如何在 Windows 中为组策略管理模板创建和管理中央存储

本文介绍如何使用新的 .admx 和 .adml 文件在 Windows 中创建和管理基于注册表的策略设置。 本文还介绍如何使用中央存储在域环境中存储和复制基于 Windows 的策略文件。

原始产品版本:   Windows 10 - 所有版本、Windows Server 2019、Windows Server 2012 R2、Windows 7 Service Pack 1
原始 KB 编号:   3087759

若要查看在更高版本的操作系统中可用的新设置的 ADMX 电子表格,请参阅组 策略设置参考电子表格 Windows 1809

概述

管理模板文件分为 .admx 文件和特定语言的 .adml 文件,供组策略管理员使用。 通过这些文件中实现的更改,管理员可以使用两种语言配置同一组策略。 管理员可以使用特定语言的 .adml 文件和中性语言的 .admx 文件来配置策略。

管理模板文件存储

Windows 使用中央存储存储管理模板文件。 ADM 文件夹不会在组策略对象 (GPO) ,就像在早期版本的 Windows 中一样。 因此,Windows 域控制器不会存储或复制 .adm 文件的冗余副本。

中央存储

若要利用 .admx 文件的优势,必须在 Windows 域控制器上的 sysvol 文件夹中创建中央存储。 中央存储是默认情况下由组策略工具检查的文件位置。 组策略工具使用中央存储中所有的 .admx 文件。 中央存储中的文件将复制到域中的所有域控制器。

我们建议为你可能想要使用的应用程序保留你拥有的任何 ADMX/L 文件的存储库。 例如,Microsoft 桌面优化包等操作系统扩展 (MDOP) 、Microsoft Office 以及提供组策略支持的第三方应用程序。

若要为 .admx 和 .adml 文件创建中央存储,请从以下位置创建一个名为 PolicyDefinitions 的新文件夹 (例如) 域控制器上的文件:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

如果你已拥有具有以前构建的中央存储的文件夹,请使用描述当前版本的新文件夹,例如:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

将源计算机上 PolicyDefinitions 文件夹中的所有文件复制到域控制器上的新 PolicyDefinitions 文件夹中。 源位置可以是以下任一位置:

  • C:\Windows\PolicyDefinitions基于 Windows 8.1 或基于 Windows 10 的客户端计算机上的文件夹
  • C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions文件夹(如果已独立于上述链接下载任何管理模板)。

Windows 域控制器上的 PolicyDefinitions 文件夹存储客户端计算机上已启用的所有语言的 .admx 文件和 .adml 文件。

.adml 文件存储在特定语言的文件夹中。 例如,英语 (美国) .adml 文件存储在名为 en-US 的文件夹中。 朝鲜语 .adml 文件存储在名为 ko_KR 等文件夹中

如果需要其他语言的 .adml 文件,则必须将包含该语言的 .adml 文件的文件夹复制到中央存储。 复制所有 .admx 和 .adml 文件时,域控制器上的 PolicyDefinitions 文件夹应包含 .admx 文件和一个或多个包含特定语言的 .adml 文件的文件夹。

备注

从基于 Windows 8.1 或基于 Windows 10 的计算机复制 .admx 和 .adml 文件时,请确认已安装这些文件的最新更新。 此外,请确保复制最新的管理模板文件。 此建议还适用于 Service Pack(如果适用)。

操作系统集合完成后,将任何操作系统扩展或应用程序 ADMX/ADML 文件合并到新的 PolicyDefinitions 文件夹中。

完成此操作后,重命名当前 PolicyDefinitions 文件夹以反映它是以前的版本,例如 PolicyDefinitions-1709。 然后,将新文件夹 (如 PolicyDefinitions-1803) 产品名称。

我们建议采用这种方法,因为如果您遇到新文件集的严重问题,您可以还原到旧文件夹。 如果新文件集没有遇到任何问题,可以将旧 PolicyDefinitions 文件夹移动到 sysvol 文件夹外部的存档位置。

组策略管理

Windows 8.1 和 Windows 10 不包含扩展为 .adm 的管理模板。 我们建议你使用运行 Windows 8.1 或更高版本的 Windows 的计算机来执行组策略管理。

更新管理模板文件

在 Windows Vista 和更高版本的 Windows 的组策略中,如果更改本地计算机上的管理模板策略设置,sysvol 文件夹不会自动更新为包含新的 .admx 或 .adml 文件。 实现此行为是以减少网络负载和磁盘存储要求,以及防止在不同位置对管理模板策略设置进行更改时 .admx 和 .adml 文件之间发生冲突。

若要确保所有本地更新都反映在 sysvol 文件夹中,您必须手动将更新的 .admx 或 .adml 文件从本地计算机的 PolicyDefinitions 文件复制到相应域控制器上的 Sysvol\PolicyDefinitions 文件夹中。

通过以下更新,可以将本地组策略编辑器配置为使用本地 .admx 文件,而不是中央存储:

更新可用于为组策略编辑器启用本地 ADMX 文件

您还可以使用此设置:

  • 根据域策略在管理工作站上测试新构建的文件夹,然后再将其复制到 c:\windows\policydefinitions sysvol 文件夹上的中央存储。
  • 使用较旧的 PolicyDefinitions 文件夹编辑中央存储的最新版本中没有 ADMX 文件的策略设置。 一个常见示例是策略,其中具有仍在组策略Microsoft Office旧版策略的设置。 Microsoft Office每个版本都有一组单独的 ADMX/L 文件。

已知问题

  • 问题 1

    将 Windows 10 .admx 模板复制到 sysvol 文件夹中央存储并覆盖所有现有的 .admx 和 .adml文件后,选择"计算机配置"或"用户配置"下的"策略"节点。 在这种情况下,您可能会收到以下错误消息:

    命名空间"Microsoft.Policies.Sensors.WindowsLocationProvider"已定义为存储中另一个文件的目标命名空间。
    文件
    \\<forest.root>\SysVol <forest.root> \Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx,第 5 行,列 110

    备注

    在此邮件的路径中,<forest.root> 表示域名。

    若要解决此问题,请参阅在 Windows 中编辑策略时出现"'Microsoft.Policies.Sensors.WindowsLocationProvider'已定义"错误

  • 问题 2

    Windows 10 版本 1803 更新的 ADMX/L 文件仅包含 SearchOCR.ADML。 它与您仍位于中央存储中的较旧版本 SearchOCR.ADMX 不兼容。 有关此问题的详细信息,请参阅在 Windows 中打开 gpedit.msc 时出现"找不到属性 displayName 中引用的资源 '$ (string ID=Win7Only) '"错误

    如上文所述,通过从基本操作系统发布文件夹生成一个"PolicyDefinitions"文件夹,可以避免这两个问题。