Создаем центральное хранилище административных шаблонов GPO

active directory logo

Добрый день! Уважаемые коллеги и пользователи одного из популярнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему с черным экраном Windows 10, где я получил много благодарственных комментариев. Движемся дальше и сегодня мы поговорим, что такое центральное хранилище административных шаблонов групповой политики, рассмотрим для чего все это нужно и как внедряется. Уверяю вас, что любой системный администратор у которого есть структура AD просто обязан использовать данную вещь. Уверен, что вам будет интересно.

Для чего придумали центральное хранилище административных шаблонов

Если вы управляли групповой политикой в ​​домене Active Directory в течение какого-то времени, то вам, вероятно, нужно будет в какой-то момент установить файлы ADMX для поддержки нового или обновленного приложения. например Google Chrome, Microsoft Office или Mozilla Firefox, которые по умолчанию не идут. Если вы находитесь в небольшой среде или у вас только несколько администраторов групповой политики, процесс обновления довольно прост: Вы копируйте новые файлы ADMX в папку C:\Windows\ PolicyDefinitions\ на станции управления, копируйте файлы ADML в правильную языковую подпапку, и все готово. Затем, если у вас есть другие администраторы групповой политики, убедиться, что файлы разосланы и им. Но когда у вас компьютеров в сети много или очень много, такое ручное копирование новых файлов ADMX становится весьма трудоемким процессом. Сама Active Directory задумывалась, как централизованная база данных и тут ключевое слово "Централизованное". Из чего следует вывод, что нам нужно как-то централизованно управлять административными шаблонами и и применять их к клиентским и серверным компьютерам.

Проблема заключается в том, что поддерживать файлы ADMX и ADML обновленными в очень большом количестве систем сложно. Если у вас много людей, управляющих групповой политикой, это практически невозможно. Даже если вы имеете дело только с одной станцией управления, если вы забудете скопировать содержимое папки PolicyDefinitions на новый компьютер, это может привести к появлению страшного списка «Дополнительные параметры реестра» в следующий раз, когда вам потребуется изменить объект групповой политики (GPO), потому что Консоль управления групповой политикой (GPMC) не может найти файлы ADMX и ADML, необходимые для правильного отображения параметров.

Центральное хранилище GPO

Именно здесь центральное хранилище групповой политики (Group Policy Central Store) может быть полезно вам и вашей организации. Центральное хранилище - это хранилище файлов ADMX и ADML, которые хранятся в папке SYSVOL вашего домена. Когда центральное хранилище настроено для домена, станции управления используют папку PolicyDefinitions в центральном хранилище вместо своей локальной копии файлов ADMX/ADML в C:\Windows\PolicyDefinitions\. Это дает вам одно место для обновления и гарантирует, что все администраторы групповой политики используют один и тот же набор файлов ADMX/ADML без необходимости распространять обновления на несколько компьютеров или серверов.

Что такое административный шаблон

Административные шаблон - это специализированный, текстовый файл, задачей которого выступает управление изменениями реестра на рабочих станциях Windows, для пользователя и компьютера. Данный файл посредством графической консоли "Управление групповой политикой (GPME)" позволяет в удобном виде менять данные настройки, которые потом по выбранному фильтру, будут применены к объекту пользователя, компьютера или обоим сразу. Данные административные шаблоны могут распространятся для разных программных продуктов отдельно и не быть в составе операционной системы Windows по умолчанию. Начиная с Windows Vista, Windows Server 2008 и выше административные шаблоны состоят из двух файлов XNL.

Сравнение расположения локальных ADM- и ADMX-файлов

Начиная с Windows Vista и дальше, параметры административных шаблонов GPO будут располагаться в виде файлов ADMX, локально на компьютере. ADMX файлы теперь будут лежать в другом каталоге, в отличие от старых ADM-файлов.

  • ADM-файл лежит по пути %systemroot%\inf
  • Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\policyDefinitions
  • Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\policyDefinitions\[MUIculture]

Расположение ADMX-файлов доменных политик

  • Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions
  • Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture]

Как создать центральное хранилище административных шаблонов GPO

Когда я только начинал свой жизненный путь в системном администрировании и знакомился с групповыми политиками, меня уже тогда привлекала внимание надпись "Административные шаблоны получены определения политик (ADMX-файлы) с локального компьютера", после чего я заинтересовался данной темой, о которой прочитал в книге "Настройка Active Directory. Windows Server 2008 (70-640)"

Административные шаблоны получены определения политик (ADMX-файлы) с локального компьютера

 

Чтобы создать центральное хранилище, нам нужно создать новую папку на контроллере домена (DC). Технически, не имеет значения, какой DC вы используете; однако если у вас много администраторов групповой политики или если некоторые контроллеры домена медленно реплицируются, вы можете рассмотреть возможность выполнения этого на эмуляторе PDC, поскольку консоль управления групповыми политиками предпочитает подключаться к нему по умолчанию при редактировании групповой политики.

На DC нам нужно создать новую папку PolicyDefinitions по пути:

\\короткое имя домена\SYSVOL\FQDN имя домена\Policies\ в моем примере \\root\SYSVOL\root.pyatilistnik.org\Policies

Создание папки централизованного хранилища ADMX

Создаем тут новую папку с именем PolicyDefinitions.

Центральное хранилище GPO создание папки PolicyDefinitions

Новая папка Центральное хранилище GPO создание папки PolicyDefinitions

То же самое можно выполнить и через командную строку, введя вот такую команду:

mkdir \\root\SYSVOL\root.pyatilistnik.org\Policies\PolicyDefinitions

Далее нам нужно скопировать все наши файлы ADMX и ADML в центральное хранилище. Напоминаю, что каждая операционная система имеет свои административные шаблоны, Windows 7 свои, Windows 8.1 свои, Windows Server 2012 R2 свои. Так как у меня мой тестовый контроллер домена находится на Windows Server 2012 R2, то я начну с него. Откройте папку C:\Windows\PolicyDefinitions и скопируйте ее содержимое в виде ADMX файлов и языковых пакетов в нашу новую папку \\root\SYSVOL\root.pyatilistnik.org\Policies\PolicyDefinitions. Выделяем нужные файлы и переносим их в папку PolicyDefinitions.

Копирование файлов в Центральное хранилище GPO

В итоге мои административные шаблоны от Windows Server 2012 R2 попали в мое центральное хранилище GPO.

Наполнение папки PolicyDefinitions

Как добавить самые свежие версии административных шаблонов

Чтобы иметь возможность добавить самые последние версии ADMX файлов, у вас есть два пути:

  • Первый это установить нужную операционную систему, обновить ее полностью, и после это уже скопировать ее содержимое из папки C:\Windows\PolicyDefinitions в вашу папку центрального хранилища административных шаблонов.
  • Второй путь, это быстро скачать самые свежие версии с сайта Microsoft и просто все установить, мне кажется, что второй путь самый простой и быстрый.

Тут можно скачать самые свежие версии административных шаблонов GPO - https://support.microsoft.com/ru-ru/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

Скачивание административных шаблонов Windows

ЕЩЕ очень важный момент, что создавать центральное хранилище административных шаблонов нужно от более старой версии операционной системы к новой, так как есть файлы с одинаковыми именами, и логично, чтобы более свежая версия перезаменяла старую, то есть от Windows 7 идем через Windows 8.1 (Если используется), Windows 10

Начинаем установку нужных вам административных шаблонов.

Установка административных шаблонов-01

Принимаем лицензионное соглашение

Установка административных шаблонов-02

Обращаем на каталог установки ваших административных шаблонов, именно из данного расположения вы будите копировать в вашу новую папку PolicyDefinitions

Установка административных шаблонов-03

Не длительный процесс установки.

Установка административных шаблонов-04

Выделяем нужные языки и файлы ADMX и копируем их к вам в центральное хранилище.

Список установленных административных шаблонов

Теперь если попробовать отредактировать любой объект GPO вы увидите уже такую надпись: "Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища"

ADMX получены из центрального хранилища

Чтобы в момент редактирования объектов GPO с рабочей станции администратора, у вас не возникало конфликтов с версиями, советую всегда иметь последнюю установленную версию RSAT или делать, это с самого контроллера домена

На этом у меня все. Мы с вами разобрали назначение и создание центрального хранилища административных шаблонов. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Сержик

    Привет. Несколько шаблонов майкросовт убрал
    Административные шаблоны (ADMX) для Windows 10 версии 1803 (обновление за апрель 2018 года)
    Административные шаблоны (.admx) для обновления Windows 10 от октября 2018 версии 1809

    Не могли бы вы залить к себе в облако.

  2. Иван Семин автор

    Ок выложу.

  3. Вася

    Не совсем понятно.. разъясните
    Есть:
    — 2 DC с 2012r2 и 2 DC Server 2016 Схема соответственно 2012R2
    — Клиенты Windows 7,8,10
    одним словом зоопарк)
    подскажите какие admx брать что бы все у всех работало?
    Достаточно ли просто установить последуюю версию «Административные шаблоны (.admx) для обновления Windows от 10 мая 2019 версии 1903»
    или нужно устанавливать все (от старой к новой)
    Спасибо..

  4. Иван Семин автор

    Под каждую ОС придется ставить свою, нужно идти от ранних версий к более поздним

  5. Yaromax

    Добрый день, так и не понял, как организовать центральное хранилище для зоопарка систем.
    Уровень домена 2012R2, контроллеры на 2012R2, клиенты на 7/10.
    Если скопировать в центральное хранилище определения с контроллера домена — вопросов нет, но определяются не все параметры, отображаются Дополнительные параметры реестра.

    Последовательность действий:
    — копируем определения с настроенной Windows 7
    — копируем с перезаписью с контроллера под 2012R2
    — копируем с перезаписью с настроенной Windows 10.
    В итоге и с контроллера, и с компьютера под Windows 7 с RSAT получаем кучу сообщений про отсутствующие файлы.

  6. Иван Семин автор

    Добрый день! Копировать да нужно с раннего до позднего, что за ошибки у вас появляются и где?

  7. Александр

    Начал скачивать административные шаблоны и где-то с середины списка начали вылетать ошибки. Зашел с другого браузера — удалось скачать еще два шаблона и снова ошибка 404. Зашел с третьего браузера — удалось скачать еще два шаблона. Остались последние два, увы, скачать не удается (( Благо, что качать начал с конца списка, шаблоны достану с обновленной десятки. Автору спасибо!

  8. S.M.

    Я не знаю , когда писалась статья может это и сработало, но сейчас , если пытаться редактировать шару \\короткое имя домена\SYSVOL\FQDN имя домена\Policies\ система не даст! Даже под администратором Предприятия.

    Я в итоге добавил папку Policy Definitions через DC в C:\Windows\Sysvol