Настройка центрального хранилища для шаблонов ADMX групповой политики

at0mSec

Центральный магазин групповой политики располагается в каталоге SYSVOL на контроллерах домена, реплицируется между ними и используется для хранения файлов шаблонов ADMX/ADML GPO, применяемых для управления клиентами домена Active Directory. В этой статье мы покажем, как создать центральное хранилище GPO, скопировать в него административные (admx) шаблоны и обновить файлы шаблонов для поддержки последних версий Windows.

Если вы не создали центральное хранилище для файлов групповой политики, список административных шаблонов загружается из каталога C:\Windows\PolicyDefinitions папку на локальном компьютере, когда вы запускаете редактор GPO домена (gpmc.msc — Консоль управления групповой политикой). Тогда вы увидите следующее сообщение рядом с разделом Административные шаблоны в редакторе GPO: Policy definitions (ADMS files) retrieved from the local computer.

По умолчанию редактор GPO домена сначала пытается загрузить шаблоны ADMX из центрального хранилища, а если оно недоступно, то используется локальная папка PolicyDefinitions.

Если вы хотите заставить редактор GPO использовать локальные административные шаблоны с текущего компьютера, создайте параметр REG_DWORD с именем EnableLocalStoreOverride и значение 1 под HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows ключ реестра.

редактор gpo: Определения политики (файлы ADMS), полученные с локального компьютера

На каждом компьютере или сервере могут быть разные версии файлов ADMX (например, в зависимости от версии и сборки Windows). Соответственно, некоторые параметры GPO могут быть недоступны администратору на некоторых компьютерах. Для решения этой проблемы было разработано центральное хранилище административных шаблонов групповой политики (GPO Central Store).

По умолчанию центральное хранилище GPO в Active Directory не создано. Чтобы создать хранилище, скопируйте локальную папку PolicyDefinitions с любого контроллера домена в папку \\woshub.com\SYSVOL\woshub.com\Policies папку.

скопировать папку policydefinitions в центральное хранилище GPO

Оба административных шаблона (*.admx) и файлы локализации (*.adml) появятся в папке PolicyDefinitions в SYSVOL. Если вы хотите видеть названия политик или разделов в редакторе GPO на немецком языке, скопируйте подкаталоги locale с файлами ADML для всех языков, которые будут использоваться администраторами групповой политики (например, папки de_DE и en_US).

Я рекомендую использовать только английские ADML-файлы для GPO (папка en-US), даже если вы используете Deutsch версию Windows.

Копирование ADML-файлов языка административного шаблона в центральное хранилище GPO

Затем обновите шаблоны ADMX в Central Store до последней версии Windows, доступной в вашей доменной среде. Файлы шаблонов в Central Store реплицируются на все контроллеры домена. Подробнее о том, как устанавливать и обновлять шаблоны ADMX.

Важно! Перед обновлением файлов ADMX в центральном хранилище групповой политики настоятельно рекомендуется создать резервную копию этого каталога.

В моем случае я скопирую папку PolicyDefinitions из Windows 10 в GPO Central Store.

Вы можете скопировать файлы с помощью PowerShell:

$Destination = "\\woshub.com\SysVol\woshub.com\Policies\PolicyDefinitions"
$Source = "C:\Windows\PolicyDefinitions"
Copy-Item -Path $Source\* -Destination $Destination –Recurse –Force –PassThru

копирование шаблонов PolicyDefinitions admx на диск sysvol с помощью powershell

Административные шаблоны GPO для всех новых версий Windows можно загрузить здесь: https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store.

Вы также можете скопировать другие ADMX шаблоны в GPO Central Store. Например, могут существовать административные шаблоны для Microsoft Office, Microsoft Security Baseline, Firefox, Chrome, LAPS, настроек Java, Adobe Reader и т.д.

Примечание. Если вы используете устаревшие файлы шаблонов ADM, их нельзя использовать в центральном хранилище GPO.
Важно! Всегда используйте последнюю версию редактора групповой политики (gpedit.msc), чтобы избежать конфликтов между версиями групповой политики и настройками административного шаблона. Для этого администратор должен работать с объектами GPO с компьютера с последней версией Windows (многие администраторы предпочитают редактировать групповые политики только непосредственно с контроллеров домена) или с компьютера, на котором установлена последняя версия пакета RSAT.

Откройте редактор управления групповой политикой и убедитесь, что появилось сообщение Policy Definitions (ADMX files) retrieved from the central store рядом с Административные шаблоны. Локальные административные шаблоны в этом случае игнорируются.

Определения политики (файлы ADMX), полученные из центрального хранилища

Теперь вы можете настроить GPO и применить новые параметры групповой политики на клиентах.

В некоторых случаях после обновления Central Store при запуске редактора GPO вы можете увидеть несколько ошибок, как показано ниже:

Administrative Templates
Resource xxxx referenced in attribute xxxx could not be found.File \\xxx\SysVol\ xxx \Policies\PolicyDefinitions\xxx.admx, line 175, column 331

Затем убедитесь, что у вас обновлены языковые файлы GPO (*.adml) в папках en-US, de-DE и т.д. Если проблема сохраняется, восстановите каталог PolicyDefinitions из резервной папки (или образа резервной копии контроллера домена).

Чтобы новые административные шаблоны стали доступны на всех контроллерах домена, дождитесь, пока служба репликации файлов скопирует изменения на другие DC.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *