Использование пользовательских шаблонов ADM в Windows Server 2008/Vista/7
Существует ряд компаний, которые разработали ADM шаблоны для работы со своими трудно доступными параметрами реестра. Эти пользовательские ADM шаблоны не были обязательными, так как компания Microsoft не включала и не могла включить все настройки системного реестра в стандартные настройки объекта групповой политики (Group Policy Object — GPO). Эти шаблоны ADM существовали на протяжении долгого времени и сейчас, когда Windows Server 2008, Vista и 7 не используют ADM шаблоны, мне часто задают вопрос о том, что будет с ADM шаблонами. В этой статье я вкратце расскажу о том, что делают ADM шаблоны, а затем мы рассмотрим, как их использовать в новой Windows Server 2008/Vista/7 среде.
Для чего используются пользовательские ADM шаблоны?
Шаблон ADM представляет собой файл, предназначенный для использования с групповой политикой для определения параметров реестра и его значений. Существует 5 стандартных ADM шаблонов, включенных в Windows Server 2003 и XP, но эти файлы могут лишь работать с определенным количеством параметров реестра. Если вам нужно больше параметров системного реестра в GPO, у вас есть возможность создания пользовательского ADM шаблона.
Пользовательский ADM шаблон (или стандартный для этих целей) отвечает за выполнение двух вещей. Во-первых, он отвечает за определение того, что будет изменено в реестре. Надеюсь, вы уже знакомы с системным реестром (Registry)! Реестр разбит на две части для шаблона ADM: HKEY_LOCAL_MACHINE (HKLM) и HKEY_CURRENT_USER (HKCU).
Шаблон ADM определяет путь в реестре, значение в пути и данные (набор значений), которые значение может и будет принимать.
Пользовательский ADM шаблон также создает папку (папки) и политику в объекте GPO. Если значение реестра содержится в разделе HKLM, то политика будет находиться в Computer Configuration\Policies\Administrative Templates, а если значение содержится в HKCU, то политика будет расположена в User Configuration\Administrative Templates, когда вы редактируете GPO для поиска параметров. На рисунке 1 показано, как может выглядеть запись пользовательского шаблона ADM.
Рисунок 1: Запись пользовательского ADM шаблона в редакторе GPO
Примечание: Если вы посмотрите на GPO в Windows Server 2008/Vista/7, вы найдете там папку политик (Policies) перед папкой административных шаблонов (Administrative Templates) в редакторе GPO.
Как включать пользовательские ADM шаблоны в ОС Windows Server 2003/XP и более ранних версиях?
В прошлом, когда пользовательский ADM шаблон добавлялся в GPO, он добавлялся через редактор GPO. Поскольку ADM шаблоны управляют лишь частью объекта GPO, отвечающей за шаблоны администрирования (Administrative Templates), именно в этот раздел и нужно заходить, чтобы добавить любой пользовательский ADM шаблон.
Чтобы добавить пользовательский ADM шаблон, нужно нажать правой клавишей на узел Administrative Templates (его можно выбрать либо в Computer Configuration, либо в User Configuration, это не имеет решающего значения при импортировании ADM шаблона), затем выбрать опцию Добавить или удалить шаблон (Add/Remove Template), как показано на рисунке 2.
Рисунок 2: Добавление пользовательского ADM шаблона в GPO
Если в синтаксисе пользовательского ADM шаблона нет ошибок, новые параметры просто будут отображены в редакторе. Если ошибки есть, обычно отображается сообщение об ошибке, которые не позволит импортировать файл, пока ошибка не будет исправлена.
Где хранятся пользовательские ADM шаблоны?
Все ADM шаблоны хранятся в настройках GPO на контроллере домена. Файл расположен по следующему пути: c:\Windows\Sysvol\sysvol\ \Policies\ \ADMs. Здесь вы найдете 5 стандартных ADM шаблонов, а также любые пользовательские шаблоны, которые вы импортировали в GPO.
Примечание: Пользовательские ADM шаблоны связываются с объектом GPO, который их импортировал. Если вы хотите, чтобы ADM шаблон был доступен для нескольких GPO, вам нужно импортировать его в каждый отдельный GPO, тем самым создав несколько копий ADM файла в каждой папке хранения GPO в sysvol.
Windows Server 2008/Vista/7 и Administrative Templates
В компании Microsoft внесли радикальное изменение, перейдя с ADM шаблонов на файлы ADMX/ADML, когда выпустили Windows Vista и Windows Server 2008. Ни в одной из этих ОС нет ADM шаблонов. Роль ADMX/ADML файлов такая же, как и у ADM шаблона, просто теперь ответственность ADM шаблона разделена так, что один ADMX файл отвечает за одну задачу, а другой – за другую.
ADMX файлы отвечают за определение части реестра в настройках GPO. Эти файлы не являются специфичными для языка, они идут исключительно на английском языке.
ADML файлы являются языковыми файлами и отвечают за создание иерархии и структуры папок и политик в GPO редакторе. Это обеспечивает поддержку многих языков в отличие от ADM шаблонов, которые поддерживали только английский.
По умолчанию, ADMX/ADML файлы можно получить с локального компьютера, на котором осуществляется администрирование GPO. Если создать центральное хранилище, http://www.windowsecurity.com/articles/Managing-Windows-Vista-Group-Policy-Part1.html, то все ваши Windows Server 2008/Vista/7 компьютеры будут использовать единую версию ADMX/ADML файлов.
Примечание: Обязательно обновите центральное хранилище Windows 7 или Windows Server 2008 R2 ADMX/ADML файлами, когда в вашей сети появятся машины с одной из этих ОС. Есть изменения файлов, которыми ваши компьютеры должны пользоваться.
Использование пользовательских ADM шаблонов в Windows Server 2008/Vista/7
Поскольку Windows Server 2008/Vista/7 не используют ADM шаблоны, что произойдет, когда вы попытаетесь использовать ADM шаблоны совместно с ADMX/ADML файлами? Ответ довольно прост!
ADMX/ADML файлы сгенерируют стандартные параметры GPO, которые будут находиться в Administrative Templates. Пользовательские ADM шаблоны, расположенные в папке ADM каталога GPO sysvol, появятся в папке Classic Administrative Templates (ADM), которая находится в узле Administrative Templates в редакторе GPO. Пример показан на рисунке 3.
Рисунок 3: Пользовательские шаблоны ADM находятся в разделе Classic Administrative Templates (ADM) редактора
Заключение
В операционных системах Windows Server 2008/Vista/7 был осуществлен переход с использования ADM шаблонов на использование ADMX/ADML файлов. Это изменение могло повлиять на пользовательские ADM шаблоны, если вы не знаете общей картины изменений. Следует помнить, что ADM шаблоны больше не используются, но вместо них используются ADMX/ADML файлы при создании Administrative Templates узлов в редакторе GPO в качестве определения записи реестра, которая будет изменена. Пользовательские ADM шаблоны хранятся в GUID папке объекта GPO, с которым они ассоциируются независимо от версии ОС, производящей администрирование GPO. Именно такая структура и возможности более новых ОС обеспечили сочетание новых файлов с возможностью использования пользовательских ADM шаблонов. Просто следует помнить, что настройки пользовательских шаблонов ADM будут отображаться в папке Classic Administrative Templates (ADM).
Создаем центральное хранилище административных шаблонов GPO
Создаем центральное хранилище административных шаблонов GPO
Добрый день! Уважаемые коллеги и пользователи одного из популярнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему с черным экраном Windows 10, где я получил много благодарственных комментариев. Движемся дальше и сегодня мы поговорим, что такое центральное хранилище административных шаблонов групповой политики, рассмотрим для чего все это нужно и как внедряется. Уверяю вас, что любой системный администратор у которого есть структура AD просто обязан использовать данную вещь. Уверен, что вам будет интересно.
Для чего придумали центральное хранилище административных шаблонов
Если вы управляли групповой политикой в домене Active Directory в течение какого-то времени, то вам, вероятно, нужно будет в какой-то момент установить файлы ADMX для поддержки нового или обновленного приложения. например Google Chrome, Microsoft Office или Mozilla Firefox, которые по умолчанию не идут. Если вы находитесь в небольшой среде или у вас только несколько администраторов групповой политики, процесс обновления довольно прост: Вы копируйте новые файлы ADMX в папку C:\Windows\ PolicyDefinitions\ на станции управления, копируйте файлы ADML в правильную языковую подпапку, и все готово. Затем, если у вас есть другие администраторы групповой политики, убедиться, что файлы разосланы и им. Но когда у вас компьютеров в сети много или очень много, такое ручное копирование новых файлов ADMX становится весьма трудоемким процессом. Сама Active Directory задумывалась, как централизованная база данных и тут ключевое слово «Централизованное». Из чего следует вывод, что нам нужно как-то централизованно управлять административными шаблонами и и применять их к клиентским и серверным компьютерам.
Проблема заключается в том, что поддерживать файлы ADMX и ADML обновленными в очень большом количестве систем сложно. Если у вас много людей, управляющих групповой политикой, это практически невозможно. Даже если вы имеете дело только с одной станцией управления, если вы забудете скопировать содержимое папки PolicyDefinitions на новый компьютер, это может привести к появлению страшного списка «Дополнительные параметры реестра» в следующий раз, когда вам потребуется изменить объект групповой политики (GPO), потому что Консоль управления групповой политикой (GPMC) не может найти файлы ADMX и ADML, необходимые для правильного отображения параметров.
Именно здесь центральное хранилище групповой политики (Group Policy Central Store) может быть полезно вам и вашей организации. Центральное хранилище — это хранилище файлов ADMX и ADML, которые хранятся в папке SYSVOL вашего домена. Когда центральное хранилище настроено для домена, станции управления используют папку PolicyDefinitions в центральном хранилище вместо своей локальной копии файлов ADMX/ADML в C:\Windows\PolicyDefinitions\. Это дает вам одно место для обновления и гарантирует, что все администраторы групповой политики используют один и тот же набор файлов ADMX/ADML без необходимости распространять обновления на несколько компьютеров или серверов.
Что такое административный шаблон
Административные шаблон — это специализированный, текстовый файл, задачей которого выступает управление изменениями реестра на рабочих станциях Windows, для пользователя и компьютера. Данный файл посредством графической консоли «Управление групповой политикой (GPME)» позволяет в удобном виде менять данные настройки, которые потом по выбранному фильтру, будут применены к объекту пользователя, компьютера или обоим сразу. Данные административные шаблоны могут распространятся для разных программных продуктов отдельно и не быть в составе операционной системы Windows по умолчанию. Начиная с Windows Vista, Windows Server 2008 и выше административные шаблоны состоят из двух файлов XNL.
Сравнение расположения локальных ADM- и ADMX-файлов
Начиная с Windows Vista и дальше, параметры административных шаблонов GPO будут располагаться в виде файлов ADMX, локально на компьютере. ADMX файлы теперь будут лежать в другом каталоге, в отличие от старых ADM-файлов.
- ADM-файл лежит по пути %systemroot%\inf
- Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\policyDefinitions
- Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\policyDefinitions\[MUIculture]
Расположение ADMX-файлов доменных политик
- Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions
- Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture]
Как создать центральное хранилище административных шаблонов GPO
Когда я только начинал свой жизненный путь в системном администрировании и знакомился с групповыми политиками, меня уже тогда привлекала внимание надпись «Административные шаблоны получены определения политик (ADMX-файлы) с локального компьютера», после чего я заинтересовался данной темой, о которой прочитал в книге «Настройка Active Directory. Windows Server 2008 (70-640)»
Чтобы создать центральное хранилище, нам нужно создать новую папку на контроллере домена (DC). Технически, не имеет значения, какой DC вы используете; однако если у вас много администраторов групповой политики или если некоторые контроллеры домена медленно реплицируются, вы можете рассмотреть возможность выполнения этого на эмуляторе PDC, поскольку консоль управления групповыми политиками предпочитает подключаться к нему по умолчанию при редактировании групповой политики.
На DC нам нужно создать новую папку PolicyDefinitions по пути:
Создаем тут новую папку с именем PolicyDefinitions.
То же самое можно выполнить и через командную строку, введя вот такую команду:
Далее нам нужно скопировать все наши файлы ADMX и ADML в центральное хранилище. Напоминаю, что каждая операционная система имеет свои административные шаблоны, Windows 7 свои, Windows 8.1 свои, Windows Server 2012 R2 свои. Так как у меня мой тестовый контроллер домена находится на Windows Server 2012 R2, то я начну с него. Откройте папку C:\Windows\PolicyDefinitions и скопируйте ее содержимое в виде ADMX файлов и языковых пакетов в нашу новую папку \\root\SYSVOL\root.pyatilistnik.org\Policies \ PolicyDefinitions. Выделяем нужные файлы и переносим их в папку PolicyDefinitions.
В итоге мои административные шаблоны от Windows Server 2012 R2 попали в мое центральное хранилище GPO.
Как добавить самые свежие версии административных шаблонов
Чтобы иметь возможность добавить самые последние версии ADMX файлов, у вас есть два пути:
- Первый это установить нужную операционную систему, обновить ее полностью, и после это уже скопировать ее содержимое из папки C:\Windows\PolicyDefinitions в вашу папку центрального хранилища административных шаблонов.
- Второй путь, это быстро скачать самые свежие версии с сайта Microsoft и просто все установить, мне кажется, что второй путь самый простой и быстрый.
Начинаем установку нужных вам административных шаблонов.
Принимаем лицензионное соглашение
Обращаем на каталог установки ваших административных шаблонов, именно из данного расположения вы будите копировать в вашу новую папку PolicyDefinitions
Не длительный процесс установки.
Выделяем нужные языки и файлы ADMX и копируем их к вам в центральное хранилище.
Теперь если попробовать отредактировать любой объект GPO вы увидите уже такую надпись: «Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища«