Как обновить adm файлы

Обновлено: 25.01.2025

Файлы ADM. Иногда они вызывают любовь, иногда ненависть. А иногда и то, и другое. А все из-за того, что применять AMD сложно, но без них никуда. Теперь появились еще и файлы ADMX — это новый формат, который, на первый взгляд, только запутывает дело. Похоже, пришло время пролить свет на эту туманную область.

Зачем нужны файлы ADM?

Групповая политика охватывает ряд различных объектов. Если вы загляните в редактор объектов групповой политики, вы найдете в нем множество штуковин — это то, что умеет групповая политика. Например, в нем есть политика программных ограничений, групповая политика установки программ, перенаправление папок и, кстати, административные шаблоны — их мы используем чаще всего. Узел административных шаблонов существует и в части пользователей, и в части компьютера. Как вы, наверное, догадались, параметры политик, указанные на стороне пользователя, относятся к пользователям, а на стороне компьютера — к компьютеру.

Откуда берутся все эти чудные параметры административных шаблонов? В момент создания нового поколения существует несколько параметров, которыми теоретически можно управлять. Вот тут на сцену и выходят файлы ADM. Они описывают те области приложения, которые могут использовать параметры, задаваемые администратором. К сожалению, файлы ADM ограничиваются лишь параметрами реестра для конкретного приложения, а приложение может сохранять параметры не только в реестре: в файлах INI, JS, XML, в базах данных.

Готовые файлы ADM

Откуда вообще берутся готовые политики для административных шаблонов в конфигурации компьютера и конфигурации пользователей? Если щелкнуть правой кнопкой мыши сслыку «Административные шаблоны» в редакторе объектов и выбрать пункт «Добавление и удаление шаблонов» либо на стороне компьютера, либо на стороне пользователя, вы увидите стандартные шаблоны, на основе которых создается стандартная конфигурация (как показано на рис. 1).

Рис. 1 Административные шаблоны по умолчанию

Схема файлов следующая:

Conf.adm — параметры NetMeeting®.
Inetres.adm — параметры Internet Explorer®, в том числе подключения, панели инструментов и параметры панелей. Это те же настройки, к которым можно получить доступ через пункт меню «Свойства обозревателя» в Internet Explorer.
System.adm — изменения и параметры операционной системы. Большая часть параметров административных шаблонов компьютера и пользователей содержится в этом шаблоне ADM.
Wmplayer.adm — параметры проигрывателя Windows Media® 9.
Wuau.adm — управление доступом клиентов к серверам служб обновления Windows® и Windows Server®.

Добавление нового файла шаблона ADM

Щелкните правой кнопкой мыши ссылку «Административные шаблоны» и выберите пункт «Добавить», как показано на рис. 1. По умолчанию Windows ищет шаблоны в каталоге \Windows\inf, но это не означает, что в другом месте их хранить нельзя. Учтите следующий момент: как только шаблон ADM будет добавлен из исходного хранилища, он добавляется в сам объект групповой политики.

Еще я загрузил шаблоны ADM для Office 2003 и сохранил их там же, в папке c:\temp. Но я их там не оставил. На рис. 2 показано, что я добавил шаблоны nopassport.adm и Word11.adm. Они появились в списке стандартных шаблонов в окне «Добавление и удаление шаблонов».

Additional ADM files in the GPO

Теперь взгляните на файлы, относящиеся к самому объекту групповой политики (они лежат в папке \\domaincontroller\SYSVOL\domainname\Policies\GUID\ADM). Как вы вилите, теперь шаблоны nopassport.adm и Word11.adm являются частью объекта групповой политики (см. рис. 2).

Зачем шаблоны добавляются в объект групповой политики? Делается это для того, чтобы параметры, содержащиеся в этих файлах, были видны, если вы решите изменить объект групповой политики в другой системе управления.

Почему загруженные файлы не видны?

По крайней мере, результаты добавления двух файлов, которые мы рассматривали выше, вы должны видеть (см. рис. 3). Появляются два новых узла: узел Nuisances в конфигурации компьютера (его добавляет файл nopassport.adm) и узел Microsoft Office Word 2003 в конфигурации пользователя (его добавляет файл Word11.adm). Если как следует покопаться в параметрах Microsoft® Word 2003, вы обнаружите довольно большое число настраиваемых величин — они показаны на рис. 3.

