Главная » Linux

Windows 2003 административные шаблоны

Содержание
  1. Рекомендации по управлению файлами административных шаблонов групповой политики (ADM)
  2. Введение в ADM-файлы
  3. Хранение файлов ADM и значения по умолчанию
  4. Настраиваемые ADM-файлы
  5. Обновление ADM-файлов и меток времени
  6. Консоль управления групповыми политиками
  7. Репликация GPO
  8. Управление обновлениями файлов ADM с помощью параметров политики
  9. Отключение автоматического обновления ADM-файлов
  10. Всегда используйте локальные ADM-файлы для редактора групповой политики
  11. Распространенные сценарии и рекомендации по вопросам многоязычного администрирования
  12. Распространенные сценарии и рекомендации по вопросам выпуска операционной системы и пакета обновления
  13. Удаление ADM-файлов из папки Sysvol
  14. Обслуживание ADM-файлов на административных рабочих станциях

Рекомендации по управлению файлами административных шаблонов групповой политики (ADM)

В этой статье описывается работа ADM-файлов, параметры политики, доступные для управления их операциями, а также рекомендации по обработке распространенных сценариев управления файлами ADM.

Исходная версия продукта: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 816662

Для управления инфраструктурой групповой политики с помощью центрального магазина рекомендуется использовать Windows Vista. Эта рекомендация сохраняется, даже если в среде имеется сочетание клиентов и серверов более высокого уровня, таких как компьютеры под управлением Windows XP или Windows Server 2003. Windows Vista использует новую модель, использующую ADMX- и ADML-файлы для управления шаблонами групповой политики.

Дополнительные сведения можно получить на следующих веб-сайтах:

Если для управления инфраструктурой групповой политики необходимо использовать компьютеры под управлением Windows XP или Windows Server 2003, см. рекомендации в этой статье.

Введение в ADM-файлы

ADM-файлы — это файлы шаблонов, которые используются групповыми политиками для описания того, где в реестре хранятся параметры политики на основе реестра. Файлы ADM также описывают пользовательский интерфейс, который администраторы видят в оснастке редактора объектов групповой политики. Редактор объектов групповой политики используется администраторами при создании или изменении объектов групповой политики.

Хранение файлов ADM и значения по умолчанию

В папке Sysvol каждого контроллера домена каждый GPO домена поддерживает одну папку, которая называется шаблоном групповой политики (GPT). В GPT хранится все ADM-файлы, которые использовались в редакторе объектов групповой политики при последнем их созданных или измененных объектах групповой политики.

Каждая операционная система включает стандартный набор ADM-файлов. Эти стандартные файлы являются файлами по умолчанию, которые загружаются редактором объектов групповой политики. Например, Windows Server 2003 включает следующие ADM-файлы:

Настраиваемые ADM-файлы

Настраиваемые ADM-файлы могут создаваться разработчиками программ или ИТ-специалистами для расширения использования параметров политики на основе реестра на новые программы и компоненты.

Программы и компоненты должны быть разработаны и закодироваться, чтобы распознавать параметры политики, описанные в файле ADM, и реагировать на них.

Чтобы загрузить ADM-файлы в редакторе объектов групповой политики, выполните следующие действия.

Запустите редактор объектов групповой политики.

Щелкните правой кнопкой мыши административные шаблоны и выберите «Добавить/удалить шаблоны».

Административные шаблоны доступны в конфигурации компьютера или пользователя. Выберите конфигурацию, правильную для пользовательского шаблона.

Нажмите Добавить.

Щелкните ADM-файл и нажмите кнопку «Открыть».

Нажмите кнопку Закрыть.

Настраиваемые параметры политики файлов ADM теперь доступны в редакторе объектов групповой политики.

Обновление ADM-файлов и меток времени

Каждая административная рабочая станция, используемая для запуска редактора объектов групповой политики, хранит ADM-файлы в папке %windir% \ Inf. После создания и первого редактирования GGPOs ADM-файлы из этой папки копируется во вложенную папку Adm в GPT. К ним относятся стандартные ADM-файлы и все настраиваемые ADM-файлы, добавляемые администратором.

Читайте также:  Аналог wireshark для windows

При создании GPO без последующих изменений этот GPO создает GPT без ADM-файлов.

По умолчанию при редактировании объектов групповой политики редактор объектов групповой политики сравнивает метки времени ADM-файлов в папке %windir% Inf рабочей станции с метками, хранимыми в папке \ Adm групповой политики. Если файлы рабочей станции более новые, редактор объектов групповой политики копирует эти файлы в папку GPT Adm, переописав все существующие файлы с тем же именем. Это сравнение происходит, когда узел административных шаблонов (конфигурация компьютера или пользователя) выбран в редакторе объектов групповой политики независимо от того, редактирует ли администратор объект групповой политики.

Файлы ADM, хранимые в GPT, можно обновить, просмотрев объект групповой политики в редакторе объектов групповой политики.

Из-за важности меток времени для управления файлами ADM редактирование системных ADM-файлов не рекомендуется. Если требуется новый параметр политики, Корпорация Майкрософт рекомендует создать настраиваемый ADM-файл. Это предотвращает замену системных ADM-файлов при выпусках пакетов обновления.

Консоль управления групповыми политиками

По умолчанию консоль управления групповыми политиками (GPMC) всегда использует локальные ADM-файлы независимо от их отметки времени и никогда не копирует ADM-файлы в Sysvol. Если ADM-файл не найден, GPMC ищет файл ADM в GPT. Кроме того, пользователь GPMC может указать альтернативное расположение для ADM-файлов. Если указано альтернативное расположение, это альтернативное расположение имеет приоритет.

Репликация GPO

Служба репликации файлов (FRS) реплицирует GGP Для GGPOs в домене. В рамках GPT в подзапись Adm реплицируется на все контроллеры домена в домене. Так как каждый объект групповой политики хранит несколько ADM-файлов, а некоторые из них могут быть довольно большими, необходимо понимать, как ADM-файлы, которые добавляются или обновляются при использовании редактора объектов групповой политики, могут повлиять на трафик репликации.

Управление обновлениями файлов ADM с помощью параметров политики

Для управления файлами ADM доступны две области параметров политики. Эти параметры делают возможным для администратора настройку использования ADM-файлов для конкретной среды. Это параметры «Отключить автоматическое обновление ADM-файлов» и «Всегда использовать локальные ADM-файлы для редактора групповой политики».

Отключение автоматического обновления ADM-файлов

Этот параметр политики доступен в системной групповой политике административных шаблонов конфигурации пользователя в \ \ Windows Server \ 2003, Windows XP и Windows 2000. Этот параметр может применяться к любому клиенту с включенной групповой политикой.

Всегда используйте локальные ADM-файлы для редактора групповой политики

Этот параметр политики доступен в групповой политике конфигурации компьютера \ \ \ административных шаблонов. Это новый параметр политики. Она может быть успешно применена только к клиентам Windows Server 2003. Параметр может быть развернут на старых клиентах, но он не влияет на их поведение. Если этот параметр включен, редактор объектов групповой политики всегда использует локальные ADM-файлы в локальной системной папке %windir% Inf при редактировании объекта \ групповой политики.

Если этот параметр политики включен, подразумевается отключение автоматического обновления параметра политики файлов ADM.

Распространенные сценарии и рекомендации по вопросам многоязычного администрирования

В некоторых средах параметры политики могут быть представлены пользовательскому интерфейсу на разных языках. Например, администратору в США может потребоваться просмотреть параметры политики для определенного GPO на английском языке, а администратору во Франции может потребоваться просмотреть тот же GPO, используя французский язык в качестве предпочитаемого языка. Так как GPT может хранить только один набор ADM-файлов, вы не можете использовать этот GPT для хранения ADM-файлов для обоих языков.

Читайте также:  Linux bash сравнение времени

В Windows 2000 использование локальных ADM-файлов редактором объектов групповой политики не поддерживается. Чтобы обойти эту возможность, используйте параметр политики «Отключить автоматическое обновление ADM-файлов». Поскольку этот параметр политики не влияет на создание новых GPO, локальные ADM-файлы будут загружаться в GPT в Windows 2000, а создание GPO в Windows 2000 фактически определяет «язык GPO». Если параметр политики «Отключить автоматическое обновление ADM-файлов» действует на всех рабочих станциях Windows 2000, язык ADM-файлов в GPT будет определяться языком компьютера, используемого для создания GPO.

Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики «Всегда использовать локальные ADM-файлы для редактора групповой политики». Это позволяет администратору франции просматривать параметры политики с помощью файлов ADM, установленных локально на рабочей станции (французский), независимо от файла ADM, который хранится в GPT. При использовании этого параметра политики подразумевается, что параметр политики «Отключить автоматическое обновление ADM-файлов» включен, чтобы избежать ненужных обновлений ADM-файлов для GPT.

Кроме того, рассмотрите возможность стандартизации последней операционной системы майкрософт для административных рабочих станций в многоязычной административной среде. Затем настройте параметры политики «Всегда использовать локальные ADM-файлы для редактора групповой политики» и «Отключить автоматическое обновление ADM-файлов».

Если используются рабочие станции Windows 2000, используйте параметр политики «Отключить автоматические обновления ADM-файлов» для администраторов и считайте ADM-файлы в GPT эффективным языком для всех рабочих станций Windows 2000.

Рабочие станции Windows XP могут по-прежнему использовать свои локальные версии для конкретного языка.

Распространенные сценарии и рекомендации по вопросам выпуска операционной системы и пакета обновления

Каждый выпуск операционной системы или пакета обновления включает в себя набор ADM-файлов, предоставленных в предыдущих выпусках, включая параметры политики, которые отличаются от параметров новой версии. Например, ADM-файлы, предоставляемые в Windows Server 2003, включают все параметры политики для всех операционных систем, включая те, которые относятся только к Windows 2000 или Windows XP Professional. Это означает, что только просмотр GPO с компьютера с новым выпуском операционной системы или пакета обновления эффективно обновляет ADM-файлы. Так как более поздние выпуски обычно являются более поздними версиями предыдущих ADM-файлов, это обычно не создает проблем, если предположить, что используемые ADM-файлы не были изменены.

В некоторых случаях выпуск операционной системы или пакета обновления может включать подмножество ADM-файлов, предоставленных в предыдущих выпусках. Это может представлять более раннее подмножество ADM-файлов, в результате чего параметры политики больше не будут видны администраторам при использовании редактора объектов групповой политики. Однако параметры политики останутся активными в GPO. Это влияет только на видимость параметров политики в редакторе объектов групповой политики. Все активные (включенные или отключенные) параметры политики не видны в редакторе объектов групповой политики, но остаются активными. Поскольку параметры не видны, администратор не может просматривать или изменять эти параметры политики. Чтобы обойти эту проблему, администраторам необходимо ознакомиться с ADM-файлами, включенными в каждый выпуск операционной системы или пакета обновления, перед использованием редактора объектов групповой политики в этой операционной системе, имейте в виду, что действия по просмотру объекта групповой политики достаточно для обновления ADM-файлов в GPT, когда сравнение меток времени определяет правильность обновления.

Читайте также:  Windows installer xml что это

Чтобы спланировать это в своей среде, Корпорация Майкрософт рекомендует вам:

Определите стандартную операционную систему или пакет обновления, из которого происходит просмотр и редактирование всех GOS, и убедитесь, что используемые ADM-файлы содержат параметры политики для всех платформ.

Используйте параметр политики «Отключить автоматическое обновление ADM-файлов» для всех администраторов групповой политики, чтобы убедиться, что ADM-файлы не перезаписаны в GPT ни одним сеансом редактора объектов групповой политики, и убедитесь, что используются последние ADM-файлы, доступные от Майкрософт.

Политика «Всегда использовать локальные ADM-файлы для редактора групповой политики» обычно используется с этой политикой, если она поддерживается операционной системой, из которой работает редактор объектов групповой политики.

Удаление ADM-файлов из папки Sysvol

По умолчанию ADM-файлы хранятся в GPT, что может значительно увеличить размер папки Sysvol. Кроме того, частое изменение GGPOs может привести к значительному объему трафика репликации. Использование сочетания параметров политики «Отключить автоматическое обновление ADM-файлов» и «Всегда использовать локальные ADM-файлы для редактора групповой политики» может значительно уменьшить размер папки Sysvol и уменьшить трафик репликации, связанный с политикой, где происходит значительное количество изменений политики.

Если размер тома Sysvol или трафика репликации, связанного с групповой политикой, становится проблематичным, рассмотрите возможность реализации среды, в которой Sysvol не хранит ADM-файлы. Или рассмотрите возможность обслуживания ADM-файлов на административных рабочих станциях. Этот процесс описан в следующем разделе.

Чтобы очистить папку Sysvol для ADM-файлов, выполните следующие действия.

  1. Включите параметр политики «Отключить автоматическое обновление ADM-файлов» для всех администраторов групповой политики, которые будут редактировать GGP.
  2. Убедитесь, что эта политика применена.
  3. Скопируйте все настраиваемые шаблоны ADM в папку %windir% \ Inf.
  4. Отредактируете существующие GGPOs и удалите все ADM-файлы из GPT. Для этого щелкните правой кнопкой мыши административные шаблоны и выберите «Добавить/удалить шаблон».
  5. В качестве параметра политики «Всегда используйте локальные ADM-файлы для редактирования объектов групповой политики» для административных рабочих станций.

Обслуживание ADM-файлов на административных рабочих станциях

При использовании параметра политики «Всегда использовать локальные ADM-файлы для редактора групповой политики» убедитесь, что каждая рабочая станция имеет последнюю версию файлов ADM по умолчанию и пользовательских ADM. Если все ADM-файлы недоступны локально, некоторые параметры политики, содержащиеся в GPO, не будут видны администратору. Избегайте этого, реализуя стандартную версию операционной системы и пакета обновления для всех администраторов. Если вы не можете использовать стандартную операционную систему и пакет обновления, реализуем процесс распространения последних ADM-файлов на все административные рабочие станции.

  • Так как ADM-файлы рабочей станции хранятся в папке %windir% Inf, любой процесс, используемый для распространения этих файлов, должен запускаться в контексте учетной записи с административными учетными данными на рабочей \ станции.
  • Windows XP не поддерживает редактирование GGPOs, если в папке Sysvol нет ADM-файлов. В живой среде необходимо учитывать это ограничение разработки.
Оцените статью
© 2024 Советы по настройке компьютера