www.SAMURAJ-cz.com 

16.12.2017 Albína Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Group Policy - Administrative Templates

Středa, 19.01.2011 18:16 | Samuraj - Petr Bouška |
Group Policy se skládají ze dvou hlavních částí, konfigurace počítače (Computer Configuration) a konfigurace uživatele (User Configuration). Obě části mají rozdílné jednotlivé položky (možnosti nastavení), ale mají společné kategorie. To je Software Settings, Windows Settings a Administrative Templates. První dvě jsou pevně dány, kdežto Administrative Templates se načítají z konfiguračních souborů (ADM a ADMX/ADML) a můžeme je i sami rozšiřovat. Obsahují politiky založené na registrech. V tomto článku se budeme věnovat právě oblasti Administrative Templates a k jakým změnám došlo při příchodu Windows Server 2008.

Tento článek vyšel také jako součást Microsoft TechNet Flash zpravodaje pod názvem Group Policy Administrative Templates ve Windows Server 2008.

Soubory Administrative Templates (AT)

Administrative Templates soubory (máme ADM a ADMX svázané s ADML, když budu mluvit obecně, budu říkat ADM/ADMX soubory), obsahují šablony, které dovolí konfigurovat nějakou vlastnost pomocí změn v registrech. Když vytvářím Group Policy Object (GPO, jednoduše politiku) pomocí Group Policy Object Editor (GPOE) či Group Policy Management Console, tedy Group Policy Management Editor (GPME), tak se ADM/ADMX soubory načtou a v editoru se zobrazí určité položky. Když nějakou položku změním, tak se uvnitř politiky uloží do souboru registry.pol. Ten se pak aplikuje na počítače/uživatele. Šablony jsou potřeba pouze pro vytváření politiky, ale ne již pro vlastní aplikaci na klientovi.

Základní ADM/ADMX soubory se distribuují spolu s operačním systémem. ADM/ADMX soubory v sobě obsahují nejen nastavení pro aktuální OS, ale pro všechny platformy podporované v dané době (to znamená, že na Windows XP máme i informace k serverovým nebo starším OS). Také nové defaultní ADMX soubory obsahují vše, co bylo ve standardních ADM souborech.

Na internetu můžeme stáhnout různé rozšiřující ADM/ADMX soubory, například pro MS Office. Případně i ty ADM/ADMX soubory, které jsou součástí různých verzí Windows. Není ani problém si vytvořit vlastní ADM/ADMX soubor s nějakým nastavením.

Group Policy Management Editor - Administrative Templates

Soubor ADM

Původní formát souborů pro šablony od Windows 2000 po 2003/XP. Jedná se o textový soubor, který je jazykově závislý (pro každý jazyk máme nový soubor stejného názvu, takže konfigurace politiky se může provádět pouze v jednom jazyce). ADM soubory můžeme použít i v novějších verzích OS (Windows 7), ale standardní soubory, distribuované s OS, jsou již pouze ADMX a tyto soubory mají přednost před ADM.

Pokud používáme ADM soubory při vytváření politiky, tak se tyto soubory ukládají do vytvořené politiky (do Sysvol adresáře v doméně). Takže politika má velikost několik MB místo pár kB.

Soubor ADMX

Jedná se o náhradu ADM souborů, která přišla s Windows Vista a Windows Server 2008. ADMX je soubor v XML formátu, který je jazykově neutrální. K určitému ADMX souboru potřebujeme odpovídající ADML soubor. Tím je podporována multijazyčnost (více správců může editovat jednu politiku, každý v jiném jazyce). ADMX/ADML soubory se navíc neukládají do vlastní politiky, takže ta je výrazně menší. Volitelně můžeme použít Central Store (více dále).

Soubor ADML

Doplněk ADMX souboru, který obsahuje jazykové informace (texty pro politiku v určitém jazyce). Ve složce s ADMX soubory se vytváří podadresáře pro určité jazyky (jako en-US, cs-CZ či de-DE) a do nich se ukládají ADML soubory se stejným názvem jako ADMX.

Načítání ADM/ADMX souborů

ADMX soubory

V administračních nástrojích (GPOE, GPME) se ADMX  soubory automaticky hledají ve dvou cestách. V Central Store, tedy síťovém úložišti v doméně, jehož adresa je \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions. Pokud se zde nenalezne, tak se hledá v lokálním úložišti v c:\Windows\PolicyDefinitions. Pokud Central Store existuje a je dostupný, tak se lokální soubory nepoužijí.

Vytvoření Central Store

Pokud chceme vytvořit Central Store, tak stačí založit daný adresář na jednom doménovém řadiči (provede se replikace na ostatní) a zkopírovat do něj ADMX a ADML soubory například z Windows Server 2008 R2. Vždy je potřeba udržovat nejnovější verzi těchto souborů, aby obsahoval všechna nastavení (například po instalaci Service Pack). V současnosti nejnovější verze je pro Windows Server 2008 R2/Windows 7.

ADM soubory

Naproti tomu ADM soubory jsou standard ně (pokud je máme v systému) uloženy v c:\Windows\inf. Při vytváření politiky (ve Windows, kde ještě nejsou ADMX) se načítají některé defaultní a můžeme je ručně přidávat nebo ubírat. Klikneme pravým tlačítkem na Administrative Templates v editoru a zvolíme Add/Remove Templates. Defaultní ADM soubory jsou conf.adm, inetres.adm, system.adm, wmplayer.adm, wuau.adm. Těchto 5 souborů má dohromady skoro 4 MB a vkládají se do každé vytvořené politiky.

Pokud používáme systém s ADMX soubory, tak můžeme stále přidat ADM soubory, ty se zobrazí pod skupinou Classic Administrative Templates (ADM).

Classic Administrative Templates (ADM)

Uložení GPO

Politiky (GPO) se v doméně ukládají (na doménové řadiče) do cesty \\FQDN\SYSVOL\FQDN\policies. Zde je adresář pro každou politiku, který má název {GPO GUID} (ID politiky v závorkách). Pokud je to politika vytvořená pomocí ADM souboru, tak se zde nachází podadresář Adm, který obsahuje všechny ADM soubory, které byly při vytváření přidány. Takže je odsud můžeme i zkopírovat, pokud je potřebujeme. Ale určitě je efektivnější používat nové ADMX soubory uložené v Central Store (jednotlivé politiky jsou pak mnohem menší), to znamená vytvářet a spravovat politiky v nových verzích Windows.

Převod politiky s ADM soubory na novou

Jak jsme řekli, je lepší vytvářet nové politiky v novějších verzích OS (třeba Windows 7) a v nich provádět i jejich správu (nové položky bychom ve starších OS neviděli a rovnou by se do GPO přidali ADM soubory). Staré politiky můžeme editovat v nových OS, ale tím se ADM soubory neodstraní (i když pokud nejsou speciální, tak je ani při editaci nevyužijeme – pokud existuje odpovídající ADMX, tak se použije ten).

Čistým řešením, jak se zbavit ADM souborů, je vytvořit GPO znovu. Lákala by možnost importovat nastavení ze staré politiky do nové, bohužel při importu se vloží i ADM soubory. Přesto se někdy možnost importu může hodit, ta zkopíruje nastavení (a pouze to, ne práva, delegaci apod.) ze zazálohované politiky. Zálohu můžeme provést jako jeden krok průvodce. Import provedeme pomocí Group Policy Management Console, proklikáme se na Group Policy Objects a klikneme pravým tlačítkem na politiku, do které chceme importovat nastavení. Z menu zvolíme Import Settings a projdeme průvodce.

Pozn.: Zálohu všech politik můžeme provést tak, že klikneme pravým tlačítkem na Group Policy Objects v Group Policy Management Console a zvolíme Back Up All.

Možností, jak odstranit ADM soubory z GPO, je otevřít politiku v novém OS. Kliknout pravým tlačítkem na Administrative Templates a zvolit Add/Remove Templates a odstranit všechny připojené soubory. Když se pak podíváme do adresáře politiky, tak je adresář Adm prázdný. A když se podíváme na politiku, třeba v Group Policy Management Console, vidíme, že nastavení zůstalo.

Konverze ADM souboru do ADMX

Pro převod starých ADM šablon na nové ADMX můžeme použít nástroj ADMX Migrator . Ten můžeme využít i k editaci ADMX souboru nebo k vytvoření nového.

Vyhledávání v Administrative Templates

V minulosti byl vždy velký problém cokoliv v nastavení politik nalézt. Položek je zde několik tisíc a chyběla základní možnost vyhledávání. Dnes máme naštěstí k dispozici dvě pomocné operace, zobrazení všech položek na jednom místě a filtrování.

Group Policy Management Editor - All Settings

Všechna nastavení

Nově je v administračních nástrojích pro editaci GPO (GPOE, GPME), pod položkou Administrative Templates, k dispozici složka All Settings, která obsahuje všechna nastavení ze všech načtených ADM/ADMX souborů. Takže můžeme vyhledávat položky podle jména.

Filtrování Administrative Templates

Druhou novinkou editovacích nástrojů je možnost filtrování nastavení z ADMX souborů. Když klikneme pravým tlačítkem na Administrative Templates nebo nějakou podsložku, tak máme v kontextovém menu k dispozici položky Filter On a Filter Options.

Když zvolíme Filter Options, tak se zobrazí dialog, kde můžeme zadat parametry filtrování. Můžeme si vypsat položky, které jsou nastavené (Configured), u kterých je komentář (Commented), které jsou určeny pro určitou platformu (Requirements Filters). A asi hlavní je filtrování podle klíčových slov (Keyword Filters), kde zadáme jedno nebo více slov a určíme jeho výskyt v názvu politiky, popisu či komentáři. Po kliknutí na OK se rovnou filtrování zapne (Filter On).

Pozn.: Pokud zadáte klíčové slovo a nedostanete žádný výsledek, tak to může být způsobeno bugem v MS nástroji. Je potřeba přepnout klávesnici na anglickou a znovu zadat parametry filtrování (Filter Options).

Group Policy Management Editor - Filter Options

Odkazy

zobrazeno: 19543krát | Komentáře [15]

Autor:

Související články:

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Pavel

    Když převedu ADM politiky na ADMX (např ADMX Migratorem), budou se aplikovat i na starších systémech wxp a w2000?

    Čtvrtek, 24.02.2011 15:20 | odpovědět
  2. [2] Samuraj

    odpověď na [1]Pavel: Kdybyste si přečetl můj článek, tak takový dotaz nemůžete položit.

    Soubory ADM nebo ADMX nemají vůbec nic společného s klientem, slouží pouze k vytvoření politiky, která se na klienta aplikuje. A vlastní politika je pořád stejná.

    Čtvrtek, 24.02.2011 15:39 | odpovědět
  3. [3] Pavel

    Tušil jsem, že když přidám dotaz, že budu označen za slepce, troubu, nebo něco podobného. No, třeba jsem :-(. Jen mi nebylo dost jasné, proč se ty šablony přidávaly do každé z politik, když s klientem nemají nic společného.

    Každopádně děkuji za objasnění problému.

    Čtvrtek, 24.02.2011 16:03 | odpovědět
  4. [4] Samuraj

    odpověď na [3]Pavel: Myšlenka, která mi ovšem nepřipadá rozumná, údajně byla, aby administrátor, který se připojí z libovolného PC, měl k dispozici ty šablony a tudíž mohl editovat nastavení. Aby úplně neodešli od tohoto konceptu, tak se dnes používá Central Store pro ten samý účel.

    PS: ještě k tomu prvnímu komentáři, převádět ADM na ADMX se hodí jen pro speciální ADM soubory

    Čtvrtek, 24.02.2011 16:11 | odpovědět
  5. [5] Zoulis

    Bohužel se mi už několikrát stalo, že politika vytvořená z Admin Templates na novém OS, řekněme Win2k8 se na starší verze jako Windows Server 2003 neaplikovala. Můžete poradit, když zde tvrdíte, že je to klientsky nezávislé proč se tak stalo?

    Předem díky

    Úterý, 29.03.2011 14:08 | odpovědět
  6. [6] Samuraj

    odpověď na [5]Zoulis: Mám desítky politik, všechny vytvořené ve Windows 7 z ADMX nikde žádný problém. Pokud je politika správně vytvořená pro správnou verzi OS, tak by neměl být problém. Samozřejmě to, že se z nějakého důvodu někde neaplikuje politika se stává a příčin může být mnoho.

    V GPO se podívejte na soubor registry.pol, to je to, co se vytvoří ze šablony a můžete porovnat stejné nastavení z Windows XP a Windows 7 (třeba).

    Úterý, 29.03.2011 14:24 | odpovědět
  7. [7] Zoulis

    Tak jste měl pravdu.Skutečně se v Sysvol ve složce s GPO soubor registry.pol nevytvořil.Nicméně nechápu proč, protože jakmile použiju nějakou z předvytvořených šablon ADMX soubor se ihned vytvoří.Já bohužel potřebuju provést přes registry změnu parametru SNMP protokolu a to se nějak nedaří. Pokud v GPMC konzoli ve Win2k8 SP2 zkouším vydefinovat změnu registru přes nabízeného průvodce (předvolby nastavení Windows -> Registry ->Průvodce nastavení registry) kde volím zdrojový OS(hostname) a následně co konkrétně z jeho registrů chci použít do GPO tak se po této akci žádný registry.pol nevytvoří, ikdyž v náhledu na GPO v nastavení vidím požadované změny v registry. Kolega mi tvrdí, že je nutné vydefinovat ADM file (šablonu),ale já sem po přečtení Vašeho článku nabyl dojmu, že by to mohlo jít i takto.

    Úterý, 29.03.2011 21:31 | odpovědět
  8. [8] Zoulis

    odpověď na [7]Zoulis: Takže sem problém nakonec vyřešil jinak, ona na to nastavení SNMP je přímo šablona. Nicméně pokud by neexistovala jak nejlépe provést úpravu nebo přidání nějakých klíčů do registry?

    Středa, 30.03.2011 06:59 | odpovědět
  9. [9] Samuraj

    odpověď na [7]Zoulis: Bohužel nevím o žádném průvodci a jsem úplně ztracený :-). Přímé nastavení registrů se dá rozumně dělat až pomocí Group Policy Preferences (třeba Computer Configuration a pak ne Policies, ale Preferences), ty jsou nativně podporovány až od Windows Server 2008/ Vista, do starší systémů se musí nainstalovat podpora (jako aktualizace). Preferences změny se neukládají jako registry.pol, ale jako Registry.xml (v jiném podadresáři).

    Středa, 30.03.2011 08:39 | odpovědět
  10. [10] Zoulis

    odpověď na [9]Samuraj: Jo soubor registry.xml to skutečně vytvořilo,nicméně po aplikaci GPO na nějaký konkrétní objekt (s Win2k8 R2)se stejně nic v registry nezměnilo. Takže buď to dělám blbě nebo to v nativním módu AD 2003 prostě nefunguje. I tak Vám děkuji za poskytnuté informace:-)

    Středa, 30.03.2011 09:32 | odpovědět
  11. [11] Samuraj

    odpověď na [10]Zoulis: To je zvláštní, tohle nastavování registrů běžně používám. Ale jestli jste použil nějakého průvodce (neznám), kde jste zadal i cílení na OS podle WMI, tak může být problém tam. Zkuste to prostě ručně zadat, bez podmínek. Důležité je správně zadat cestu do registrů (je to tam rozděleno na 2 části).

    Středa, 30.03.2011 09:51 | odpovědět
  12. [12] Zoulis

    odpověď na [11]Samuraj: Už to chodí, je to super :) Díky za pomoc

    Středa, 30.03.2011 11:34 | odpovědět
  13. [13] Petr

    Já mám zřejmě hloupý dotaz - politiky vytvořené pro x86 systém, lze nějakou konverzí užít i na x64 systému, nebo jen tak? Konkrétně W2K3 převod na W2K3 x64, který teď musím, kvůli jinému softwaru, použít

    Pondělí, 02.07.2012 13:48 | odpovědět
  14. [14] Samuraj

    odpověď na [13]Petr: Až na malé vyjímky tam není žádný rozdíl. Vše by mělo fungovat stejně na x86 jako x64.

    Pondělí, 02.07.2012 14:10 | odpovědět
  15. [15] Samuraj

    Webová MS aplikace, která dovoluje vyhledávat ve skupinových politikách a nabízí různé pohledy gps.cloudapp.net/.

    Čtvrtek, 08.11.2012 13:25 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách