Как создать центральное хранилище для административных шаблонов групповой политики в Windows и управлять им

  • Статья

В статье описывается, как с помощью новых файлов ADMX и ADML создавать и администрировать в Windows параметры политик на базе реестра. Также объясняется, как хранить и реплицировать файлы политик на базе Windows в центральном хранилище в среде домена.

Применяется к: Windows 11, Windows 10 (все выпуски), Windows Server 2019, Windows Server 2012 R2, Windows 7 с пакетом обновления 1 (SP1)
Оригинальный номер базы знаний: 3087759

Чтобы просмотреть электронные таблицы ADMX с новыми параметрами, доступными в более поздних версиях операционной системы, см. следующие электронные таблицы:

Обзор

Файлы административных шаблонов, к которым относятся файлы ADMX и зависящие от языка файлы ADML, используются администраторами групповой политики. В эти файлы внесены изменения, позволяющие администраторам настраивать один и тот же набор политик с использованием двух языков. Администраторы могут настраивать политики, используя зависящие от языка файлы ADML и не зависящие от него файлы ADMX.

Хранилище файлов административных шаблонов

Файлы административных шаблонов хранятся в Windows в центральном хранилище. Папка ADM больше не создается в объекте групповой политики, как это происходило в более ранних версиях Windows. Поэтому контроллеры домена Windows не хранят и не реплицируют лишние копии ADM-файлов.

Центральное хранилище

Чтобы воспользоваться преимуществами файлов .admx, необходимо создать центральное хранилище в папке SYSVOL на контроллере домена Windows. Центральное хранилище — это расположение файлов, которое инструменты групповой политики проверяют по умолчанию. Инструменты групповой политики используют все ADMX-файлы, находящиеся в центральном хранилище. Файлы в центральном хранилище реплицируются на все контроллеры домена в домене.

Мы рекомендуем сохранить репозиторий файлов ADMX/L, которые у вас есть для приложений и которые вы можете использовать. Например, расширения операционной системы, такие как пакет Microsoft Desktop optimization Pack (MDOP), Microsoft Office, а также сторонние приложения, которые предлагают поддержку групповой политики.

Чтобы создать центральное хранилище для файлов .admx и .adml, создайте новую папку с именем PolicyDefinitions (например) в следующем расположении на контроллере домена:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

Если у вас уже есть такая папка с ранее созданным центральным хранилищем, в названии новой папки укажите описание текущей версии, например:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

Скопируйте все файлы из папки PolicyDefinitions на исходном компьютере в новую папку PolicyDefinitions на контроллере домена. В качестве исходного местоположения может быть:

  • Папка C:\Windows\PolicyDefinitions на клиентском компьютере под управлением Windows 8.1 или Windows 10
  • Папка C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions, если вы скачали любой из административных шаблонов не по ссылкам, приведенным выше.

В папке PolicyDefinitions на контроллере домена Windows хранятся все файлы ADMX и файлы ADML для всех языков, доступных на клиентском компьютере.

Файлы ADML хранятся в папке для соответствующего языка. Например, файлы .adml с текстом на английском языке (США) хранятся в папке с именем en-US. Файлы .adml с текстом на корейском языке хранятся в папке с именем ko_KR и т. д.

Если вам нужны ADML-файлы для дополнительных языков, скопируйте в центральное хранилище папку с ADML-файлами для этого языка. После копирования файлов ADMX и ADML папка PolicyDefinitions на контроллере домена должна содержать ADMX-файлы и одну или несколько папок с ADML-файлами для нужных языков.

Примечание.

При копировании файлов .admx и .adml с компьютера под управлением Windows 8.1 или Windows 10 убедитесь, что для этих файлов установлены самые последние обновления. Также убедитесь, что реплицированы самые свежие файлы административных шаблонов. Данный совет также относится и к пакетам обновления, если они имеются.

Закончив собирать файлы, относящиеся к ОС, объедините все файлы ADMX и ADML для расширений ОС и приложений в новую папку PolicyDefinitions.

После этого переименуйте текущую папку PolicyDefinitions так, чтобы было понятно, что она относится к более ранней версии, например PolicyDefinitions-1709. Затем переименуйте новую папку (например, PolicyDefinitions-1803) в имя рабочей папки.

Мы рекомендуем использовать этот подход, чтобы при возникновении серьезных проблем с новым набором файлов вы могли вернуться к использованию старой папки. Если проблем с новым набором файлов не возникает, можно перенести старую папку PolicyDefinitions в архив вне папки SYSVOL.

Администрирование групповой политики

В Windows 8.1 и Windows 10 не входят административные шаблоны с расширением ADM. Для администрирования групповой политики рекомендуется использовать компьютеры под управлением Windows 8.1 или более поздних версий Windows.

Обновление файлов административных шаблонов

В групповой политике для Windows Vista и более поздних версий Windows при изменении параметров политики административных шаблонов на локальных компьютерах папка SYSVOL не обновляется автоматически и не включает новые файлы .admx или .adml. Это изменение поведения позволяет снизить нагрузку на сеть и требования к дисковому пространству, а также предотвратить конфликты между файлами .admx и .adml, когда параметры политики административных шаблонов изменяются сразу в нескольких местах.

Чтобы все локальные изменения отразились в папке SYSVOL, необходимо вручную скопировать обновленные файлы .admx или .adml из папки PolicyDefinitions на локальном компьютере в папку Sysvol\PolicyDefinitions на соответствующем контроллере домена.

Следующее обновление позволяет настроить редактор локальных групповых политик так, чтобы локальные файлы ADMX использовались без обращения к центральному хранилищу:

Доступно обновление, позволяющее редактору групповой политики использовать локальные ADMX-файлы.

Эту настройку можно использовать и в других целях:

  • Проверьте работу новой папки C:\Windows\PolicyDefinitions на административной рабочей станции, применив к ней политики доменов, прежде чем копировать ее в центральное хранилище в папке SYSVOL.
  • Используйте старую папку PolicyDefinitions, чтобы изменить параметры политики, для которых нет ADMX-файла в последней версии вашего центрального хранилища. Типичный пример — политики, у которых есть параметры для более старых версий Microsoft Office, которые до сих пор находятся в групповых политиках. (У каждого выпуска Microsoft Office свой набор файлов ADMX/L.)

Известные проблемы

  • Проблема 1

    После копирования шаблонов .admx, хранящихся в ОС Windows 10, в центральное хранилище SYSVOL и перезаписи всех существующих файлов .admx и .adml выберите узел Политики в разделе Конфигурация компьютера или Конфигурация пользователя. В этом случае отобразится следующее сообщение об ошибке:

    Пространство имен Microsoft.Policies.Sensors.WindowsLocationProvider уже определено как целевое пространство имен для другого файла в хранилище.
    Файл
    \\<forest.root>\SysVol<forest.root>\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, строка 5, столбец 110

    Примечание.

    В пути в этом сообщении <forest.root> представляет доменное имя. Чтобы устранить эту проблему, см. раздел При изменении политики в Windows возникает ошибка «Пространство имен Microsoft.Policies.Sensors.WindowsLocationProvider уже определено».

  • Проблема 2

    Обновленные файлы ADMX/L для Windows 10 версии 1803 содержат только файл SearchOCR.ADML. Он не совместим с более ранней версией SearchOCR.ADMX, который до сих пор хранится в вашем центральном хранилище. Дополнительные сведения об этой проблеме см. в разделе При открытии в Windows файла gpedit.msc появляется ошибка «Не удалось найти ресурс '$(string ID=Win7Only)', на который ссылается атрибут displayName».

    Возникновение обеих проблем можно избежать, создав исходную папку PolicyDefinitions из базовой папки выпуска ОС, как описано выше.