расширения операционной системы, такие как Пакет оптимизации Microsoft Desktop (MDOP), Microsoft Office, а также сторонние приложения, которые предлагают поддержку групповой политики.

Чтобы создать центральный магазин файлов .admx и .adml, создайте новую папку с именем PolicyDefinitions в следующем расположении (например) на контроллере домена:

Если у вас уже есть такая папка, которая имеет ранее построенный Центральный магазин, используйте новую папку с описанием текущей версии, например:

Скопируйте все файлы из папки PolicyDefinitions на исходный компьютер в новую папку PolicyDefinitions на контроллере домена. Расположение источника может быть одним из следующих:

• Папка C:\Windows\PolicyDefinitions на клиентской Windows 8.1 или windows 10
• Папка, если вы скачали любой из административных шаблонов отдельно от ссылок C:\Program Files (x86)\Microsoft Group Policy\ \PolicyDefinitions выше.

Папка PolicyDefinitions на контроллере домена Windows хранит все файлы .admx и .adml для всех языков, включенных на клиентском компьютере.

Файлы .adml хранятся в папке, определенной для языка. Например, файлы english (United States).adml хранятся в папке с именем ru-US. Корейские файлы .adml хранятся в папке с именем ko_KR и так далее.

Если необходимы файлы .adml для дополнительных языков, необходимо скопировать папку, содержаную файлы .adml для этого языка, в Центральный магазин. Если вы скопировали все файлы .admx и .adml, папка PolicyDefinitions на контроллере домена должна содержать файлы .admx и одну или несколько папок, содержащих языковые файлы .adml.

При копировании файлов .admx и .adml с компьютера на Windows 8.1 или Windows 10 убедитесь, что последние обновления этих файлов установлены. Кроме того, убедитесь, что последние файлы административных шаблонов реплицированы. Этот совет также применяется к пакетам служб, как это применимо.

Когда коллекция операционной системы будет завершена, объединяй все файлы ADMX/ADML в новую папку PolicyDefinitions.

После этого переименуем текущую папку PolicyDefinitions, чтобы отразить, что это предыдущая версия, например PolicyDefinitions-1709. Затем переименуем новую папку (например, PolicyDefinitions-1803) в производственное имя.

Мы предлагаем такой подход, так как вы можете вернуться к старой папке в случае серьезной проблемы с новым набором файлов. Если у вас нет проблем с новым набором файлов, вы можете переместить старую папку PolicyDefinitions в расположение архива за пределами папки sysvol.

Администрирование групповой политики

Windows 8.1 и Windows 10 не включают административные шаблоны с расширением .adm. Рекомендуется использовать компьютеры с Windows 8.1 или более поздними версиями Windows для выполнения администрирования групповой политики.

Обновление файлов административных шаблонов

В групповой политике для Windows Vista и более поздней версии Windows при изменении параметров политики административных шаблонов на локальных компьютерах папка sysvol не обновляется автоматически и включает новые файлы .admx или .adml. Это поведение реализуется для снижения сетевой нагрузки и требований к хранилищам дисков, а также для предотвращения конфликтов между файлами .admx и .adml при внесении изменений в параметры политики административных шаблонов в разных расположениях.

Чтобы локальные обновления отражались в папке sysvol, необходимо вручную скопировать обновленные файлы .admx или .adml из файла PolicyDefinitions на локальном компьютере в папку Sysvol\PolicyDefinitions на соответствующем контроллере домена.

Следующее обновление позволяет настроить редактор локальной групповой политики на использование локальных файлов .admx вместо Центрального магазина:

Этот параметр также можно использовать для:

• Проверьте недавно созданную папку, как на административной рабочей станции, в отношении политик домена, прежде чем скопировать ее в Центральный магазин в c:\windows\policydefinitions папке sysvol.
• Используйте старую папку PolicyDefinitions для редактирования параметров политик, не хранимых в файле ADMX в последней сборке центрального магазина. Одним из распространенных примеров являются политики, которые имеют параметры для более старых версий Microsoft Office, которые по-прежнему находятся в групповой политике. Microsoft Office имеет отдельный набор файлов ADMX/L для каждого выпуска.

Известные проблемы

После копирования шаблонов Windows 10 .admx в центральную папку sysvol и переписать все существующие файлы .admx и .adml выберите узел Политики под конфигурацией компьютера или конфигурацией пользователя. В этой ситуации вы можете получить следующее сообщение об ошибке:

Пространство имен «Microsoft.Policies.Sensors.WindowsLocationProvider» уже определено как целевое пространство имен для другого файла в магазине.
Файл
\\ \SysVol \Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, line 5, column 110

В пути в этом сообщении имя домена.

Чтобы устранить эту проблему, см. в статью «Microsoft.Policies.Sensors.WindowsLocationProvider» ошибка при редактировании политики в Windows

Обновленные файлы ADMX/L для Windows 10 версии 1803 содержат только SearchOCR.ADML. Он не совместим со старым выпуском SearchOCR.ADMX, который все еще есть в Центральном магазине. Дополнительные сведения о проблеме см. в статью «Ресурс «$(string ссылкой на атрибут displayName не удалось найти» ошибку при открывлении gpedit.msc в Windows .

Обе проблемы можно избежать путем создания нетронутой папки PolicyDefinitions из базовой папки выпуска ОС, как описано выше.