Обновление/установка административных шаблонов групповых политик (ADMX)

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
4. Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);
5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Энциклопедия Windows

Все об использовании и настройке Windows

• Windata
• »
• Windows 7
• »
• Настройка
• » Административные шаблоны в Windows 7: основы

Административные шаблоны в Windows 7: основы

“Административные шаблоны” или “Административные политики” в Windows 7 – это специально созданный файл, в котором находятся настройки реестра. Операционная система считывает эти настройки как при запуске, так и при входе пользователя.

Параметры “Административных шаблонов” находятся в Редакторе локальной групповой политики, и присутствую как в узле “Конфигурация компьютера“, так и в узле “Конфигурации пользователя“.

Так что же такое политика и как ими пользоваться

Рассмотри такое известное свойства рабочего стола Windows 7, как “Обои“. Вы можете поменять обои в любое время, так же и сменить заставку, тему. Все это пользовательские свойства. Политики, устанавливаемые администратором имеют более высокий приоритет, чем свойства пользователя. В системе приоритеты политик и свойств распределяются следующим образом:

• Политика и свойства не установлены – применяются параметры по умолчанию
• Политика не установлена, применено пользовательское свойство – система использует свойство пользователя.
• Политика установлена, свойство не используется – система будет использовать политику.
• Политика установлена и установлено пользовательское свойство – система будет использовать политику, а свойство нет

Вывод прост: если применена политика, установлена администратором, то все попытки пользователя изменить свойства останутся без результата.

Еще одно большое преимущество “Административных шаблонов” – это изменение параметров конфигурации без редактора реестра (regedit). Не надо искать в реестре раздел, имя ключа или параметра. Достаточно войти в “Редактор локальной групповой политики” и изменить состояние нужной политики, тем более, что политика управляет окружением всех пользователей. Администратору достаточно изменить состояние политики, чтобы изменения были применены для всех пользователей.

Примечание: чтобы изменять параметры в “Редакторе локальной политики“, необходимо иметь права “Администратора“.

Запуск “Редактора локальной политики”

Чтобы открыть “Редактор локальной групповой политики” нажмите кнопку Пуск – Выполнить и введите команду gpedit.msc, и нажмите клавишу ОК. В открывшемся “Редакторе локальной групповой политики” видим “Административные шаблоны” присутствуют как в “Конфигурации компьютера“, так и в “Конфигурации пользователя“. Соответственно параметры “Конфигурации компьютера” находятся в разделе HKEY_LOCAL_MACHINE\Software\Policies, а параметры “Конфигурации пользователя” в разделе HKEY_CURRENT_USER\Software\Policies.Так же параметры могут быть и в разделе SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. Доступ к этим параметрам имеют только администраторы.

Практическое применение политик

Вернемся к свойству экрана и посмотрим, как можно отключить этот параметр. Запускаем Редактор локальной групповой политики. В левой панели переходим в раздел Конфигурация пользователя – Административные шаблоны – Панель управления – Окно свойств экрана. В правой панели два раза кликаем мышкой на “Отключить окно свойств экрана в панели управления“. Как видим политика имеет три состояния:

• Не задано – применяется свойство пользователя.
• Включить – в этом состоянии в реестре значение параметра меняется на 1 (или 0), что соответствует активному состоянию
• Выключить – соответствующий параметр в реестре имеет значение 0

Если выбрать состояние Включить, то при попытке открыть окно свойств экрана, появится сообщение, что выполнение этого действия запрещено.

Как видим “Административные шаблоны” достаточно мощный инструмент в управление компьютером, тем более, что в Windows 7 эти политики были значительно обновлены и расширены. Применение тех или иных политик требует определенной осторожности, достаточно посмотреть список политик, который находится в Административных шаблонах.

В этой небольшой статье мы затронули лишь малую часть возможностей Административных шаблонов. Более подробно узнать о Редакторе локальной групповой политики можно из справки, которая вызывается из меню редактора. В этой справке есть большой раздел по настройке Internet Explorer.

Использование шаблонов Windows 10 для настройки параметров групповой политики в Microsoft Intune Use Windows 10 templates to configure group policy settings in Microsoft Intune

При управлении устройствами в вашей организации вам стоит создать группы параметров, которые применяются к различным группам устройств. When managing devices in your organization, you want to create groups of settings that apply to different device groups. Например, у вас есть несколько групп устройств. For example, you have several device groups. Для GroupA вы хотите назначить определенный набор параметров. For GroupA, you want to assign a specific set of settings. Для GroupB вы хотите назначить другой набор параметров. For GroupB, you want to assign a different set of settings. Также можно настроить простое представление параметров. You also want a simple view of the settings you can configure.

Можно выполнить этот задачу, используя административные шаблоны в Microsoft Intune. You can complete this task using Administrative Templates in Microsoft Intune. Административные шаблоны содержат тысячи параметров для управления функциями в Microsoft Edge 77 и последующих версий, Internet Explorer и приложениях Microsoft Office, функциями удаленного рабочего стола, доступом к OneDrive, управления паролями, ПИН-кодами и многим другим. The administrative templates include thousands of settings that control features in Microsoft Edge version 77 and later, Internet Explorer, Microsoft Office programs, remote desktop, OneDrive, passwords, PINs, and more. Эти параметры позволяют администраторам групп управлять групповыми политиками с помощью облака. These settings allow group administrators to manage group policies using the cloud.

Данная функция применяется к: This feature applies to:

• Windows 10 и более поздним версиям. Windows 10 and newer

Параметры Windows похожи на параметры групповой политики (GPO) в Active Directory (AD). The Windows settings are similar to group policy (GPO) settings in Active Directory (AD). Эти параметры встроены в Windows и являются параметрами с поддержкой ADMX, которые используют XML. These settings are built in to Windows, and are ADMX-backed settings that use XML. Параметры Office и Microsoft Edge включены в файлы ADMX и используют параметры ADMX в файлах административных шаблонов Office и файлах административных шаблонов Microsoft Edge. The Office and Microsoft Edge settings are ADMX-ingested, and use the ADMX settings in Office administrative template files and Microsoft Edge administrative template files. Кроме того, шаблоны в Intune являются полностью облачными. And, the Intune templates are 100% cloud-based. Это простой способ настройки и поиска нужных параметров. They offer a simple and straight-forward way to configure the settings, and find the settings you want.

Административные шаблоны встроены в Intune и не требуют настройки, в том числе с помощью OMA-URI. Administrative Templates are built in to Intune, and don’t require any customizations, including using OMA-URI. В рамках решения в системе управления мобильными устройствами используйте эти параметры шаблона как единое средство для управления устройствами Windows 10. As part of your mobile device management (MDM) solution, use these template settings as a one-stop shop to manage your Windows 10 devices.

В этой статье описано, как создать шаблон для устройств Windows 10, и показано, как фильтровать все доступные параметры в Intune. This article lists the steps to create a template for Windows 10 devices, and shows how to filter all the available settings in Intune. При создании шаблона создается профиль конфигурации устройства. When you create the template, it creates a device configuration profile. Затем можно назначить или развернуть этот профиль для устройств Windows 10 в вашей организации. You can then assign or deploy this profile to Windows 10 devices in your organization.

Подготовка к работе Before you begin

Некоторые из этих параметров доступны, начиная с Windows 10, версия 1709 (RS2 / сборка 15063). Some of these settings are available starting with Windows 10 version 1709 (RS2/build 15063). Не все параметры доступны во всех выпусках Windows. Some settings aren’t included in all the Windows editions. Для оптимизации рекомендуется использовать Windows 10 Корпоративная версия 1903 (19H1 / сборка 18362) или более новой. For the best experience, it’s suggested to use Windows 10 Enterprise version 1903 (19H1/build 18362) and newer.

Параметры Windows используют политику поставщиков службы конфигурации Windows. The Windows settings use Windows policy CSPs. Поставщики CSP работают в разных выпусках Windows, таких как Домашняя, Профессиональная, Корпоративная и т. д. The CSPs work on different editions of Windows, such as Home, Professional, Enterprise, and so on. Чтобы узнать, работает ли поставщик CSP в определенном выпуске, см. статью о поставщиках CSP политики Windows. To see if a CSP works on a specific edition, go to Windows policy CSPs.

Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. There are two ways to create an administrative template: Using a template, or using the Settings Catalog. В этой статье рассматривается использование шаблона Административные шаблоны. This article focuses on using the Administrative Templates template. Каталог параметров содержит больше доступных параметров административного шаблона. The Settings Catalog has more Administrative Template settings available. Более конкретные инструкции по работе с каталогом параметров см. в статье Использование каталога параметров для настройки параметров. For the specific steps to use the Settings Catalog, see Use the settings catalog to configure settings.

Создание шаблона Create the template

Выберите Устройства > Профили конфигурации > Создать профиль. Select Devices > Configuration profiles > Create profile.

Укажите следующие свойства. Enter the following properties:

• Платформа. Выберите Windows 10 и более поздних версий. Platform: Select Windows 10 and later.
• Профиль. Чтобы использовать логическое группирование параметров, выберите шаблоны >Административные шаблоны. Profile: To use a logical grouping of settings, select Templates >Administrative Templates. Чтобы просмотреть все параметры, выберите Каталог параметров. To see all the settings, select Settings catalog.

Щелкните Создать. Select Create.

В разделе Основные укажите следующие свойства. In Basics, enter the following properties:

• Имя — Введите описательное имя для нового профиля. Name: Enter a descriptive name for the profile. Назначьте имена профилям, чтобы позже их можно было легко найти. Name your profiles so you can easily identify them later. Например, хорошее имя профиля — ADMX: административный шаблон Windows 10, который настраивает параметры xyz в Microsoft Edge. For example, a good profile name is ADMX: Windows 10 admin template that configures xyz settings in Microsoft Edge.
• Описание. Введите описание профиля. Description: Enter a description for the profile. Этот параметр является необязательным, но мы рекомендуем его использовать. This setting is optional, but recommended.

Выберите Далее. Select Next.

В разделе Параметры конфигурации выберите Все параметры, чтобы отобразить параметры в алфавитном порядке. In Configuration settings, select All settings to see an alphabetical list of all the settings. Или настройте параметры, которые применяются к устройствам (Конфигурация компьютера) и пользователям (Конфигурация пользователя). Or, configure settings that apply to devices (Computer configuration), and settings that apply to users (User configuration):

Если вы используете Каталог параметров, выберите Добавить параметры и разверните узел Административные шаблоны. If you’re using the Settings catalog, then select Add settings, and expand Administrative Templates. Выберите любой параметр, чтобы увидеть, что можно настроить. Select any setting to see what you can configure.

Дополнительные сведения о создании политик см. в статье Использование каталога параметров для настройки параметров. For more information on creating policies using the Settings Catalog, see Use the settings catalog to configure settings.

При выборе элемента Все параметры отображается каждый параметр. When you select All settings, every setting is listed. Прокрутите вниз, чтобы просмотреть другие параметры с помощью стрелок «Назад» и «Далее». Scroll down to use the before and next arrows to see more settings:

Выберите любой параметр. Select any setting. Например, отфильтруйте параметры, выбрав Office в раскрывающемся меню, и щелкните Перейти в режим ограниченного просмотра. For example, filter on Office, and select Activate Restricted Browsing. Появится подробное описание параметра. A detailed description of the setting is shown. Задайте значение Включено, Отключено или Не настроено (задано по умолчанию). Choose Enabled, Disabled, or leave the setting as Not configured (default). Также предоставляется подробное описание того, что происходит при выборе значений Включено, Отключено или Не настроено. The detailed description also explains what happens when you choose Enabled, Disabled, or Not configured.

Параметры Windows в Intune сопоставляются с путем локальной групповой политики, который отображается в редакторе локальных групповых политик ( gpedit ). The Windows settings in Intune correlate to the on-premises group policy path you see in Local Group Policy Editor ( gpedit )

При выборе элемента Конфигурация компьютера или Конфигурация пользователя отображаются категории параметров. When you select Computer configuration or User configuration, the setting categories are shown. Выбрав любую категорию, можно просмотреть доступные параметры. You can select any category to see the available settings.

Например, выберите Конфигурация компьютера > Компоненты Windows > Internet Explorer, чтобы просмотреть все параметры устройств, применяемые к Internet Explorer. For example, select Computer configuration > Windows components > Internet Explorer to see all the device settings that apply to Internet Explorer:

Нажмите кнопку OK, чтобы сохранить изменения. Select OK to save your changes.

Продвигайтесь через список параметров и настройте параметры, которые требуются в вашей среде. Continue to go through the list of settings, and configure the settings you want in your environment. Ниже приводится несколько примеров. Here are some examples:

• Используйте параметры уведомлений макросов VBA, чтобы обрабатывать макросы VBA в разных программах Microsoft Office, включая Word и Excel. Use the VBA Macro Notification Settings setting to handle VBA macros in different Microsoft Office programs, including Word and Excel.
• Используйте параметр Разрешить скачивание файлов, чтобы разрешить или запретить скачивание в Internet Explorer. Use the Allow file downloads setting to allow or prevent downloads from Internet Explorer.
• Используйте параметр Требовать пароль при выходе из спящего режима (питание от сети) , чтобы запрашивать у пользователей пароль при выходе устройств из спящего режима. Use Require a password when a computer wakes (plugged in) to prompt users for a password when devices wake from sleep mode.
• Используйте параметр Скачивать неподписанные элементы управления ActiveX, чтобы запретить пользователям скачивать неподписанные элементы управления ActiveX в Internet Explorer. Use the Download unsigned ActiveX controls setting to block users from downloading unsigned ActiveX controls from Internet Explorer.
• Используйте параметр Отключить восстановление системы, чтобы разрешить или запретить пользователям запускать восстановление системы на устройстве. Use the Turn off System Restore setting to allow or prevent users from running a system restore on the device.
• Используйте параметр Разрешить импорт из избранного, чтобы разрешить или запретить пользователям импортировать избранное из другого браузера в Microsoft Edge. Use the Allow importing of favorites setting to allow or block users from importing favorites from another browser into Microsoft Edge.
• И это еще не все! And much more.

Выберите Далее. Select Next.

В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment . In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment . Дополнительные сведения о тегах области см. в разделе Использование RBAC и тегов области для распределенных ИТ-групп. For more information about scope tags, see Use RBAC and scope tags for distributed IT.

Выберите Далее. Select Next.

В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. In Assignments, select the user or groups that will receive your profile. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. For more information on assigning profiles, see Assign user and device profiles.

Если профиль назначен группам пользователей, настроенные параметры ADMX применяются к любому устройству, которое регистрирует пользователь и на которое он входит. If the profile is assigned to user groups, then configured ADMX settings apply to any device that the user enrolls, and signs in to. Если профиль назначен группам устройств, настроенные параметры ADMX применяются к любому пользователю, который входит на устройство. If the profile is assigned to device groups, then configured ADMX settings apply to any user that signs into that device. Назначение происходит, если параметр ADMX является конфигурацией компьютера ( HKEY_LOCAL_MACHINE ) или конфигурацией пользователя ( HKEY_CURRENT_USER ). This assignment happens if the ADMX setting is a computer configuration ( HKEY_LOCAL_MACHINE ), or a user configuration ( HKEY_CURRENT_USER ). Некоторые параметры компьютера, назначенные пользователю, также могут влиять на работу других пользователей на этом устройстве. With some settings, a computer setting assigned to a user may also impact the experience of other users on that device.

Дополнительные сведения см. в разделе Группы пользователей и группы устройств. For more information, see User groups vs. device groups.

Выберите Далее. Select Next.

В окне Проверка и создание проверьте параметры. In Review + create, review your settings. При выборе Создать внесенные изменения сохраняются и назначается профиль. When you select Create, your changes are saved, and the profile is assigned. Политика также отображается в списке профилей. The policy is also shown in the profiles list.

В следующий раз, когда устройство будет проверять наличие обновлений конфигурации, будут применены настроенные параметры. The next time the device checks for configuration updates, the settings you configured are applied.

Найти параметры Find some settings

В этих шаблонах доступны тысячи параметров. There are thousands of settings available in these templates. Чтобы упростить поиск параметров, используйте встроенные функции: To make it easier to find specific settings, use the built-in features:

В шаблоне выберите столбцы Параметры, Состояние, Тип параметра или Путь для сортировки списка. In your template, select the Settings, State, Setting type, or Path columns to sort the list. Например, выберите столбец Путь и щелкните стрелку «Далее», чтобы просмотреть параметры в пути Microsoft Excel . For example, select the Path column, and use the next arrow to see the settings in the Microsoft Excel path.

В шаблоне используйте поле поиска, чтобы найти определенные параметры. In your template, use the Search box to find specific settings. Поиск можно выполнять по параметру или пути. You can search by setting, or path. Например, выберите Все параметры и выполните поиск по слову copy . For example, select All settings, and search for copy . Отображаются все параметры с copy : All the settings with copy are shown:

Например, используйте поиск по фразе microsoft word . In another example, search for microsoft word . Появятся параметры, которые можно задать в программе Microsoft Word. You see the settings you can set for the Microsoft Word program. Используйте поиск explorer для просмотра параметров Internet Explorer, которые можно добавить в шаблон. Search for explorer to see the Internet Explorer settings you can add to your template.

Можно также сузить поиск, выбрав только Конфигурация компьютера или Конфигурация пользователя. You can also narrow your search by only selecting Computer configuration or User configuration.

Например, чтобы просмотреть все доступные параметры пользователя Internet Explorer, выберите Конфигурация пользователя и выполните поиск фразы Internet Explorer . For example, to see all the available Internet Explorer user settings, select User configuration, and search for Internet Explorer . Отображаются только параметры Internet Explorer, относящиеся к пользователям. Only the IE settings that apply to users are shown:

Дальнейшие шаги Next steps

Профиль создан, но пока еще не используется. The template is created, but may not be doing anything yet. Назначьте шаблон (также называемый профилем) и отслеживайте его состояние. Be sure to assign the template (also called a profile) and monitor its status.