Tento článek vyšel také jako součást Microsoft TechNet Flash zpravodaje pod názvem Group Policy Administrative Templates ve Windows Server 2008.
Soubory Administrative Templates (AT)
Administrative Templates soubory (máme ADM a ADMX svázané s ADML, když budu mluvit obecně, budu říkat ADM/ADMX soubory), obsahují šablony, které dovolí konfigurovat nějakou vlastnost pomocí změn v registrech. Když vytvářím Group Policy Object (GPO, jednoduše politiku) pomocí Group Policy Object Editor (GPOE) či Group Policy Management Console, tedy Group Policy Management Editor (GPME), tak se ADM/ADMX soubory načtou a v editoru se zobrazí určité položky. Když nějakou položku změním, tak se uvnitř politiky uloží do souboru registry.pol. Ten se pak aplikuje na počítače/uživatele. Šablony jsou potřeba pouze pro vytváření politiky, ale ne již pro vlastní aplikaci na klientovi.
Základní ADM/ADMX soubory se distribuují spolu s operačním systémem. ADM/ADMX soubory v sobě obsahují nejen nastavení pro aktuální OS, ale pro všechny platformy podporované v dané době (to znamená, že na Windows XP máme i informace k serverovým nebo starším OS). Také nové defaultní ADMX soubory obsahují vše, co bylo ve standardních ADM souborech.
Na internetu můžeme stáhnout různé rozšiřující ADM/ADMX soubory, například pro MS Office. Případně i ty ADM/ADMX soubory, které jsou součástí různých verzí Windows. Není ani problém si vytvořit vlastní ADM/ADMX soubor s nějakým nastavením.
Soubor ADM
Původní formát souborů pro šablony od Windows 2000 po 2003/XP. Jedná se o textový soubor, který je jazykově závislý (pro každý jazyk máme nový soubor stejného názvu, takže konfigurace politiky se může provádět pouze v jednom jazyce). ADM soubory můžeme použít i v novějších verzích OS (Windows 7), ale standardní soubory, distribuované s OS, jsou již pouze ADMX a tyto soubory mají přednost před ADM.
Pokud používáme ADM soubory při vytváření politiky, tak se tyto soubory ukládají do vytvořené politiky (do Sysvol adresáře v doméně). Takže politika má velikost několik MB místo pár kB.
Soubor ADMX
Jedná se o náhradu ADM souborů, která přišla s Windows Vista a Windows Server 2008. ADMX je soubor v XML formátu, který je jazykově neutrální. K určitému ADMX souboru potřebujeme odpovídající ADML soubor. Tím je podporována multijazyčnost (více správců může editovat jednu politiku, každý v jiném jazyce). ADMX/ADML soubory se navíc neukládají do vlastní politiky, takže ta je výrazně menší. Volitelně můžeme použít Central Store (více dále).
Soubor ADML
Doplněk ADMX souboru, který obsahuje jazykové informace (texty pro politiku v určitém jazyce). Ve složce s ADMX soubory se vytváří podadresáře pro určité jazyky (jako en-US, cs-CZ či de-DE) a do nich se ukládají ADML soubory se stejným názvem jako ADMX.
Načítání ADM/ADMX souborů
ADMX soubory
V administračních nástrojích (GPOE, GPME) se ADMX soubory automaticky hledají ve dvou cestách. V Central Store, tedy síťovém úložišti v doméně, jehož adresa je \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions. Pokud se zde nenalezne, tak se hledá v lokálním úložišti v c:\Windows\PolicyDefinitions. Pokud Central Store existuje a je dostupný, tak se lokální soubory nepoužijí.
Vytvoření Central Store
Pokud chceme vytvořit Central Store, tak stačí založit daný adresář na jednom doménovém řadiči (provede se replikace na ostatní) a zkopírovat do něj ADMX a ADML soubory například z Windows Server 2008 R2. Vždy je potřeba udržovat nejnovější verzi těchto souborů, aby obsahoval všechna nastavení (například po instalaci Service Pack). V současnosti nejnovější verze je pro Windows Server 2008 R2/Windows 7.
ADM soubory
Naproti tomu ADM soubory jsou standard ně (pokud je máme v systému) uloženy v c:\Windows\inf. Při vytváření politiky (ve Windows, kde ještě nejsou ADMX) se načítají některé defaultní a můžeme je ručně přidávat nebo ubírat. Klikneme pravým tlačítkem na Administrative Templates v editoru a zvolíme Add/Remove Templates. Defaultní ADM soubory jsou conf.adm, inetres.adm, system.adm, wmplayer.adm, wuau.adm. Těchto 5 souborů má dohromady skoro 4 MB a vkládají se do každé vytvořené politiky.
Pokud používáme systém s ADMX soubory, tak můžeme stále přidat ADM soubory, ty se zobrazí pod skupinou Classic Administrative Templates (ADM).
Uložení GPO
Politiky (GPO) se v doméně ukládají (na doménové řadiče) do cesty \\FQDN\SYSVOL\FQDN\policies. Zde je adresář pro každou politiku, který má název {GPO GUID} (ID politiky v závorkách). Pokud je to politika vytvořená pomocí ADM souboru, tak se zde nachází podadresář Adm, který obsahuje všechny ADM soubory, které byly při vytváření přidány. Takže je odsud můžeme i zkopírovat, pokud je potřebujeme. Ale určitě je efektivnější používat nové ADMX soubory uložené v Central Store (jednotlivé politiky jsou pak mnohem menší), to znamená vytvářet a spravovat politiky v nových verzích Windows.
Převod politiky s ADM soubory na novou
Jak jsme řekli, je lepší vytvářet nové politiky v novějších verzích OS (třeba Windows 7) a v nich provádět i jejich správu (nové položky bychom ve starších OS neviděli a rovnou by se do GPO přidali ADM soubory). Staré politiky můžeme editovat v nových OS, ale tím se ADM soubory neodstraní (i když pokud nejsou speciální, tak je ani při editaci nevyužijeme – pokud existuje odpovídající ADMX, tak se použije ten).
Čistým řešením, jak se zbavit ADM souborů, je vytvořit GPO znovu. Lákala by možnost importovat nastavení ze staré politiky do nové, bohužel při importu se vloží i ADM soubory. Přesto se někdy možnost importu může hodit, ta zkopíruje nastavení (a pouze to, ne práva, delegaci apod.) ze zazálohované politiky. Zálohu můžeme provést jako jeden krok průvodce. Import provedeme pomocí Group Policy Management Console, proklikáme se na Group Policy Objects a klikneme pravým tlačítkem na politiku, do které chceme importovat nastavení. Z menu zvolíme Import Settings a projdeme průvodce.
Pozn.: Zálohu všech politik můžeme provést tak, že klikneme pravým tlačítkem na Group Policy Objects v Group Policy Management Console a zvolíme Back Up All.
Možností, jak odstranit ADM soubory z GPO, je otevřít politiku v novém OS. Kliknout pravým tlačítkem na Administrative Templates a zvolit Add/Remove Templates a odstranit všechny připojené soubory. Když se pak podíváme do adresáře politiky, tak je adresář Adm prázdný. A když se podíváme na politiku, třeba v Group Policy Management Console, vidíme, že nastavení zůstalo.
Konverze ADM souboru do ADMX
Pro převod starých ADM šablon na nové ADMX můžeme použít nástroj ADMX Migrator . Ten můžeme využít i k editaci ADMX souboru nebo k vytvoření nového.
Vyhledávání v Administrative Templates
V minulosti byl vždy velký problém cokoliv v nastavení politik nalézt. Položek je zde několik tisíc a chyběla základní možnost vyhledávání. Dnes máme naštěstí k dispozici dvě pomocné operace, zobrazení všech položek na jednom místě a filtrování.
Všechna nastavení
Nově je v administračních nástrojích pro editaci GPO (GPOE, GPME), pod položkou Administrative Templates, k dispozici složka All Settings, která obsahuje všechna nastavení ze všech načtených ADM/ADMX souborů. Takže můžeme vyhledávat položky podle jména.
Filtrování Administrative Templates
Druhou novinkou editovacích nástrojů je možnost filtrování nastavení z ADMX souborů. Když klikneme pravým tlačítkem na Administrative Templates nebo nějakou podsložku, tak máme v kontextovém menu k dispozici položky Filter On a Filter Options.
Když zvolíme Filter Options, tak se zobrazí dialog, kde můžeme zadat parametry filtrování. Můžeme si vypsat položky, které jsou nastavené (Configured), u kterých je komentář (Commented), které jsou určeny pro určitou platformu (Requirements Filters). A asi hlavní je filtrování podle klíčových slov (Keyword Filters), kde zadáme jedno nebo více slov a určíme jeho výskyt v názvu politiky, popisu či komentáři. Po kliknutí na OK se rovnou filtrování zapne (Filter On).
Pozn.: Pokud zadáte klíčové slovo a nedostanete žádný výsledek, tak to může být způsobeno bugem v MS nástroji. Je potřeba přepnout klávesnici na anglickou a znovu zadat parametry filtrování (Filter Options).
Komentáře
Když převedu ADM politiky na ADMX (např ADMX Migratorem), budou se aplikovat i na starších systémech wxp a w2000?
odpověď na [1]Pavel: Kdybyste si přečetl můj článek, tak takový dotaz nemůžete položit.
Soubory ADM nebo ADMX nemají vůbec nic společného s klientem, slouží pouze k vytvoření politiky, která se na klienta aplikuje. A vlastní politika je pořád stejná.
Tušil jsem, že když přidám dotaz, že budu označen za slepce, troubu, nebo něco podobného. No, třeba jsem
. Jen mi nebylo dost jasné, proč se ty šablony přidávaly do každé z politik, když s klientem nemají nic společného.
Každopádně děkuji za objasnění problému.
odpověď na [3]Pavel: Myšlenka, která mi ovšem nepřipadá rozumná, údajně byla, aby administrátor, který se připojí z libovolného PC, měl k dispozici ty šablony a tudíž mohl editovat nastavení. Aby úplně neodešli od tohoto konceptu, tak se dnes používá Central Store pro ten samý účel.
PS: ještě k tomu prvnímu komentáři, převádět ADM na ADMX se hodí jen pro speciální ADM soubory
Bohužel se mi už několikrát stalo, že politika vytvořená z Admin Templates na novém OS, řekněme Win2k8 se na starší verze jako Windows Server 2003 neaplikovala. Můžete poradit, když zde tvrdíte, že je to klientsky nezávislé proč se tak stalo?
Předem díky
odpověď na [5]Zoulis: Mám desítky politik, všechny vytvořené ve Windows 7 z ADMX nikde žádný problém. Pokud je politika správně vytvořená pro správnou verzi OS, tak by neměl být problém. Samozřejmě to, že se z nějakého důvodu někde neaplikuje politika se stává a příčin může být mnoho.
V GPO se podívejte na soubor registry.pol, to je to, co se vytvoří ze šablony a můžete porovnat stejné nastavení z Windows XP a Windows 7 (třeba).
Tak jste měl pravdu.Skutečně se v Sysvol ve složce s GPO soubor registry.pol nevytvořil.Nicméně nechápu proč, protože jakmile použiju nějakou z předvytvořených šablon ADMX soubor se ihned vytvoří.Já bohužel potřebuju provést přes registry změnu parametru SNMP protokolu a to se nějak nedaří. Pokud v GPMC konzoli ve Win2k8 SP2 zkouším vydefinovat změnu registru přes nabízeného průvodce (předvolby nastavení Windows -> Registry ->Průvodce nastavení registry) kde volím zdrojový OS(hostname) a následně co konkrétně z jeho registrů chci použít do GPO tak se po této akci žádný registry.pol nevytvoří, ikdyž v náhledu na GPO v nastavení vidím požadované změny v registry. Kolega mi tvrdí, že je nutné vydefinovat ADM file (šablonu),ale já sem po přečtení Vašeho článku nabyl dojmu, že by to mohlo jít i takto.
odpověď na [7]Zoulis: Takže sem problém nakonec vyřešil jinak, ona na to nastavení SNMP je přímo šablona. Nicméně pokud by neexistovala jak nejlépe provést úpravu nebo přidání nějakých klíčů do registry?
odpověď na [7]Zoulis: Bohužel nevím o žádném průvodci a jsem úplně ztracený
. Přímé nastavení registrů se dá rozumně dělat až pomocí Group Policy Preferences (třeba Computer Configuration a pak ne Policies, ale Preferences), ty jsou nativně podporovány až od Windows Server 2008/ Vista, do starší systémů se musí nainstalovat podpora (jako aktualizace). Preferences změny se neukládají jako registry.pol, ale jako Registry.xml (v jiném podadresáři).
odpověď na [9]Samuraj: Jo soubor registry.xml to skutečně vytvořilo,nicméně po aplikaci GPO na nějaký konkrétní objekt (s Win2k8 R2)se stejně nic v registry nezměnilo. Takže buď to dělám blbě nebo to v nativním módu AD 2003 prostě nefunguje. I tak Vám děkuji za poskytnuté informace
odpověď na [10]Zoulis: To je zvláštní, tohle nastavování registrů běžně používám. Ale jestli jste použil nějakého průvodce (neznám), kde jste zadal i cílení na OS podle WMI, tak může být problém tam. Zkuste to prostě ručně zadat, bez podmínek. Důležité je správně zadat cestu do registrů (je to tam rozděleno na 2 části).
odpověď na [11]Samuraj: Už to chodí, je to super :) Díky za pomoc
Já mám zřejmě hloupý dotaz - politiky vytvořené pro x86 systém, lze nějakou konverzí užít i na x64 systému, nebo jen tak? Konkrétně W2K3 převod na W2K3 x64, který teď musím, kvůli jinému softwaru, použít
odpověď na [13]Petr: Až na malé vyjímky tam není žádný rozdíl. Vše by mělo fungovat stejně na x86 jako x64.
Webová MS aplikace, která dovoluje vyhledávat ve skupinových politikách a nabízí různé pohledy gps.cloudapp.net/.