如何在 Windows 中创建和管理组策略管理模板的中央存储

本文介绍如何使用新的 admx 和. adml 文件在 Windows 中创建和管理基于注册表的策略设置。 本文还介绍了如何使用中央存储在域环境中存储和复制基于 Windows 的策略文件。

原始产品版本:   Windows 10-all edition,windows Server 2019,Windows Server 2012 R2,Windows 7 Service Pack 1
原始 KB 数:   3087759

若要查看后续操作系统版本中提供的新设置的 ADMX 电子表格,请参阅 组策略设置参考电子表格 Windows 1809

概述

管理模板文件分为 admx 文件和语言专用的 adml 文件,以供组策略管理员使用。 通过在这些文件中实现的更改,管理员可以使用两种语言配置相同的策略集。 管理员可以使用特定语言的 adml 文件和与语言无关的 admx 文件配置策略。

管理模板文件存储

Windows 使用中央存储来存储管理模板文件。 ADM 文件夹不在组策略对象中创建, (GPO) 在早期版本的 Windows 中完成。 因此,Windows 域控制器不存储或复制 .adm 文件的冗余副本。

中央存储

若要利用 admx 文件的优势,必须在 Windows 域控制器上的 sysvol 文件夹中创建一个中央存储。 中央存储是默认情况下由组策略工具检查的文件位置。 组策略工具使用中央存储中的所有 admx 文件。 将中央存储中的文件复制到域中的所有域控制器。

建议保留您对您可能想要使用的应用程序的任何 ADMX/L 文件的存储库,如操作系统扩展(如 Microsoft 桌面优化包 (MDOP) 、Microsoft Office,以及提供组策略支持的第三方应用程序)。

若要为 admx 和. adml 文件创建中央存储,请在以下位置创建一个名为 PolicyDefinitions 的新文件夹 (例如域控制器上的) :

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

如果已有一个具有以前生成的中央存储的文件夹,请使用描述当前版本的新文件夹,例如:

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

将源计算机上 "PolicyDefinitions" 文件夹中的所有文件复制到域控制器上的新 PolicyDefinitions 文件夹中。 源位置可以是以下任一项:

  • 基于 C:\Windows\PolicyDefinitions windows 8.1 或基于 windows 10 的客户端计算机上的文件夹
  • C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions如果您已从上述链接单独下载任何管理模板,则为文件夹。

Windows 域控制器上的 PolicyDefinitions 文件夹存储在客户端计算机上启用的所有语言的所有 admx 文件和. adml 文件。

. Adml 文件存储在特定于语言的文件夹中。 例如,英语 (美国) adml 文件存储在名为 en-us的文件夹中;Adml 文件存储在名为 ko_KR的文件夹中。等。

如果需要其他语言的 adml 文件,则必须将包含该语言的 adml 文件的文件夹复制到中央存储。 复制完所有 admx 和. adml 文件后,域控制器上的 PolicyDefinitions 文件夹应包含 admx 文件以及包含特定语言的 adml 文件的一个或多个文件夹。

备注

从基于 Windows 8.1 或基于 Windows 10 的计算机复制 admx 和. adml 文件时,请验证是否安装了对这些文件的最新更新。 此外,请确保最新的管理模板文件已复制。 此建议也适用于服务包(如果适用)。

操作系统集合完成后,将任何 OS 扩展或应用程序 ADMX/ADML 文件合并到新的 PolicyDefinitions 文件夹中。

完成此操作后,重命名当前 PolicyDefinitions 文件夹,以反映这是以前的版本,例如,PolicyDefinitions-1709。 然后,将新文件夹重命名 (例如 PolicyDefinitions-1803) 到生产名称。

我们建议使用这种方法,以便您可以还原到旧文件夹,以防遇到新文件集的严重问题。 如果您在一组新文件中未遇到任何问题,则可以将较旧的 PolicyDefinitions 文件夹移动到 sysvol 文件夹外部的存档位置。

组策略管理

Windows 8.1 和 Windows 10 不包括扩展名为 .adm 的管理模板。 建议使用运行 Windows 8.1 或更高版本的 Windows 的计算机执行组策略管理。

更新管理模板文件

在适用于 Windows Vista 和更高版本的 Windows 的组策略中,如果更改本地计算机上的管理模板策略设置,sysvol 文件夹不会自动更新以包含新的 admx 或. adml 文件。 此行为更改可用于减少网络负载和磁盘存储要求,并防止在不同位置对管理模板策略设置进行更改时的 admx 和. adml 文件之间发生冲突。

若要确保所有本地更新都反映在 sysvol 文件夹中,您必须手动将更新后的 admx 或. adml 文件从本地计算机上的 PolicyDefinitions 文件复制到相应域控制器上的 Sysvol\PolicyDefinitions 文件夹中。

通过以下更新,可以将本地组策略编辑器配置为使用本地 admx 文件,而不是使用中央存储:

可以使用更新来启用组策略编辑器的本地 ADMX 文件

您还可以使用此设置执行以下操作:

  • 将新生成的文件夹作为 c:\windows\policydefinitions 域策略在复制到 sysvol 文件夹中的中央存储之前,针对您的域策略在管理工作站上进行测试。
  • 使用较旧的 PolicyDefinitions 文件夹编辑在最新内部版本的中央存储中没有 ADMX 文件的策略设置。 一个常见的示例是具有早期版本的 Microsoft Office 的设置的策略仍在组策略中。 对于每个版本,Microsoft Office 都有一组单独的 ADMX/L 文件。

已知问题

  • 问题 1

    将 Windows 10 admx 模板复制到 sysvol 文件夹中央存储并覆盖所有现有的 admx 和 adml 文件后,选择 "计算机配置" 或 "用户配置" 下的 "策略" 节点。 执行此操作时,您可能会收到以下错误消息:

    命名空间 "WindowsLocationProvider" 已定义为存储中另一个文件的目标命名空间。
    文件
    \\<> \SysVol <forest.root> \Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx 的第5行,第5行,110列

    备注

    在此邮件的路径中, <"林"> 代表域的名称。

    若要解决此问题,请参阅在Windows 中编辑策略时,"WindowsLocationProvider" 已定义 "错误"。

  • 问题 2

    更新了 Windows 10 的 ADMX/L 文件,version1803 仅包含 SearchOCR。 这与您仍在中央存储中的 SearchOCR 的早期版本不兼容。 有关问题的详细信息,请参阅在 Windows 中打开 gpedit.msc 时,"找不到属性 displayName 中引用的资源" $ (STRING ID = Win7Only) "错误

    根据上面所述,从基本 OS release 文件夹生成一个 pristine PolicyDefinitions 文件夹,可以避免这两个问题。