Шаблони ADM і ADMX для групової політики

Наша взаимовыгодная связь https://banwar.org/

Файли ADM. Іноді вони викликають любов, іноді ненависть. А іноді і те, і інше. А все через те, що застосовувати AMD складно, але без них нікуди. Тепер з'явилися ще й файли ADMX - це новий формат, який, на перший погляд, тільки заплутує справу. Схоже, настав час пролити світло на цю туманну область.

Навіщо потрібні файли ADM?

Групова політика охоплює ряд різних об'єктів. Якщо ви загляньте в редактор об'єктів групової політики, ви знайдете в ньому безліч штуковин - це те, що вміє групова політика. Наприклад, в ньому є політика програмних обмежень, групова політика установки програм, перенаправлення папок і, до речі, адміністративні шаблони - їх ми використовуємо найчастіше. Вузол адміністративних шаблонів існує і в частині користувачів, і в частині комп'ютера. Як ви, напевно, здогадалися, параметри політик, зазначені на стороні користувача, відносяться до користувачів, а на стороні комп'ютера - до комп'ютера.

Звідки беруться всі ці чудові параметри адміністративних шаблонів? У момент створення нового покоління існує кілька параметрів, якими теоретично можна управляти. Ось тут на сцену і виходять файли ADM. Вони описують ті галузі застосування, які можуть використовувати параметри, що задаються адміністратором. На жаль, файли ADM обмежуються лише параметрами реєстру для конкретного додатка, а додаток може зберігати параметри не тільки в реєстрі: в файлах INI, JS, XML, в базах даних.

Готові файли ADM

Звідки взагалі беруться готові політики для адміністративних шаблонів в конфігурації комп'ютера і конфігурації користувачів? Якщо натиснути правою кнопкою миші ссликой «Адміністративні шаблони» в редакторі об'єктів і вибрати пункт «Додати або видалити шаблони» або на панелі комп'ютера, або на стороні користувача, ви побачите стандартні шаблони, на основі яких створюється стандартна конфігурація (як показано на рис. 1 ).

Мал. 1 Адміністративні шаблони за замовчуванням

Схема файлів наступна:

• Conf.adm - параметри NetMeeting®.
• Inetres.adm - параметри Internet Explorer®, в тому числі підключення, панелі інструментів і параметри панелей. Це ті ж настройки, до яких можна отримати доступ через пункт меню «Властивості оглядача» в Internet Explorer.
• System.adm - зміни і параметри операційної системи. Велика частина параметрів адміністративних шаблонів комп'ютера і користувачів міститься в цьому шаблоні ADM.
• Wmplayer.adm - параметри програвача Windows Media® 9.
• Wuau.adm - управління доступом клієнтів до серверів служб поновлення Windows® і Windows Server®.

Додавання нового файлу шаблону ADM

Робиться це абсолютно просто. Потрібно взяти шаблон ADM, який ви хочете використовувати. Млжно завантажити один з шаблонів, розміщених на веб-сайті GPanswers.com (там чимало цікавих прикладів), або ADM-файл для Office 2003 або Office 2007 на веб-сайті Microsoft.

Клацніть правою кнопкою миші посилання «Адміністративні шаблони» і виберіть пункт «Додати», як показано на рис. 1. За замовчуванням Windows шукає шаблони в каталозі \ Windows \ inf, але це не означає, що в іншому місці їх зберігати не можна. Врахуйте наступний момент: як тільки шаблон ADM буде додано з вихідного сховища, він додається в сам об'єкт групової політики.

Наприклад, коли я писав цю статтю, я зайшов на веб-вузол GPanswers.com і завантажив файл nopassport.adm. Я зберіг його в папці c: \ temp. Цей шаблон ADM дозволяє прибрати питання про додавання паспорта, який з'являється при першому вході користувача в Windows XP.

Ще я завантажив шаблони ADM для Office 2003 і зберіг їх там же, в папці c: \ temp. Але я їх там не залишив. На рис. 2 показано, що я додав шаблони nopassport.adm і Word11.adm. Вони з'явилися в списку стандартних шаблонів у вікні «Додати або видалити шаблони».

Additional ADM files in the GPO

Тепер погляньте на файли, що відносяться до самого об'єкта групової політики (вони лежать в папці \\ domaincontroller \ SYSVOL \ domainname \ Policies \ GUID \ ADM). Як ви віліте, тепер шаблони nopassport.adm і Word11.adm є частиною об'єкта групової політики (див. Рис. 2).

Навіщо шаблони додаються в об'єкт групової політики? Робиться це для того, щоб параметри, що містяться в цих файлах, було видно, якщо ви вирішите змінити об'єкт групової політики в іншій системі управління.

Чому завантажені файли не видно?

Іноді додані файли ADM видно, іноді немає. Така поведінка нерідко призводить адміністраторів в розгубленість. На веб-сайті GPanswers.com це питання ставлять дуже часто, так що давайте прямо зараз все і з'ясуємо.

По крайней мере, результати додавання двох файлів, які ми розглядали вище, ви повинні бачити (див. Рис. 3). З'являються два нових вузла: вузол Nuisances в конфігурації комп'ютера (його додає файл nopassport.adm) і вузол Microsoft Office Word 2003 в конфігурації користувача (його додає файл Word11.adm). Якщо як слід попорпатися в параметрах Microsoft® Word 2003 ви виявите досить велике число параметрів, що величин - вони показані на рис. 3.

Мал. 3 Параметри групової політики

Так чому ж їх немає в вузлі Nuisances? Щоб це зрозуміти, потрібно спочатку розібратися, що таке «допустимі» і «неприпустимі» розділи політики з точки зору шаблонів ADM.

Допустимі і недопустимі розділи політики

Згідно з документацією Майкрософт, існують чотири затверджених області реєстру, в яких можна створювати політики на підставі зломів реєстру:

• HKLM \ Software \ Policies (параметри комп'ютера, кращий розділ);
• HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies (параметри комп'ютера, альтернативний розділ);
• HKCU \ Software \ Policies (параметри користувача, кращий розділ);
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies (параметри користувача, альтернативний розділ).

Параметри, що містяться в файлі ADM для Word 2003, записуються як раз в ці розділи, а ось параметри з файлу nopassport.adm - немає. Вони записуються в розділ HKLM \ Software \ Microsoft \ MessengerService \ PassportBalloon.

Редактор об'єктів групової політики вважає за краще перестрахуватися і не відразу робить ці параметри видимими, оскільки вони записані в неприпустимий розділ політики, а вносяться зміни залишаться в реєстрі назавжди. Навіть якщо ви угробити об'єкт групової політики, скасувати зміни не вийде. Візьмемо, наприклад, таку ситуацію. Ви додали файл nopassport.adm і вирішили, що питання про додавання паспорта не повинен здаватися ні на одному комп'ютері в вашому домені. А потім ваш начальник ненароком зауважив, що саме це питання його особливо радував. Ось тут-то вам доведеться повозитися, перш ніж ви повернете цю настройку до колишнього вигляду, тому що ви скасували підказку на всіх комп'ютерах - і в загальному випадку це робиться назавжди. Звичайно, можна створити новий файл ADM, який поверне підказку назад, але на це теж піде чимало сил.

Звичайні ж параметри політики, навпаки, мають значення, використовувані за замовчуванням. Якщо знищити об'єкт групової політики, для таких параметрів будуть відновлені стандартні значення. Наприклад, якщо ви забороните доступ до панелі управління за допомогою вбудованих шаблонів ADM, а потім передумаєте, вам потрібно буде просто видалити відповідний об'єкт групової політики - і панель управління повернеться. Це стосується практично всіх параметрах, що містяться в стандартних шаблонах ADM (за рідкісним винятком).

Ще раз нагадаю, що у випадку з питанням про паспорт груповій політиці не вдавалося відновити колишню конфігурацію після видалення об'єкта, тому що параметри з файлу ADM були збережені в неприпустимому розділі. Майкрософт подбав про те, щоб ви не підпиляли сук, на якому сидите - не рвонули використовувати подібні параметри, які змінюють реєстр назавжди.

Перегляд шаблонів ADM

Отже, побачити шаблон зовсім не складно. За замовчуванням редактор не вказує параметри, але це можна виправити. Клацніть посилання «Адміністративні шаблони» (або в частині комп'ютера, або в частині користувачів) і виберіть «Вид»> «Фільтрація». Нарешті, зніміть (все вірно, зніміть) прапорець «Показувати тільки керовані парметри політики» (див. Рис. 4). Коли ви це зробите, в стовпці «парметри» з'явиться рядок Passport Solicitation (запит паспорта) - вона теж є на рис. 4.

Мал. 4 Фільтрація GPO

Робота з редактором в Windows XP і в Windows Vista

Ви помітили невелике відміну щойно з'явився параметра політики? Погляньте на значки параметрів, що містяться в стандартних файлах ADM, показані на рис. 5. А тепер на значок параметра шаблона ADM, що вносить зміни в неприпустимий розділ політики в реєстрі на рис. 6.

Мал. 5 ADM-файли зі значками

Мал. 6 Значки для неприпустимого використання реєстру

За синім і червоним піктограм можна відрізнити параметр, що вносить оборотні зміни, від параметра, який вносить зміни до реєстру назавжди. Але це, знову ж таки, залежить від того, куди записується параметр.

У Windows Vista®, треба сказати, ситуація дещо змінюється, якщо використовувати файли ADM в керуючої станції Windows Vista. В такому випадку файли ADM додаються в окремий вузол під назвою «Класичні адміністративні шаблони (ADM)», як показано на рис. 7. Параметри, які раніше відзначалися червоною крапкою, тепер позначаються сувоєм зі стрілкою вниз (а під час редагування самого параметра у нього стоїть маленький значок «Вхід заборонено»).

Мал. 7 Вузол класичних адміністративних шаблонів

Параметри, які раніше відзначалися синьою крапкою (тобто ті, які записувалися в допустимі розділи політики) позначаються просто маленьким сувоєм, як показано на рис. 8.

Мал. 8 Значки промоткі з дійсними реєстрами

А що за галас навколо ADMX?

І Windows Vista, і Windows Server 2003 включають вбудовану консоль управління груповими політиками. А вона, в свою чергу, включає в себе нову можливість - можливість позбутися від старих файлів ADM і перейти на файли ADMX, якщо вам так зручніше. Навіщо це потрібно?

Давайте згадаємо, що файл ADM поміщається в шаблон групової політики, який є частиною об'єкта групової політики (ця частина зберігається в SYSVOL). Коли це відбувається, ви втрачаєте приблизно 4 МБ на кожному контролері домену при кожному створенні об'єкта групової політики. Також згадаємо, що файл ADM розміщується в шаблон групової політики, тому що це необхідно на випадок спроби відредагувати об'єкт політики на інший керуючої станції. Якщо файлу ADM в ньому не буде, ви не зможете змінити параметри, що містяться в ADM.

Формат ADMX дозволяє уникнути всіх цих неприємностей. В об'єкти групової політики безпосередньо нічого не записується, тому проблема «роздутого SYSVOL», якому доводиться зберігати в собі об'єкти групової політики, купу файлів ADM, та ще й виконувати реплікацію на всі контролери домену, відпадає сама собою. Для цього стандарт ADMX використовує переваги так званого центрального сховища. Завдання його полягає в тому, щоб надати єдине місце зберігання нових файлів ADMX - тоді їх не доведеться копіювати в кожен об'єкт групової політики. Прощай, роздутий SYSVOL. Бувай! Ще один плюс центрального полягає в тому, що якщо в одному з файлів ADMX оновлюється визначення, всі керуючі станції Windows Vista негайно починають використовувати оновлений ADMX.

Якщо вам хочеться більше дізнатися про файли ADMX, і зокрема про створення та використання центрального сховища, можу запропонувати вам два джерела. По-перше, це детальна стаття Даррена Мар-Еліа (Darren Mar-Elia) в лютневому випуску журналу Technet Magazine за 2007 р (technetmagazine.com/issues/2007/02/Templates), в якій він розглядає формат ADMX і дає короткий роз'яснення з приводу центрального сховища. По-друге, можна завантажити цілий розділ з моєї майбутньої книги під назвою «Групова політика: управління, усунення неполадок і безпеку». Вона є в розділі Book Resources (книги) на веб-сайті GPanswers.com.

Як я вже згадував, шаблони ADM як і раніше підтримуються керуючими станціями Windows Vista, але ось центральне сховище використовувати для них не вийде. Інколи це може збити з пантелику, так що розглянемо докладніше один приклад.

Припустимо, я створив об'єкт групової політики в керуючої станції Windows Vista, а потім налаштував деякі стандартні параметри (скажімо, заборонив доступ до панелі управління). Потім я додав свій власний шаблон ADM. Тепер заглянемо в шаблон об'єкта групової політики і спробуємо розібратися в тому, що сталося.

Щоб додати шаблон ADM, ви можете повторити дії, які я виконував трохи раніше. Відкрийте редактор об'єктів групової політики, клацніть правою кнопкою миші посилання «Адміністративні шаблони» для комп'ютера або користувача і виберіть пункт «Додати або видалити шаблони». Доданий шаблон показаний на рис. 9.

Мал. 9 Перегляд доданого шаблону

Щоб побачити параметри, що містяться в нашому шаблоні ADM, потрібно виконати те, що показано на рис. 4. Тобто, клацнути «Перегляд»> «Фільтрація» і зняти прапорець «Показувати тільки керовані парметри політики». Після цього потрібно закрити редактор об'єктів і повернутися в консоль управління груповими політиками. На рис. 10 показана вкладка властивостей об'єкта, який я тільки що створив в керуючої станції Windows Vista. (Дивіться, яке зручне ім'я я йому придумав!) На вкладці всойств можна дізнатися ідентифікатор GUID для даного об'єкта групової політики - це спростить його пошук в SYSVOL.

Мал. 10 Адміністративні шаблони за замовчуванням

Знайшовши (ідентифікатора GUID) шаблон групової політики, відповідний моєму об'єкту, я можу розкрити папку з файлами ADM для даного об'єкта групової політики. Зробивши це, я виявляю, що в ній є рівно один шаблон ADM - той самий, який я імпортував вручну (див. Рис. 11). Причина цього в тому, що машини під управлінням Windows Vista не залежить від ADM. Оскільки вони ізначатьно не використовують ADM, вони нічого в об'єкт групової політики за замовчуванням не додають. Втім, якщо імпортувати ADM вручну (як ми і зробили), він буде застосовуватися точно так же, як застосовувався в попередніх версіях Windows.

Мал. 11 ADM-файл, іспортірованний вручну

Описане вище поведінка докорінно відрізняється від, скажімо, поведінки об'єкта, показаного на рис. 12, який створювався в Windows XP або Windows Server 2003. Якщо об'єкти групової політики створюються в керуючих станціях версій Windows, що передують Windows Vista, вихідні файли ADM додаються в об'єкти групової політики, як я описував вище. Наведений тут об'єкт створений в керуючої станції Windows XP. Це можна визначити за кількістю файлів ADM, які Windows Vista не використовує за непотрібністю.

Мал. 12 GPO, створений в Windows XP

Преобразоиваніе ADM в ADMX за допомогою засобу ADMX Migrator

Отже, в Windows XP використовуються файли ADM, а в Windows Vista - файли ADMX (хоча ADM підтримується - на випадок, якщо нічого іншого під руками немає). Однак ми не можемо записувати файли ADM в центральне сховище: керуючі странцу Windows Vista так їх використовувати не будуть.

Щоб мати можливість застосовувати параметри, що містяться в файлах ADM, що лежать в центральному сховищі, необхідно перетворити файли ADM в ADMX або створити їх аналоги в форматі AMDX. На щастя, існує програма, яка виконує обидві дії. Це засіб ADMX Migrator (яке фактично складається з двох частин, одна з яких перетворює ADM в ADMX, а друга - створює ADMX). Його можна завантажити на веб-сайті go.microsoft.com/fwlink/?LinkId=103774.

Засіб ADMX Migrator встановлюється на Windows Server 2003, Windows XP і Windows Vista. Встановлені програми лежать в папці C: \ Program Files \ FullArmor \ ADMX Migrator. Програма командного рядка, якої я скористаюся, називається faAdmxConv.exe. Оскільки папка, в якій встановлена ​​програма, до числа стандартних шляхів не відноситься, нам доведеться переходити в неї, і тільки після цього ми зможемо запустити додаток, тому, коли я його використовую, я додаю папку програми в набір шляхів Windows. Як це зробити, описано в статті на сторінці www.computerhope.com/issues/ch000549.htm.

Зазвичай я створюю тимчасовий каталог, наприклад C: \ ADMtemp, і копіюю в нього вихідні файли ADM. У програмі faAdmxConv.exe є безліч параметрів. Найпростіший спосіб перетворювати файл ADM - задати його ім'я і вказати папку, в якій буде збережений новий файл. Якщо ви вже склали вихідний файл ADM в папку ADMtemp і додали faAdmxConv.exe в список шляхів, ви можете просто запустити команду faAdmxConv nopassport.adm. (Точка в кінці означає, що новий файл буде створений в тому ж каталозі). Якщо ви не поставите точку і не вкажете каталог для нового файлу явно, він буде створений в тимчасовій папці в профілі вашого профілю. На рис. 13 показані три команди:

Мал. 13 Засіб перенесення ADMX

• команда dir - для перегляду файлу ADM;
• команда faAdmxConv з ім'ям файлу ADM і з точкою, що означає поточний каталог;
• команда dir для перегляду файлів, отримані в результаті преобразоиванія: nopassport.admx і nopassport.adml.

Перш ніж копіювати отримані файли в центральне сховище, спробуйте протестувати їх на комп'ютері, відключеному від мережі. Перейдіть в автономний режим, скопіюйте файл ADMX в папку C: \ Windows \ PolicyDefinitions, файл ADML - в каталог відповідної мови. У США це буде папка C: \ Windows \ PolicyDefinitions \ en-us. Приклад процедури копіювання наведено на рис. 14.

Мал. 14 Копіювання ADMX-файлів в центральне сховище

Засіб перетворення ADM в ADMX недавно оновили до версії 1.2. У ній було виправлено декілька помилок, що відбуваються при преобразоиваніі, і додано кілька корисних попереджувальних повідомлень. Якщо колись ви намагалися використовувати засіб преобразоиванія, але через якийсь помилки закинули цю справу, обов'язково випробуйте версію 1.2.

Нарешті, зверніть увагу, що файл ADM фактично перетворюється в два файли: файл ADMX (що не залежить від мови) і файл ADML (залежить від мови системи). Після цього ви можете або відправити їх в центральне сховище, або протестувати на локальній машині. Як би там не було, щоб побачити параметри, що містяться в шаблоні ADMX, вам все одно доведеться зробити те, що показано на рис. 4. Тобто, вибрати пункт «Перегляд»> «Фільтрація» і зняти прапорець «Показувати тільки керовані параметри політики». Це пов'язано з тим, що параметри, що містяться в файлі ADMX, записуються в неприпустимий розділ політики.

Підведемо Підсумки

В ідеальному випадку, звичайно, потрібно використовувати тільки файли ADMX і задіяти центральне сховище. Однак для цього доведеться перетворити всі наявні файли ADM, перевести всі керуючі станції на Windows Vista (або Windows Server 2008) і домовитися з редагувати об'єкти групової політики в попередніх версіях Windows.

Якщо ви все це зробите, ви практично позбудетеся від файлів ADM. Поки що файли ADM в об'єктах групової політики лише займають зайве місце в SYSVOL на контролерах доменів. Коли ви досягнете нірвани під назвою ADMX, ви зможете просто видалити файли ADM з шаблонів об'єктів групової політики, що лежать в SYSVOL. Саме так. ADM - пережиток минулого, червоподібний відросток. Колись він був корисний, але тепер він ніякої ролі не грає. Ви можете видалити їх вручну, а можете написати сценарій. Але перш ніж ви це зробите, зверніть увагу: якщо перераховані вище етапи невиконання повністю, ви робите найбільшу помилку. Спочатку переконайтеся, що ви і справді можете розпрощатися з ADM назавжди.

Автор: Джеремі Московіц
Джерело: январь 2008 Technet Magazine