Recommandations pour la gestion des fichiers de modèle d’administration de stratégie de groupe (.adm)

Cet article décrit le fonctionnement des fichiers ADM, les paramètres de stratégie disponibles pour gérer leur fonctionnement et des recommandations sur la gestion des scénarios de gestion de fichiers ADM courants.

S’applique à :   Windows Server 2012 R2, Windows 10 - toutes les éditions
Numéro de la ko d’origine :   816662

Notes

Nous vous recommandons d’utiliser Windows Vista pour gérer l’infrastructure de stratégie de groupe à l’aide d’un magasin central. Cette recommandation est valable même si l’environnement possède un mélange de clients et de serveurs de bas niveau, tels que des ordinateurs exécutant Windows XP ou Windows Server 2003. Windows Vista utilise un nouveau modèle qui utilise des fichiers ADMX et ADML pour gérer les modèles de stratégie de groupe.

Pour plus d’informations, consultez les sites Web suivants :

Si vous devez utiliser des ordinateurs Windows XP ou Windows Server 2003 pour gérer l’infrastructure de stratégie de groupe, consultez les recommandations de cet article.

Présentation des fichiers ADM

Les fichiers ADM sont des fichiers modèles utilisés par les stratégies de groupe pour décrire l’endroit où les paramètres de stratégie basés sur le Registre sont stockés dans le Registre. Les fichiers ADM décrivent également l’interface utilisateur que les administrateurs voient dans le logiciel en ligne éditeur d’objets de stratégie de groupe. L’Éditeur d’objets de stratégie de groupe est utilisé par les administrateurs lorsqu’ils créent ou modifient des objets de stratégie de groupe.

Stockage de fichiers ADM et valeurs par défaut

Dans le dossier Sysvol de chaque contrôleur de domaine, chaque GPO de domaine conserve un dossier unique, nommé GPT (Group Policy Template). La stratégie de groupe stocke tous les fichiers ADM utilisés dans l’Éditeur d’objets de stratégie de groupe lors de la dernière création ou modification des objets de stratégie de groupe.

Chaque système d’exploitation comprend un ensemble standard de fichiers ADM. Ces fichiers standard sont les fichiers par défaut chargés par l’Éditeur d’objets de stratégie de groupe. Par exemple, Windows Server 2003 inclut les fichiers ADM suivants :

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Fichiers ADM personnalisés

Les fichiers ADM personnalisés peuvent être créés par des développeurs de programmes ou des professionnels de l’informatique pour étendre l’utilisation des paramètres de stratégie basés sur le Registre à de nouveaux programmes et composants.

Notes

Les programmes et les composants doivent être conçus et codés pour reconnaître les paramètres de stratégie décrits dans le fichier ADM et y répondre.

Pour charger des fichiers ADM dans l’Éditeur d’objets de stratégie de groupe, suivez les étapes suivantes :

  1. Démarrez l’Éditeur d’objets de stratégie de groupe.

  2. Cliquez avec le bouton droit sur Modèles d’administration, puis cliquez sur Ajouter/Supprimer des modèles.

    Notes

    Les modèles d’administration sont disponibles sous Configuration de l’ordinateur ou de l’utilisateur. Sélectionnez la configuration qui est correcte pour votre modèle personnalisé.

  3. Cliquez sur Ajouter.

  4. Cliquez sur un fichier ADM, puis sur Ouvrir.

  5. Cliquez sur Fermer.

  6. Les paramètres de stratégie de fichier ADM personnalisés sont désormais disponibles dans l’Éditeur d’objets de stratégie de groupe.

Mettre à jour les fichiers et les timestamps ADM

Chaque station de travail d’administration utilisée pour exécuter l’Éditeur d’objets de stratégie de groupe stocke les fichiers ADM dans le dossier %windir% \ Inf. Lorsque des GFO sont créés et modifiés pour la première fois, les fichiers ADM de ce dossier sont copiés dans le sous-dossier Adm dans le GPT. Cela inclut les fichiers ADM standard et tous les fichiers ADM personnalisés ajoutés par l’administrateur.

Notes

La création d’un GPO sans modification ultérieure crée un GPO sans fichiers ADM.

Par défaut, lorsque les objets de stratégie de groupe sont modifiés, l’Éditeur d’objets de stratégie de groupe compare les timestamps des fichiers ADM du dossier %windir% Inf de la station de travail à ceux stockés dans le dossier \ Adm gpts. Si les fichiers de la station de travail sont plus nouveaux, l’Éditeur d’objets de stratégie de groupe copie ces fichiers dans le dossier GPT Adm, en éritant les fichiers existants du même nom. Cette comparaison se produit lorsque le nœud Modèles d’administration (configuration ordinateur ou utilisateur) est sélectionné dans l’Éditeur d’objets de stratégie de groupe, que l’administrateur modifie ou non l’objet de stratégie de groupe.

Notes

Les fichiers ADM stockés dans le GPT peuvent être mis à jour en visualisé un objet de stratégie de groupe dans l’Éditeur d’objets de stratégie de groupe.

En raison de l’importance des timestamps sur la gestion des fichiers ADM, la modification des fichiers ADM fournis par le système n’est pas recommandée. Si un nouveau paramètre de stratégie est requis, Microsoft vous recommande de créer un fichier ADM personnalisé. Cela empêche le remplacement des fichiers ADM fournis par le système lorsque des Service Packs sont publiés.

Console de gestion des stratégies de groupe

Par défaut, la Console de gestion des stratégies de groupe (GPMC) utilise toujours les fichiers ADM locaux, quel que soit leur horodat, et ne copie jamais les fichiers ADM dans le Sysvol. Si un fichier ADM est in found, GPMC recherche le fichier ADM dans le GPT. En outre, l’utilisateur GPMC peut spécifier un autre emplacement pour les fichiers ADM. Si un autre emplacement est spécifié, cet autre emplacement est prioritaire.

Réplication des GPO

Le service de réplication de fichiers (FRS) réplique les GTE pour les G STRATÉGIE de groupe dans l’ensemble du domaine. Dans le cadre du GPT, le sous-dossier Adm est répliqué sur tous les contrôleurs de domaine du domaine. Étant donné que chaque objet de stratégie de groupe stocke plusieurs fichiers ADM et que certains d’entre eux peuvent être très importants, vous devez comprendre comment les fichiers ADM ajoutés ou mis à jour lorsque vous utilisez l’Éditeur d’objets de stratégie de groupe peuvent affecter le trafic de réplication.

Utiliser les paramètres de stratégie pour contrôler les mises à jour des fichiers ADM

Deux paramètres de stratégie disponibles pour faciliter la gestion des fichiers ADM. Ces paramètres rendent possible pour l’administrateur d’affiner l’utilisation des fichiers ADM pour un environnement spécifique. Il s’agit des paramètres « Désactiver les mises à jour automatiques des fichiers ADM » et « Toujours utiliser les fichiers ADM locaux pour l’Éditeur de stratégie de groupe ».

Désactiver les mises à jour automatiques des fichiers ADM

Ce paramètre de stratégie est disponible sous Stratégie de groupe système Modèles d’administration de configuration utilisateur dans \ \ Windows Server \ 2003, Windows XP et Windows 2000. Ce paramètre peut être appliqué à n’importe quel client activé pour la stratégie de groupe.

Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe

Ce paramètre de stratégie est disponible sous Stratégie de groupe système \ modèles d’administration de configuration \ \ ordinateur. Il s’agit d’un nouveau paramètre de stratégie. Il peut être appliqué uniquement aux clients Windows Server 2003. Le paramètre peut être déployé sur des clients plus anciens, mais il n’aura aucun effet sur leur comportement. Si ce paramètre est activé, l’Éditeur d’objets de stratégie de groupe utilise toujours des fichiers ADM locaux dans le dossier %windir% Inf du système local lorsque vous modifiez un objet de stratégie \ de groupe.

Notes

Si ce paramètre de stratégie est activé, la désactiver les mises à jour automatiques du paramètre de stratégie de fichiers ADM est implicite.

Scénarios courants et recommandations pour les problèmes d’administration multilangue

Dans certains environnements, les paramètres de stratégie peuvent être présentés à l’interface utilisateur dans différentes langues. Par exemple, un administrateur aux États-Unis peut vouloir afficher les paramètres de stratégie pour un GPO spécifique en anglais, et un administrateur en France peut afficher le même GPO en utilisant le français comme langue préférée. Étant donné que gpt ne peut stocker qu’un seul ensemble de fichiers ADM, vous ne pouvez pas utiliser le GPT pour stocker des fichiers ADM pour les deux langues.

Pour Windows 2000, l’utilisation de fichiers ADM locaux par l’Éditeur d’objets de stratégie de groupe n’est pas prise en charge. Pour contourner ce besoin, utilisez le paramètre de stratégie « Désactiver les mises à jour automatiques des fichiers ADM ». Étant donné que ce paramètre de stratégie n’a aucun effet sur la création de nouveaux GPO, les fichiers ADM locaux sont téléchargés vers gpt dans Windows 2000 et la création d’un GPO dans Windows 2000 définit effectivement « la langue de l’GPO ». Si le paramètre de stratégie « Désactiver les mises à jour automatiques des fichiers ADM » est en vigueur sur toutes les stations de travail Windows 2000, la langue des fichiers ADM dans le GPT est définie par la langue de l’ordinateur utilisé pour créer l’GPO.

Pour les administrateurs qui utilisent Windows XP et Windows Server 2003, le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe » peut être utilisé. Cela permet à l’administrateur français d’afficher les paramètres de stratégie à l’aide des fichiers ADM installés localement sur sa station de travail (français), quel que soit le fichier ADM stocké dans le GPT. Lorsque vous utilisez ce paramètre de stratégie, il est implicite que le paramètre de stratégie « Désactiver les mises à jour automatiques des fichiers ADM » est activé pour éviter les mises à jour inutiles des fichiers ADM vers le GPT.

Envisagez également de standardiser le système d’exploitation le plus récent de Microsoft pour les stations de travail d’administration dans un environnement d’administration multi-langue. Configurez ensuite les paramètres de stratégie « Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe » et « Désactiver les mises à jour automatiques des fichiers ADM ».

Si des stations de travail Windows 2000 sont utilisées, utilisez le paramètre de stratégie « Désactiver les mises à jour automatiques des fichiers ADM » pour les administrateurs et considérez les fichiers ADM du GPT comme la langue efficace pour toutes les stations de travail Windows 2000.

Notes

Les stations de travail Windows XP peuvent toujours utiliser leurs versions locales spécifiques d’une langue.

Scénarios courants et recommandations pour les problèmes de publication du système d’exploitation et du Service Pack

Chaque version de système d’exploitation ou de Service Pack inclut un sur-ensemble des fichiers ADM fournis par les précédentes, y compris les paramètres de stratégie spécifiques aux systèmes d’exploitation qui sont différents de ceux de la nouvelle version. Par exemple, les fichiers ADM fournis avec Windows Server 2003 incluent tous les paramètres de stratégie pour tous les systèmes d’exploitation, y compris ceux qui sont uniquement pertinents pour Windows 2000 ou Windows XP Professionnel. Cela signifie que seul l’affichage d’un GPO à partir d’un ordinateur avec la nouvelle version d’un système d’exploitation ou d’un Service Pack permet de mettre à niveau efficacement les fichiers ADM. Comme les versions ultérieures sont généralement un sur-ensemble des fichiers ADM précédents, cela ne crée généralement pas de problèmes, en supposant que les fichiers ADM utilisés n’ont pas été modifiés.

Dans certains cas, une version de service pack ou de système d’exploitation peut inclure un sous-ensemble des fichiers ADM fournis avec les version antérieures. Cela peut présenter un sous-ensemble précédent des fichiers ADM, ce qui a pour effet que les paramètres de stratégie ne sont plus visibles pour les administrateurs lorsqu’ils utilisent l’Éditeur d’objets de stratégie de groupe. Toutefois, les paramètres de stratégie resteront actifs dans l’GPO. Seule la visibilité des paramètres de stratégie dans l’Éditeur d’objets de stratégie de groupe est affectée. Tous les paramètres de stratégie actifs (activés ou désactivés) ne sont pas visibles dans l’Éditeur d’objets de stratégie de groupe, mais restent actifs. Étant donné que les paramètres ne sont pas visibles, il n’est pas possible pour l’administrateur d’afficher ou de modifier ces paramètres de stratégie. Pour contourner ce problème, les administrateurs doivent se familiariser avec les fichiers ADM inclus dans chaque version de système d’exploitation ou de Service Pack avant d’utiliser l’Éditeur d’objets de stratégie de groupe sur ce système d’exploitation, en gardant à l’esprit que le fait d’afficher un objet de stratégie de groupe est suffisant pour mettre à jour les fichiers ADM dans le GPT, lorsque la comparaison d’timestamps détermine qu’une mise à jour est appropriée.

Pour planifier cela dans votre environnement, Microsoft vous recommande soit :

  • Définissez un système d’exploitation/Service Pack standard à partir duquel l’affichage et la modification des G STRATÉGIE de groupe ont lieu, en vous assurez que les fichiers ADM utilisés incluent les paramètres de stratégie pour toutes les plateformes.

  • Utilisez le paramètre de stratégie « Désactiver les mises à jour automatiques des fichiers ADM » pour tous les administrateurs de stratégie de groupe pour vous assurer que les fichiers ADM ne sont pas remplacés dans le GPT par une session de l’Éditeur d’objets de stratégie de groupe et assurez-vous que vous utilisez les derniers fichiers ADM disponibles auprès de Microsoft.

Notes

La stratégie « Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe » est généralement utilisée avec cette stratégie, lorsqu’elle est prise en charge par le système d’exploitation à partir duquel l’Éditeur d’objets de stratégie de groupe est exécuté.

Supprimer des fichiers ADM du dossier Sysvol

Par défaut, les fichiers ADM sont stockés dans le GPT, ce qui peut augmenter considérablement la taille du dossier Sysvol. En outre, une modification fréquente des G STRATÉGIE de groupe peut entraîner une quantité importante de trafic de réplication. L’utilisation d’une combinaison des paramètres de stratégie « Désactiver les mises à jour automatiques des fichiers ADM » et « Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe » peut considérablement réduire la taille du dossier Sysvol et réduire le trafic de réplication lié à la stratégie dans lequel un nombre important de modifications de stratégie se produit.

Si la taille du volume Sysvol ou du trafic de réplication lié à la stratégie de groupe devient problématique, envisagez d’implémenter un environnement dans lequel Sysvol ne stocke aucun fichier ADM. Ou envisagez de gérer des fichiers ADM sur des stations de travail d’administration. Ce processus est décrit dans la section suivante.

Pour effacer le dossier Sysvol des fichiers ADM, suivez les étapes suivantes :

  1. Activez le paramètre de stratégie « Désactiver la mise à jour automatique des fichiers ADM » pour tous les administrateurs de stratégie de groupe qui modifiera les G STRATÉGIE de groupe.
  2. Assurez-vous que cette stratégie a été appliquée.
  3. Copiez les modèles ADM personnalisés dans le dossier %windir% \ Inf.
  4. Modifiez les G GPO existants, puis supprimez tous les fichiers ADM du GPT. Pour ce faire, cliquez avec le bouton droit sur Modèles d’administration, puis cliquez sur Ajouter/Supprimer un modèle.
  5. Activez le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour la modification des objets de stratégie de groupe » pour les stations de travail d’administration.

Gérer les fichiers ADM sur les stations de travail d’administration

Lorsque vous utilisez le paramètre de stratégie « Toujours utiliser les fichiers ADM locaux pour l’éditeur de stratégie de groupe », assurez-vous que chaque station de travail dispose de la dernière version des fichiers ADM par défaut et personnalisés. Si tous les fichiers ADM ne sont pas disponibles localement, certains paramètres de stratégie contenus dans un GPO ne seront pas visibles par l’administrateur. Évitez cela en implémentant un système d’exploitation standard et une version de Service Pack pour tous les administrateurs. Si vous ne pouvez pas utiliser un service pack et un système d’exploitation standard, implémentez un processus pour distribuer les derniers fichiers ADM à toutes les stations de travail d’administration.

Notes

  • Étant donné que les fichiers ADM de la station de travail sont stockés dans le dossier %windir% Inf, tout processus utilisé pour distribuer ces fichiers doit s’exécuter dans le contexte d’un compte qui dispose d’informations d’identification administratives sur la station de \ travail.
  • Windows XP ne prend pas en charge la modification des G STRATÉGIE de groupe lorsqu’il n’existe aucun fichier ADM dans le dossier Sysvol. Dans un environnement dynamique, vous devez tenir compte de cette limitation de conception.