Рис. 3 Настраиваемые параметры групповой политики

Так почему же их нет в узле Nuisances? Чтобы это понять, нужно сначала разобраться, что такое «допустимые» и «недопустимые» разделы политики с точки зрения шаблонов ADM.

Допустимые и недопустимые разделы политики

Согласно документации Майкрософт, существуют четыре утвержденных области реестра, в которых можно создавать политики на основании взломов реестра:

HKLM\Software\Policies (параметры компьютера, предпочтительный раздел);
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (параметры компьютера, альтернативный раздел);
HKCU\Software\Policies (параметры пользователя, предпочтительный раздел);
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies (параметры пользователя, альтернативный раздел).

Параметры, содержащиеся в файле ADM для Word 2003, записываются как раз в эти разделы, а вот параметры из файла nopassport.adm — нет. Они записываются в раздел HKLM\Software\Microsoft\MessengerService\PassportBalloon.

Редактор объектов групповой политики предпочитает перестраховаться и не сразу делает эти параметры видимыми, поскольку они записаны в недопустимый раздел политики, а вносимые изменения останутся в реестре навсегда. Даже если вы угрохаете объект групповой политики, отменить изменения не получится. Возьмем, к примеру, такую ситуацию. Вы добавили файл nopassport.adm и решили, что вопрос о добавлении паспорта не должен задаваться ни на одном компьютере в вашем домене. А потом ваш начальник ненароком заметил, что именно этот вопрос его особенно радовал. Вот тут-то вам придется повозиться, прежде чем вы вернете эту настройку к прежнему виду, потому что вы отменили подсказку на всех компьютерах — и в общем случае это делается навсегда. Конечно, можно создать новый файл ADM, который вернет подсказку обратно, но на это тоже уйдет немало сил.

Обычные же параметры политики, напротив, имеют значения, используемые по умолчанию. Если уничтожить объект групповой политики, для таких параметров будут восстановлены стандартные значения. Например, если вы запретите доступ к панели управления при помощи встроенных шаблонов ADM, а потом передумаете, вам нужно будет просто удалить соответствующий объект групповой политики — и панель управления вернется. Это относится практически ко всем параметрам, содержащимся в стандартных шаблонах ADM (за редким исключением).

Еще раз напомню, что в случае с вопросом о паспорте групповой политике не удавалось восстановить прежнюю конфигурацию после удаления объекта, потому что параметры из файла ADM были сохранены в недопустимом разделе. Майкрософт позаботился о том, чтобы вы не подпилили сук, на котором сидите, — не рванули использовать подобные параметры, изменяющие реестр навсегда.

Просмотр шаблонов ADM

Рис. 4 Фильтрация GPO

Работа с редактором в Windows XP и в Windows Vista

Вы заметили небольшое отличие только что появившегося параметра политики? Взгляните на значки параметров, содержащихся в стандартных файлах ADM, показанные на рис. 5. А теперь на значок параметра шаблона ADM, вносящего изменения в недопустимый раздел политики в реестре на рис. 6.

Рис. 5 ADM-файлы со значками

Рис. 6 Значки для недопустимого использования реестра

По синим и красным значкам можно отличить параметр, вносящий обратимые изменения, от параметра, вносящего изменения в реестр навсегда. Но это, опять же, зависит от того, куда записывается параметр.

Параметры, которые раньше отмечались синей точкой (то есть те, которые записывались в допустимые разделы политики) обозначаются просто маленьким свитком, как показано на рис. 8.

Рис. 8 Значки промотки с действительными реестрами

А что за шумиха вокруг ADMX?

И Windows Vista, и Windows Server 2003 включают встроенную консоль управления групповами политиками. А она, в свою очередь, включает в себя новую возможность — возможность избавиться от старых файлов ADM и перейти на файлы ADMX, если вам так удобнее. Зачем это нужно?

Давайте вспомним, что файл ADM помещается в шаблон групповой политики, который является частью объекта групповой политики (эта часть хранится в SYSVOL). Когда это происходит, вы теряете примерно 4 МБ на каждом контроллере домена при каждом создании объекта групповой политики. Также вспомним, что файл ADM размещается в шаблон групповой политики, потому что это необходимо на случай попытки отредактировать объект политики на другой управляющей станции. Если файла ADM в нем не будет, вы не сможете изменить параметры, содержащиеся в ADM.

Формат ADMX позволяет избежать всех этих неприятностей. В объекты групповой политики напрямую ничего не записывается, поэтому проблема «раздутого SYSVOL», которому приходится хранить в себе объекты групповой политики, кучу файлов ADM, да еще и выполнять репликацию на все контроллеры домена, отпадает сама собой. Для этого стандарт ADMX использует преимущества так называемого центрального хранилища. Задача его состоит в том, чтобы предоставить единое место хранения новых файлов ADMX — тогда их не придется копировать в каждый объект групповой политики. Прощай, раздутый SYSVOL. Пока-пока! Еще один плюс центрального состоит в том, что если в одном из файлов ADMX обновляется определение, все управляющие станции Windows Vista незамедлительно начинают использовать обновленный ADMX.

Как я уже упоминал, шаблоны ADM по-прежнему поддерживаются управляющими станциями Windows Vista, но вот центральное хранилище использовать для них не получится. Это порой может сбить с толку, так что рассмотрим подробнее один пример.

Допустим, я создал объект групповой политики в управляющей станции Windows Vista, а затем настроил некоторые стандартные параметры (скажем, запретил доступ к панели управления). Затем я добавил свой собственный шаблон ADM. Теперь заглянем в шаблон объекта групповой политики и попробуем разобраться в том, что произошло.

Чтобы добавить шаблон ADM, вы можете повторить действия, которые я выполнял чуть ранее. Откройте редактор объектов групповой политики, щелкните правой кнопкой мыши ссылку «Административные шаблоны» для компьютера или пользователя и выберите пункт «Добавление и удаление шаблонов». Добавленный шаблон показан на рис. 9.

Рис. 9 Просмотр добавленного шаблона

Чтобы увидеть параметры, содержащиеся в нашем шаблоне ADM, нужно проделать то, что показано на рис. 4. То есть, щелкнуть «Просмотр» > «Фильтрация» и снять флажок «Показывать только управляемые парметры политики». После этого нужно закрыть редактор объектов и вернуться в консоль управления групповыми политиками. На рис. 10 показана вкладка свойств объекта, который я только что создал в управляющей станции Windows Vista. (Смотрите, какое удобное имя я ему придумал!) На вкладке всойств можно узнать идентификатор GUID для данного объекта групповой политики — это упростит его поиск в SYSVOL.

Рис. 10 Административные шаблоны по умолчанию

Найдя (по идентификатору GUID) шаблон групповой политики, соответствующий моему объекту, я могу вскрыть папку с файлами ADM для данного объекта групповой политики. Сделав это, я обнаруживаю, что в ней есть ровно один шаблон ADM — тот самый, который я импортировал вручную ( см. рис. 11). Причина этого в том, что машины под управлением Windows Vista не зависят от ADM. Поскольку они изначатьно не используют ADM, они ничего в объект групповой политики по умолчанию не добавляют. Впрочем, если импортировать ADM вручную (как мы и сделали), он будет применяться точно так же, как применялся в предыдущих версиях Windows.

Рис. 11 ADM-файл, испортированный вручную

Описанное выше поведение коренным образом отличается от, скажем, поведения объекта, показанного на рис. 12, который создавался в Windows XP или Windows Server 2003. Если объекты групповой политики создаются в управляющих станциях версий Windows, предшествующих Windows Vista, исходные файлы ADM добавляются в объекты групповой политики, как я описывал выше. Приведенный здесь объект создан в управляющей станции Windows XP. Это можно определить по обилию файлов ADM, которые Windows Vista не использует за ненадобностью.

Рис. 12 GPO, созданный в Windows XP

Преобразоывание ADM в ADMX с помощью средства ADMX Migrator

Итак, в Windows XP используются файлы ADM, а в Windows Vista — файлы ADMX (хотя ADM поддерживается — на случай, если ничего другого под руками нет). Однако мы не можем записывать файлы ADM в центральное хранилище: управляющие странции Windows Vista так их использовать не будут.

Обычно я создаю временный каталог, к примеру C:\ADMtemp, и копирую в него исходные файлы ADM. В программе faAdmxConv.exe есть множество параметров. Самый простой способ преобразовывать файл ADM — задать его имя и указать папку, в которой будет сохранен новый файл. Если вы уже сложили исходный файл ADM в папку ADMtemp и добавили faAdmxConv.exe в список путей, вы можете просто запустить команду faAdmxConv nopassport.adm . (точка в конце означает, что новый файл будет создан в том же каталоге). Если вы не поставите точку и не укажете каталог для нового файла явным образом, он будет создан во временной папке в профиле вашей учетной записи. На рис. 13 показаны три команды:

Рис. 13 Средство переноса ADMX

команда dir — для просмотра файла ADM;
команда faAdmxConv с именем файла ADM и с точкой, означающей текущий каталог;
команда dir для просмотра файлов, полученные в результате преобразоывания: nopassport.admx и nopassport.adml.

Прежде чем копировать полученные файлы в центральное хранилище, попробуйте протестировать их на компьютере, отключенном от сети. Перейдите в автономный режим, скопируйте файл ADMX в папку C:\Windows\PolicyDefinitions, файл ADML — в каталог соответствующего языка. В США это будет папка C:\Windows\PolicyDefinitions\en-us. Пример процедуры копирования приведен на рис. 14.

Рис. 14 Копирование ADMX-файлов в центральное хранилище

Подведем итоги

В идеальном случае, конечно, нужно использовать только файлы ADMX и задействовать центральное хранилище. Однако для этого придется преобразовать все имеющиеся файлы ADM, перевести все управляющие станции на Windows Vista (или Windows Server 2008) и условиться не редактировать объекты групповой политики в предыдущих версиях Windows.

Если вы все это сделаете, вы практически избавитесь от файлов ADM. Пока что файлы ADM в объектах групповой политики лишь занимают лишнее место в SYSVOL на контроллерах доменов. Когда вы достигнете нирваны под названием ADMX, вы сможете просто удалить файлы ADM из шаблонов объектов групповой политики, лежащих в SYSVOL. Именно так. ADM — пережиток прошлого, червеобразный отросток. Когда-то он был полезен, но теперь он никакой роли не играет. Вы можете удалить их вручную, а можете написать сценарий. Но прежде чем вы это сделаете, обратите внимание: если перечисленные выше этапы не выполнения полностью, вы совершаете величайшую ошибку. Сначала убедитесь, что вы и впрямь можете распрощаться с ADM навсегда.

Автор: Джереми Московиц
Источник: январь 2008 Technet Magazine

Этот пост January 12, 2008 at 12:07 pm опубликовал molse в категории Групповые политики. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).

Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:

Windows 8.1 RTM English (32 или 64 бита)
Windows 8.1 RTM Russian (32 или 64 бита)
Windows Server 2012 R2 RTM English
Windows Server 2012 R2 RTM Russian

Создадим структуру временных папок, например C:\Temp\ADMX , в которой подкаталоги \W81_EN , \W81_RU , \WS2012R2_EN , \WS2012R2_EN , \WS2012R2_RU будут использоваться для извлечения ADMX/ADML файлы из соответствующих систем а подкаталог \WIM будет использоваться для временного монтирования WIM-образов из состава дистрибутивов соответствующих систем.

Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:

1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.

Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English. Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:

При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\

Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним

В данном примере нас интересует система с индексом 4. Монтируем эту систему в режиме "только чтение" во временную папку \WIM командой:

Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\

Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:

Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:

Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:

\W81_EN - 173 файла ADMX, 173 файла ADML в подкаталоге en-US
\W81_RU - 173 файла ADMX, 173 файла ADML в подкаталоге ru-RU

\WS2012R2_EN - 176 файлов ADMX, 176 файлов ADML в подкаталоге en-US
\WS2012R2_RU - 176 файлов ADMX, 174 файла ADML в подкаталоге ru-RU и 2 файла ADML в подкаталоге en-US

Проверка показала, что 167 одноимённых файлов ADMХ во всех 4 подкаталогах одинаковы по своему содержимому, но по другим файлам между клиентскими и серверными ОС есть различия. Ч тобы было понятно, зачем мы собираем шаблоны групповых политик с разных систем (клиентских и серверных), - приведём простой пример сравнения шаблонов, которые мы извлекли из этих систем.

Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0

В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:

…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:

Проанализировав ситуацию, собираем все файлы из 4 подкаталогов в один общий подкаталог, например C:\Temp\ADMX\W81_WS2012R2\ . В конечном счете у меня получилось в этом каталоге 182 *.ADMX файла, и 182 *.ADML файла в подкаталоге en-US и 180 *.ADML файлов в подкаталоге ru-RU

03.02.2021

Active Directory, Windows 10, Windows Server 2016, Групповые политики

комментариев 6

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Административные шаблоны (Administrative templates) – это специальные ADMX (и ADML ) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. По сути в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

Если вы установили консоли управления RSAT на компьютер с новым билдом Windows 10, то новые параметры политик будут доступны в редакторе gpmc.msc .

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Administrative Templates (.admx) for Windows 10 2004

Обязательно создайте резервную копию каталога PolicyDefinitions на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
Не обязательно копировать каталоги с adml файлами для разных языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
Если у вас уже есть под рукой компьютер с новым билдом Windows 10, то можно скопировать административные шаблоны из каталога %WinDir%\PolicyDefinitions без установки MSI файла.

Если вы хотите, чтобы определенная GPO с новыми параметрами применялась только для определенных билдов Windows 10, можно использовать WMI фильтры GPO.

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

Ранее мы показывали, как установить административные шаблоны GPO для программ из пакета Microsoft Office (Word, Excel. Outlook и т.д.).

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Административными шаблонами (Administrative Templates) называются параметры групповой политики, основанные на изменении параметров реестра. Как вы знаете, в операционных системах Windows большинство настроек хранится в системном реестре, и с помощью административных шаблонов этими настройками можно централизованно управлять.

Примечание. Если быть более точным, то политики административных шаблонов в конфигурации компьютера модифицируют значения параметров в разделах HKLM\Software\Policies и HKLM\Software\Microsoft\WindowsCurrentVersion\Policies, а административные шаблоны в конфигурации пользователя — HKCU\Software\Policies и HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.

Давайте на практике посмотрим, что из себя представляют административные шаблоны и как они работают. Для примера возьмем первый попавшийся параметр «Disable context menus in the Start Menu», расположенный в разделе «Start Menu and Taskbar» конфигурации компьютера.

Как следует из описания, этот параметр отвечает за показ контекстного меню в меню Пуск.

Технически административные шаблоны представляют собой пару XML-файлов: не связанный с языком файл (ADMX) и набор зависящих от языка файлов (ADML). По умолчанию административные шаблоны расположены локально на компьютере, в папке C:\Windows\PolicyDefinitions. Каждый файл ADMX соответствует определенному разделу групповой политики, соответственно за раздел «Start Menu and Taskbar» отвечает файл StartMenu.admx. Откроем его в текстовом редакторе и найдем секцию, отвечающую за интересующий нас параметр.

В ней содержится имя и область применения параметра, ключ реестра, отвечающий за его настройку, а также ссылки на описание, которое находится в соответствующем языковом файле.

Переходим к языковому файлу. Для каждого языка имеется специальная папка, к примеру файлы для английского языка расположены в папке en-US. Заходим в папку с нужным языком, открываем файл StartMenu.adml и находим строки с нашим параметром. В них хранится название параметров и их описание, которое мы видим в редакторе при редактировании политики.

Ну а результатом применения данной политики будет изменение значения параметра реестра «DisableСontextMenusInStart» в разделе HKLM\Software\Policies\Microsoft\Windows\Explorer.

Таким образом, административные шаблоны представляют из себя самую обычную инструкцию в формате XML по изменению параметров реестра (ADMX) и описание изменяемых параметров, отображаемых в оснастке редактора групповой политики (ADML).

Создание центрального хранилища

До выхода Windows Server 2008 и Vista административные шаблоны имели расширение adm и представляли из себя самые обычные текстовые файлы. У таких административных шаблонов был ряд недостатков. К примеру, в многоязыковой организации требовалось создавать отдельные ADM-файлы для каждого языка, соответственно при изменении параметров приходилось редактировать каждый шаблон отдельно. Кроме того, при использовании такие шаблоны сохранялись как часть объекта групповой политики, и если шаблон использовался в нескольких политиках, то он сохранялся несколько раз. Это увеличивало размер папки SYSVOL и усложняло ее репликацию.

Переход на формат ADMX/ADML изменил ситуацию в лучшую сторону. И одним из плюсов этого перехода стала возможность создания централизованного хранилища административных шаблонов. Использование централизованного хранилища позволяет решить проблему увеличения SYSVOL, поскольку папка ADM больше не создается в каждом объекте групповой политики, а контроллеры домена не хранят и не реплицируют лишние копии ADM-файлов. Это способствует уменьшению трафика репликации SYSVOL между контроллерами домена, а кроме того упрощает процедуру управления административными шаблонами в домене.

По умолчанию редактор групповых политик загружает шаблоны из локальной папки C:\Windows\PolicyDefinitions. Для создания центрального хранилища необходимо на любом контроллере домена взять эту папку и скопировать ее в папку SYSVOL по пути \\имя домена\SYSVOL\имя домена\Policies. Так для домена test.local путь будет выглядеть как \\test.local\SYSVOL\test.local\Policies.

Если после этого открыть объект групповой политики и перейти в раздел Administrative Template, то в качестве источника шаблонов будет указано центральное хранилище (retrieved from the central store).

Файлы в центральном хранилище реплицируются на все контроллеры домена, что очень удобно при обновлении шаблонов.

Обновление шаблонов

Операционные системы Windows постоянно обновляются, получают новые возможности. И для того, чтобы этими возможностями можно было управлять с помощью групповых политик, необходимо регулярно обновлять административные шаблоны.

Для наглядности приведу пример. В Windows 10 (начиная с версии 1607) появилась возможность использовать длинные пути файлов. Политика, отвечающая за это, находится в разделе «Computer configuration\Administrative templates\System\Filesystem» и называется «Enable Win32 long paths».

Но если не обновить административные шаблоны, то нужный нам параметр по указанному пути можно и не найти.

К счастью, Microsoft регулярно выпускает обновления административных шаблонов, нам надо только найти их и установить. На данный момент наиболее свежие шаблоны это Administrative Templates (.admx) for Windows 10 May 2019 Update (1903) v3.0 .

Установщик представляет из себя обычный msi-файл, который можно запустить на любом компьютере.

После запуска надо указать папку, в которую будут распакованы шаблоны

и дождаться окончания процесса распаковки.

Полученные шаблоны надо просто скопировать в хранилище, заменив имеющиеся. Для подстраховки старые шаблоны можно сохранить. Языковые файлы нужно скопировать не все, а только нужные, например для русского и английского языка.

В результате обновления потерянный параметр появился на своем законном месте.

Добавление шаблонов

С помощью административных шаблонов можно управлять не только настройками операционной системы, но и различных приложений. К примеру, мы хотим централизованно управлять настройками программ из пакета Microsoft Office (Word, Excel. Outlook и т.д.) на клиентских компьютерах в домене.

Для этого нам потребуется загрузить с сайта Microsoft и установить специальный пакет для MS Office. Обратите внимание, что для каждой версии предназначен свой набор административных шаблонов. Если в компании используются различные версии Office, то для каждой используемой версии необходимо загружать свою версию шаблонов:

выбираем папку для распаковки шаблонов

и получаем набор файлов ADMX\ADML.

В нашем примере файлы шаблонов находятся в папке admx. Берем их и копируем в общее хранилище, к остальным шаблонам.

В результате в разделе Administrative Templates добавляются новые разделы, с помощью которых можно управлять настройками офисных программ.

Таким образом можно добавлять шаблоны и для ПО от сторонних производителей, например Google Chrome, Adobe Reader и многих других. Большинство крупных разработчиков выпускают административные шаблоны для своих программ. Ну а если готового шаблона нет, то его можно создать самому, это не так уж и сложно.

Читайте также: