Обновляем ADMX шаблоны групповых политик в центральном доменном хранилище до уровня Windows 8.1 и Windows Server 2012 R2

На первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\

Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).

Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:

• Windows 8.1 RTM English (32 или 64 бита)
• Windows 8.1 RTM Russian (32 или 64 бита)
• Windows Server 2012 R2 RTM English
• Windows Server 2012 R2 RTM Russian

Создадим структуру временных папок, например C:\Temp\ADMX , в которой подкаталоги \W81_EN , \W81_RU , \WS2012R2_EN , \WS2012R2_EN , \WS2012R2_RU будут использоваться для извлечения ADMX/ADML файлы из соответствующих систем а подкаталог \WIM будет использоваться для временного монтирования WIM-образов из состава дистрибутивов соответствующих систем.

Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:

1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.

Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English. Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:

При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\

Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним

В данном примере нас интересует система с индексом 4. Монтируем эту систему в режиме «только чтение» во временную папку \WIM командой:

Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\

Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:

Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:

Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:

\W81_EN — 173 файла ADMX, 173 файла ADML в подкаталоге en-US
\W81_RU — 173 файла ADMX, 173 файла ADML в подкаталоге ru-RU

\WS2012R2_EN — 176 файлов ADMX, 176 файлов ADML в подкаталоге en-US
\WS2012R2_RU — 176 файлов ADMX, 174 файла ADML в подкаталоге ru-RU и 2 файла ADML в подкаталоге en-US

Проверка показала, что 167 одноимённых файлов ADMХ во всех 4 подкаталогах одинаковы по своему содержимому, но по другим файлам между клиентскими и серверными ОС есть различия. Ч тобы было понятно, зачем мы собираем шаблоны групповых политик с разных систем (клиентских и серверных), — приведём простой пример сравнения шаблонов, которые мы извлекли из этих систем.

Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0

В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:

…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:

Проанализировав ситуацию, собираем все файлы из 4 подкаталогов в один общий подкаталог, например C:\Temp\ADMX\W81_WS2012R2\ . В конечном счете у меня получилось в этом каталоге 182 *.ADMX файла, и 182 *.ADML файла в подкаталоге en-US и 180 *.ADML файлов в подкаталоге ru-RU

Обновление/установка административных шаблонов групповых политик (ADMX)

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
4. Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);
5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Административные шаблоны для windows server 2012 r2

Добрый день! Уважаемые коллеги и пользователи одного из популярнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему с черным экраном Windows 10, где я получил много благодарственных комментариев. Движемся дальше и сегодня мы поговорим, что такое центральное хранилище административных шаблонов групповой политики, рассмотрим для чего все это нужно и как внедряется. Уверяю вас, что любой системный администратор у которого есть структура AD просто обязан использовать данную вещь. Уверен, что вам будет интересно.

Для чего придумали центральное хранилище административных шаблонов

Если вы управляли групповой политикой в ​​домене Active Directory в течение какого-то времени, то вам, вероятно, нужно будет в какой-то момент установить файлы ADMX для поддержки нового или обновленного приложения. например Google Chrome, Microsoft Office или Mozilla Firefox, которые по умолчанию не идут. Если вы находитесь в небольшой среде или у вас только несколько администраторов групповой политики, процесс обновления довольно прост: Вы копируйте новые файлы ADMX в папку C:\Windows\ PolicyDefinitions\ на станции управления, копируйте файлы ADML в правильную языковую подпапку, и все готово. Затем, если у вас есть другие администраторы групповой политики, убедиться, что файлы разосланы и им. Но когда у вас компьютеров в сети много или очень много, такое ручное копирование новых файлов ADMX становится весьма трудоемким процессом. Сама Active Directory задумывалась, как централизованная база данных и тут ключевое слово «Централизованное». Из чего следует вывод, что нам нужно как-то централизованно управлять административными шаблонами и и применять их к клиентским и серверным компьютерам.

Проблема заключается в том, что поддерживать файлы ADMX и ADML обновленными в очень большом количестве систем сложно. Если у вас много людей, управляющих групповой политикой, это практически невозможно. Даже если вы имеете дело только с одной станцией управления, если вы забудете скопировать содержимое папки PolicyDefinitions на новый компьютер, это может привести к появлению страшного списка «Дополнительные параметры реестра» в следующий раз, когда вам потребуется изменить объект групповой политики (GPO), потому что Консоль управления групповой политикой (GPMC) не может найти файлы ADMX и ADML, необходимые для правильного отображения параметров.

Именно здесь центральное хранилище групповой политики (Group Policy Central Store) может быть полезно вам и вашей организации. Центральное хранилище — это хранилище файлов ADMX и ADML, которые хранятся в папке SYSVOL вашего домена. Когда центральное хранилище настроено для домена, станции управления используют папку PolicyDefinitions в центральном хранилище вместо своей локальной копии файлов ADMX/ADML в C:\Windows\PolicyDefinitions\. Это дает вам одно место для обновления и гарантирует, что все администраторы групповой политики используют один и тот же набор файлов ADMX/ADML без необходимости распространять обновления на несколько компьютеров или серверов.

Что такое административный шаблон

Административные шаблон — это специализированный, текстовый файл, задачей которого выступает управление изменениями реестра на рабочих станциях Windows, для пользователя и компьютера. Данный файл посредством графической консоли «Управление групповой политикой (GPME)» позволяет в удобном виде менять данные настройки, которые потом по выбранному фильтру, будут применены к объекту пользователя, компьютера или обоим сразу. Данные административные шаблоны могут распространятся для разных программных продуктов отдельно и не быть в составе операционной системы Windows по умолчанию. Начиная с Windows Vista, Windows Server 2008 и выше административные шаблоны состоят из двух файлов XNL.

Сравнение расположения локальных ADM- и ADMX-файлов

Начиная с Windows Vista и дальше, параметры административных шаблонов GPO будут располагаться в виде файлов ADMX, локально на компьютере. ADMX файлы теперь будут лежать в другом каталоге, в отличие от старых ADM-файлов.

• ADM-файл лежит по пути %systemroot%\inf
• Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\policyDefinitions
• Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\policyDefinitions\[MUIculture]

Расположение ADMX-файлов доменных политик

• Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions
• Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture]

Как создать центральное хранилище административных шаблонов GPO

Когда я только начинал свой жизненный путь в системном администрировании и знакомился с групповыми политиками, меня уже тогда привлекала внимание надпись «Административные шаблоны получены определения политик (ADMX-файлы) с локального компьютера», после чего я заинтересовался данной темой, о которой прочитал в книге «Настройка Active Directory. Windows Server 2008 (70-640)»

Чтобы создать центральное хранилище, нам нужно создать новую папку на контроллере домена (DC). Технически, не имеет значения, какой DC вы используете; однако если у вас много администраторов групповой политики или если некоторые контроллеры домена медленно реплицируются, вы можете рассмотреть возможность выполнения этого на эмуляторе PDC, поскольку консоль управления групповыми политиками предпочитает подключаться к нему по умолчанию при редактировании групповой политики.

На DC нам нужно создать новую папку PolicyDefinitions по пути:

Создаем тут новую папку с именем PolicyDefinitions.

То же самое можно выполнить и через командную строку, введя вот такую команду:

Далее нам нужно скопировать все наши файлы ADMX и ADML в центральное хранилище. Напоминаю, что каждая операционная система имеет свои административные шаблоны, Windows 7 свои, Windows 8.1 свои, Windows Server 2012 R2 свои. Так как у меня мой тестовый контроллер домена находится на Windows Server 2012 R2, то я начну с него. Откройте папку C:\Windows\PolicyDefinitions и скопируйте ее содержимое в виде ADMX файлов и языковых пакетов в нашу новую папку \\root\SYSVOL\root.pyatilistnik.org\Policies \ PolicyDefinitions. Выделяем нужные файлы и переносим их в папку PolicyDefinitions.

В итоге мои административные шаблоны от Windows Server 2012 R2 попали в мое центральное хранилище GPO.

Как добавить самые свежие версии административных шаблонов

Чтобы иметь возможность добавить самые последние версии ADMX файлов, у вас есть два пути:

• Первый это установить нужную операционную систему, обновить ее полностью, и после это уже скопировать ее содержимое из папки C:\Windows\PolicyDefinitions в вашу папку центрального хранилища административных шаблонов.
• Второй путь, это быстро скачать самые свежие версии с сайта Microsoft и просто все установить, мне кажется, что второй путь самый простой и быстрый.

Начинаем установку нужных вам административных шаблонов.

Принимаем лицензионное соглашение

Обращаем на каталог установки ваших административных шаблонов, именно из данного расположения вы будите копировать в вашу новую папку PolicyDefinitions

Не длительный процесс установки.

Выделяем нужные языки и файлы ADMX и копируем их к вам в центральное хранилище.

Теперь если попробовать отредактировать любой объект GPO вы увидите уже такую надпись: «Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища«