有关管理组策略管理模板的建议 (.adm) 文件

本文介绍了 ADM 文件如何工作、可用于管理其操作的策略设置,以及如何处理常见的 ADM 文件管理方案的建议。

适用于:   Windows Server 2012 R2、Windows 10 - 所有版本
原始 KB 编号:   816662

备注

建议使用 Windows Vista 通过中央存储管理组策略基础结构。 即使环境中混合了低级别客户端和服务器(如运行 Windows XP 或 Windows Server 2003 的计算机)也是如此。 Windows Vista 使用采用 ADMX 和 ADML 文件的新模型来管理组策略模板。

有关详细信息,请访问以下网站:

如果必须使用基于 Windows XP 或基于 Windows Server 2003 的计算机来管理组策略基础结构,请参阅本文中的建议。

ADM 文件简介

ADM 文件是组策略使用的模板文件,用于描述基于注册表的策略设置在注册表中的存储位置。 ADM 文件还介绍了管理员在组策略对象编辑器管理单元中看到的用户界面。 管理员在 GPO 中创建或修改组策略对象时,会使用组策略对象 (GPO) 。

ADM 文件存储和默认值

在每个域控制器的 Sysvol 文件夹中,每个域 GPO 维护一个文件夹,此文件夹命名为组策略模板 (GPT) 。 GPT 存储上次创建或编辑 GPO 时在组策略对象编辑器中使用的所有 ADM 文件。

每个操作系统包括一组标准 ADM 文件。 这些标准文件是由组策略对象编辑器加载的默认文件。 例如,Windows Server 2003 包括以下 ADM 文件:

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自定义 ADM 文件

程序开发人员或 IT 专业人员可创建自定义 ADM 文件,以将基于注册表的策略设置的使用扩展到新的程序和组件。

备注

必须设计和编码程序和组件,以识别和响应 ADM 文件中介绍的策略设置。

若要在组策略对象编辑器中加载 ADM 文件,请按照以下步骤操作:

  1. 启动组策略对象编辑器。

  2. 右键单击 "管理模板", 然后单击"添加/删除模板"。

    备注

    "计算机"或" 用户配置" 下提供了 管理模板。 选择适合自定义模板的配置。

  3. 单击“添加”。

  4. 单击 ADM 文件,然后单击"打开 "。

  5. 单击“关闭”。

  6. 自定义 ADM 文件策略设置现在可在组策略对象编辑器中使用。

更新 ADM 文件和时间戳

用于运行组策略对象编辑器的每个管理工作站将 ADM 文件存储在 %windir% \ Inf 文件夹中。 创建并首次编辑 GPO 时,此文件夹中的 ADM 文件将复制到 GPT 中的 Adm 子文件夹。 这包括标准 ADM 文件和管理员添加的任何自定义 ADM 文件。

备注

创建无需稍后编辑的 GPO 即可创建不带任何 ADM 文件的 GPT。

默认情况下,在编辑 GPO 时,组策略对象编辑器会将工作站的 %windir% Inf 文件夹中 ADM 文件的时间戳与 \ 存储在 GPO Adm 文件夹中的时间戳进行比较。 如果工作站的文件较新,组策略对象编辑器会将这些文件复制到 GPT Adm 文件夹,并覆盖任何同名的现有文件。 当在组策略对象编辑器 ("管理模板"节点) ,无论管理员是否实际编辑 GPO,都会进行此比较。

备注

可以通过在组策略对象编辑器中查看 GPO 来更新存储在 GPT 中的 ADM 文件。

由于时间戳对 ADM 文件管理的重要性,因此不建议编辑系统提供的 ADM 文件。 如果需要新的策略设置,Microsoft 建议您创建自定义 ADM 文件。 这可以防止在发布 Service Pack 时替换系统提供的 ADM 文件。

组策略管理控制台

默认情况下,GPMC (管理控制台) 始终使用本地 ADM 文件,无论其时间戳如何,并且永远不会将 ADM 文件复制到 Sysvol。 如果找不到 ADM 文件,GPMC 在 GPT 中查找 ADM 文件。 此外,GPMC 用户可以为 ADM 文件指定备用位置。 如果指定了备用位置,则此备用位置优先。

GPO 复制

文件复制服务 (FRS) 复制整个域中 GPO 的 GPO。 作为 GPT 的一部分,Adm 子文件夹将复制到域中的所有域控制器。 由于每个 GPO 存储多个 ADM 文件,其中一些文件可能非常大,因此您必须了解在使用组策略对象编辑器时添加或更新的 ADM 文件如何影响复制通信。

使用策略设置控制 ADM 文件更新

两个策略设置区域可用于帮助管理 ADM 文件。 通过这些设置,管理员可以调整特定环境的 ADM 文件的使用。 其中包括"关闭 ADM 文件的自动更新"和"始终对组策略编辑器使用本地 ADM 文件"设置。

关闭 ADM 文件的自动更新

此策略设置在 \ \ Windows Server \ 2003、Windows XP 和 Windows 2000 中的用户配置管理模板系统组策略下提供。 此设置可应用于任何启用组策略的客户端。

始终将本地 ADM 文件用于组策略编辑器

此策略设置位于计算机配置 管理模板 \ \ 系统 \ 组策略下。 这是一个新的策略设置。 它可能只成功应用于 Windows Server 2003 客户端。 该设置可能部署到较旧的客户端,但它不会影响其行为。 如果启用此设置,则编辑组策略对象时,组策略对象编辑器始终使用本地系统 %windir% Inf 文件夹中的本地 ADM \ 文件。

备注

如果启用此策略设置,则隐含"关闭 ADM 文件的自动更新"策略设置。

多语言管理问题的常见方案和建议

在某些环境中,可能必须使用不同的语言向用户界面显示策略设置。 例如,美国的管理员可能想要以英语查看特定 GPO 的策略设置,而法国的管理员可能想要使用法语作为首选语言来查看同一 GPO。 由于 GPT 只能存储一组 ADM 文件,因此不能使用 GPT 存储两种语言的 ADM 文件。

对于 Windows 2000,不支持通过组策略对象编辑器使用本地 ADM 文件。 若要处理此情况,请使用"关闭 ADM 文件的自动更新"策略设置。 由于此策略设置对创建新的 GPO 没有任何影响,因此本地 ADM 文件将在 Windows 2000 中上载到 GPT,在 Windows 2000 中创建 GPO 将有效地定义"GPO 的语言"。 如果"关闭 ADM 文件的自动更新"策略设置在所有 Windows 2000 工作站上均有效,则 GPT 中 ADM 文件的语言由用于创建 GPO 的计算机的语言定义。

对于使用 Windows XP 和 Windows Server 2003 的管理员,可以使用"始终将本地 ADM 文件用于组策略编辑器"策略设置。 这使法国管理员能够使用本地安装在其工作站上的 ADM 文件(法语 () )查看策略设置,而不管存储在 GPT 中的 ADM 文件是什么。 使用此策略设置时,这意味着已启用"关闭 ADM 文件的自动更新"策略设置,以避免对 GPT 的 ADM 文件进行不必要的更新。

此外,请考虑对 Microsoft 的最新操作系统进行标准化,以用于多语言管理环境中的管理工作站。 然后配置"始终将本地 ADM 文件用于组策略编辑器"和"关闭 ADM 文件的自动更新"策略设置。

如果使用 Windows 2000 工作站,请对管理员使用"关闭 ADM 文件的自动更新"策略设置,并考虑 GPT 中的 ADM 文件是所有 Windows 2000 工作站的有效语言。

备注

Windows XP 工作站可能仍使用特定于语言的本地版本。

操作系统和 Service Pack 发布问题的常见方案和建议

每个操作系统或 Service Pack 版本都包括早期版本提供的 ADM 文件的超集,其中包括特定于与新版本的操作系统不同的策略设置。 例如,Windows Server 2003 提供的 ADM 文件包括所有操作系统的所有策略设置,包括仅与 Windows 2000 或 Windows XP Professional 相关的策略设置。 这意味着,仅从具有新版本操作系统或 Service Pack 的计算机查看 GPO 可有效地升级 ADM 文件。 由于更高版本通常是以前的 ADM 文件的超集,因此假定尚未编辑所使用的 ADM 文件,这通常不会创建问题。

在某些情况下,操作系统或 Service Pack 版本可能包括早期版本提供的 ADM 文件的子集。 这有可能显示较早的 ADM 文件子集,导致管理员在使用组策略对象编辑器时不再看到策略设置。 但是,策略设置将在 GPO 中保持活动状态。 仅影响组策略对象编辑器中策略设置的可见性。 任何活动 (启用或禁用) 策略设置在组策略对象编辑器中不可见,但保持活动状态。 由于这些设置不可见,因此管理员无法查看或编辑这些策略设置。 若要解决此问题,管理员必须先熟悉每个操作系统或 Service Pack 版本中包含的 ADM 文件,然后才能在操作系统上使用组策略对象编辑器,请记住,查看 GPO 的操作足以在时间戳比较确定适合更新时更新 GPT 中的 ADM 文件。

若要在你的环境中对此进行规划,Microsoft 建议您:

  • 定义用于查看和编辑 GPO 的标准操作系统/Service Pack,确保所使用的 ADM 文件包括所有平台的策略设置。

  • 使用所有组策略管理员的"关闭 ADM 文件的自动更新"策略设置,以确保任何组策略对象编辑器会话不会在 GPT 中覆盖 ADM 文件,并确保使用的是 Microsoft 提供的最新 ADM 文件。

备注

"始终将本地 ADM 文件用于组策略编辑器"策略通常在运行组策略对象编辑器的操作系统支持时用于此策略。

从 Sysvol 文件夹中删除 ADM 文件

默认情况下,ADM 文件存储在 GPT 中,这可显著增加 Sysvol 文件夹的大小。 此外,频繁编辑 GPO 可能会导致大量复制通信。 结合使用"关闭 ADM 文件的自动更新"和"始终将本地 ADM 文件用于组策略编辑器"策略设置可以大大减少 Sysvol 文件夹的大小,并减少发生大量策略编辑时与策略相关的复制通信。

如果 Sysvol 卷或组策略相关的复制通信的大小变得存在问题,请考虑实现 Sysvol 不存储任何 ADM 文件的环境。 或者考虑在管理工作站上维护 ADM 文件。 下一节中描述了此过程。

若要清除 ADM 文件的 Sysvol 文件夹,请按照以下步骤操作:

  1. 为将编辑 GPO 的所有组策略管理员启用"关闭 ADM 文件的自动更新"策略设置。
  2. 确保已应用此策略。
  3. 将任何自定义 ADM 模板复制到 %windir% \ Inf 文件夹。
  4. 编辑现有 GPO,然后从 GPT 中删除所有 ADM 文件。 为此,请右键单击"管理模板", 然后单击"添加/删除模板"。
  5. 为管理工作站启用"始终将本地 ADM 文件用于组策略对象编辑"策略设置。

在管理工作站上维护 ADM 文件

使用"始终将本地 ADM 文件用于组策略编辑器"策略设置时,请确保每个工作站都有最新版本的默认和自定义 ADM 文件。 如果所有 ADM 文件在本地不可用,则管理员将看不到 GPO 中包含的某些策略设置。 通过实现所有管理员的标准操作系统和 Service Pack 版本来避免这种情况。 如果无法使用标准操作系统和 Service Pack,请实现将最新 ADM 文件分发到所有管理工作站的过程。

备注

  • 由于工作站 ADM 文件存储在 %windir% Inf 文件夹中,因此任何用于分发这些文件的进程都必须在工作站上具有管理凭据的帐户上下文中 \ 运行。
  • Windows当 Sysvol 文件夹中没有 ADM 文件时,XP 不支持编辑 GPO。 在实时环境中,必须考虑此设计限制。