如何在 Windows 中创建和管理组策略管理模板的中央存储

项目
04/11/2024

本文介绍了如何使用新的 .admx 和 .adml 文件，用于在 Windows 中创建和管理基于注册表的策略设置。本文还解释了如何使用中央存储在域环境中存储和复制基于 Windows 的策略文件。

适用于：Windows 11、Windows 10 - 所有版本、Windows Server 2019、Windows Server 2012 R2、Windows 7 Service Pack 1
原始 KB 编号： 3087759

用于下载基于操作系统版本的管理模板文件的链接

若要查看更高操作系统版本中提供的新设置的 ADMX 电子表格，请参阅以下电子表格：

概述

管理模板文件分为 .admx 文件和特定语言的 .adml 文件，供组策略管理员使用。通过这些文件中实现的更改，管理员可以使用两种语言配置同一组策略。管理员可以使用特定语言的 .adml 文件和中性语言的 .admx 文件来配置策略。

管理模板文件存储

Windows 使用中央存储来存储管理模板文件。与早期版本的 Windows 一样，ADM 文件夹不是在组策略对象 (GPO) 中创建的。因此，Windows 域控制器不会存储或复制 .adm 文件的冗余副本。

中央存储

若要利用 .admx 文件的优势，则必须在 Windows 域控制器上的 sysvol 文件夹中创建一个中央存储。中央存储是默认情况下由组策略工具检查的文件位置。组策略工具使用中央存储中所有的 .admx 文件。中央存储中的文件将复制到域中的所有域控制器。

我们建议保留一个 ADMX/L 文件的存储库，供你可能要使用的应用程序使用。例如，Microsoft 桌面优化包 (MDOP)、Microsoft Office 等操作系统扩展，以及提供组策略支持的第三方应用程序。

若要为 .admx 和 .adml 文件创建中央存储，请在域控制器上的以下位置（例如）创建一个名为 PolicyDefinitions 的新文件夹：

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

如果你已经有了这样一个包含以前构建的中央存储的文件夹，请使用描述当前版本的新文件夹，例如：

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

将源计算机上 PolicyDefinitions 文件夹中的所有文件复制到域控制器上的新 PolicyDefinitions 文件夹中。源位置可以是以下任一位置：

C:\Windows\PolicyDefinitions基于 Windows 8.1 或 Windows 10 客户端计算机上的文件夹
C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions 文件夹，如果你已经从上面的链接中单独下载了任何管理模板。

Windows 域控制器上的 PolicyDefinitions 文件夹存储客户端计算机上启用的所有语言的 .admx 文件和 .adml 文件。

.adml 文件存储在特定语言的文件夹中。例如，英语 (美国) .adml 文件存储在名为 en-US 的文件夹中。朝鲜语 .adml 文件存储在名为 ko_KR 的文件夹，等等。

如果需要其他语言的 .adml 文件，则必须将包含该语言的 .adml 文件的文件夹复制到中央存储。复制所有 .admx 和 .adml 文件时，域控制器上的 PolicyDefinitions 文件夹应包含 .admx 文件和一个或多个包含特定语言的 .adml 文件的文件夹。

注意

从基于 Windows 8.1 或基于 Windows 10 的计算机复制 .admx 和 .adml 文件时，请确认已安装这些文件的最新更新。此外，请确保复制最新的管理模板文件。此建议还适用于 Service Pack（如果适用）。

操作系统集合完成后，将任何操作系统扩展或应用程序 ADMX/ADML 文件合并到新的 PolicyDefinitions 文件夹中。

完成此操作后，重命名当前 PolicyDefinitions 文件夹以反映它是以前的版本，例如 PolicyDefinitions-1709。然后，将新文件夹（如 PolicyDefinitions-1803）重命名为产品名称。

我们建议使用这种方法，因为如果新文件集出现严重问题，你可以恢复到旧文件夹。如果新文件集没有遇到任何问题，可以将旧 PolicyDefinitions 文件夹移动到 sysvol 文件夹外部的存档位置。

组策略管理

Windows 8.1和 Windows 10不包括扩展为 .adm 的管理模板。我们建议你使用运行 Windows 8.1 或更高版本 Windows 的计算机来执行组策略管理。

更新管理模板文件

在 Windows Vista 和更高版本的 Windows 的组策略中，如果更改本地计算机上的管理模板策略设置，sysvol 文件夹不会自动更新以包含新的 .admx 或 .adml 文件。实现此行为是为了减少网络负载和磁盘存储要求，以及防止在不同位置对管理模板策略设置进行更改时 .admx 和 .adml 文件之间发生冲突。

若要确保所有本地更新都反映在 sysvol 文件夹中，你必须手动将更新的 .admx 或 .adml 文件从本地计算机的 PolicyDefinitions 文件复制到相应域控制器上的 Sysvol\PolicyDefinitions 文件夹中。

通过以下更新，可以将本地组策略编辑器配置为使用本地 .admx 文件，而不是中央存储：

更新可供组策略编辑器使用本地 ADMX 文件。

你还可以使用此设置：

根据域策略C:\Windows\PolicyDefinitions在管理工作站上测试新构建的文件夹，然后再将其复制到 sysvol 文件夹上的中央存储。
使用较旧的 PolicyDefinitions 文件夹编辑最新版本的中央存储中没有 ADMX 文件的策略设置。一个常见的例子是策略中包含的 Microsoft Office 旧版本设置仍在组策略中。对于每个版本，Microsoft Office 都有一组单独的 ADMX/L 文件。

已知问题

问题 1

将 Windows 10 .admx 模板复制到 sysvol 文件夹中央存储并覆盖所有现有的 .admx 和 .adml 文件后，选择“计算机配置”或“用户配置”下的“策略”节点。在这种情况下，你会收到以下错误消息：

命名空间“Microsoft.Policies.Sensors.WindowsLocationProvider“已定义为存储中另一个文件的目标命名空间。
文件
\\<forest.root>\SysVol<forest.root>\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx，第 5 行，第 110 列

注意

在此消息的路径中， <forest.root> 表示域名。要解决此问题，请参阅在 Windows 中编辑策略时出现“Microsoft.Policies.Sensors.WindowsLocationProvider' is already defined”错误。
问题 2

Windows 10 版本1803 的更新 ADMX/L 文件仅包含 SearchOCR.ADML。它与仍位于中央存储中的较旧版本 SearchOCR.ADMX 不兼容。有关此问题的详细信息，请参阅当你在 Windows 中打开 gpedit.msc 时出现“Resource '$(string ID=Win7Only)' referenced in attribute displayName could not be found”错误。

如上文所述，通过从基本操作系统发布文件夹生成一个“PolicyDefinitions”文件夹，可以避免这两个问题。