Как установить или обновить административные шаблоны групповой политики (admx)

Опубликовано: ПК
Обновляем admx шаблоны групповых политик в центральном доменном хранилище до уровня windows 8.1 и windows server 2012 r2

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Архитектура административных шаблонов

Если разобраться, то архитектура административных шаблонов групповых политик не такая уж и сложная. Основными компонентами в распространении административных шаблонов являются системный администратор, контроллер домена и целевой клиентский компьютер. Небольшая схема, которая позволит вам иметь четкое представление архитектуры расширения административных шаблонов, отображена ниже:

Рис. 2. Архитектура расширения административных шаблонов

Первое, что стоит рассматривать в архитектуре расширения административных шаблонов групповых политик, это работу, выполняемую системным администратором, которая в данной схеме отображена в самом правом блоке. Здесь под компонентом «Администратор» подразумевается компьютер, на котором системный администратор вносит изменения в административные шаблоны, используя оснастку «Редактор управления групповыми политиками». В этой оснастке, в расширении серверной стороны администратор настраивает параметры политик, основанные на административных шаблонах.

Оснастка располагается в библиотеке userenv.dll, которую можно найти в папке Windows\System32\. Настройки расширения административных шаблонов передаются в Active Directory на контроллер домена по протоколам LDAP и SMB. Протокол SMB (Server Message Block) считается основным методом, предназначенным для доступа к файлам и принтерам. Именно этот протокол используют административные шаблоны для доступа к папке SYSVOL, а также для резервного копирования и извлечения файлов удаленной файловой системы.

В средней части данной схемы расположен контроллер домена, который является связующим звеном между изменениями, внесенными в административные шаблоны системным администратором и целевым компьютером, который будет извлекать настройки параметров объектов групповой политики. Всем известно, что контроллером домена называется отдельный сервер, который играет роль доменных служб Active Directory и имеет права на запись в базу данных Active Directory, запускать службу центра распространения ключей Kerberos, контролировать доступ к сетевым ресурсам и выполнять много других задач. В этом случае, как видно на схеме, контроллер домена содержит контейнер групповой политики, который хранит информацию о настройках объектов групповых политик в Active Directory, а также шаблон групповых политик, который хранит данные объекта GPO в папке Sysvol.

Как и компьютер системного администратора, с контроллером домена по протоколам LDAP и SMB связывается целевой компьютер, на который и распространяются параметры политики измененного системным администратором объекта GPO. Прежде всего, на каждом целевом компьютере есть модуль групповых политик, вызывающий клиентское расширение административных шаблонов с полным перечнем всех объектов групповых политик, которые будут применяться на данную машину.

Модель групповых политик вызывает расширение клиентской стороны административных шаблонов, реализованное в библиотеке userenv.dll, зарегистрированной в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions, которое отвечает за внесение изменений в системный реестр операционной системы, согласно параметрам политики административных шаблонов, которые настраиваются при помощи соответствующей оснастки. Для выполнения настроек, указанных в параметрах групповой политики, расширение административных шаблонов изменяет конкретные параметры системного реестра.

Изменяемые параметры указываются непосредственно в ADMX файле. Изменения, внесенные в системный реестр при помощи модуля групповых политик, записываются в журналы событий, которые можно просмотреть при помощи оснастки «Просмотр событий». Во время обработки групповой политики, расширение клиентской стороны административных шаблонов записывает информацию об обработке данных в пространстве имен RSoP инструментария управления Windows.

Помимо выполнения объектов групповых политик, на каждом компьютере можно индивидуально настроить административные шаблоны в локальных объектах групповой политики. Эти объекты будут локально располагаться в скрытой папке %systemroot%\System32\GroupPolicy и, как всем вам известно, в среде Active Directory считаться наименее приоритетными, так как все объекты GPO, распространяемые на подразделение Active Directory, в котором расположен сам пользователь или его компьютер имеют более высокий приоритет.

Как работать с редактором локальной групповой политики

Редактор локальной групповой политики разделен на две панели: левая панель содержит параметры локальной групповой политики , отображаемые в категориях, а правая панель — содержимое активной категории. Политики локальных групп подразделяются на два больших раздела:

  • Конфигурация компьютера — содержит параметры локальной групповой политики , которые управляют политиками, которые применяются ко всему компьютеру, независимо от того, вошли ли пользователи или пользователи.
  • Конфигурация пользователя — содержит параметры локальной групповой политики , которые контролируют пользовательские политики. Эти политики применяются к пользователям, а не ко всему компьютеру. Хотя это выходит за рамки данного руководства, вы должны знать, что пользовательские политики применяются для пользователей независимо от того, с какого компьютера из вашей сети они входят в систему.

Категории «Конфигурация компьютера» и «Конфигурация пользователя» разделены на три раздела:

  • Настройки программного обеспечения — содержит политики программного обеспечения и, по умолчанию, оно должно быть пустым.
  • Настройки Windows — содержит настройки безопасности Windows. Это также место, где вы можете найти или добавить сценарии, которые должны запускаться при запуске или завершении работы Windows.
  • Административные шаблоны — имеет множество настроек, которые управляют многими аспектами работы вашего компьютера. Это место, где вы можете видеть, изменять и даже применять всевозможные настройки и правила. Чтобы дать вам несколько примеров, вы можете управлять работой панели управления, сети, меню «Пуск» и панели задач, а также тем, что пользователи могут изменять при их использовании.

How to Install ADMX GPO Templates for Office 2016, 2019 & Office 365?

Go to the Office 2016 GPO ADMX templates download webpage at the link above. Please note that you are offered to download both 32- and 64-bit versions of GPO ADMX templates for Office 2016. It does not mean that you have to download admintemplates_x86_4909-1000_en-us.exe if you have a 32-bit version of Office 2016, and admintemplates_x64 if you are using MS Office x64 edition. Both archives contain the same versions of ADMX and ADML files. The bitness refers only to the version of Office Customization Tool (OCT) that is used to preconfigure MS Office apps prior to their deployment (our article doesn’t cover this feature). So you can download any version of the file.

Extract the downloaded file. The archive contains:

  • The admin directory – it contains a set of OPAX/OPAL files to configure an Office 2016 distribution prior to its deployment using Office Customization Tool. In our case this folder is not used;
  • The admx directory – contains a set of ADMX and ADML files for the Group Policy Editor;
  • An office2016grouppolicyandoctsettings.xlsx file – it is an Excel file with the description of all Group Policies and matches between GPO settings and registry keys for Office products.

Please note the file structure in the admx directory. The catalogs with the locale names contain ADML files with the language settings for GPO administrative templates for different languages. For example, the de-de directory contains files with a description of policies in German.

The package contains separate ADMX template files to manage the settings of the following MS Office 2016 products:

  • access16.admx — Access 2016
  • excel16.admx — Excel 2016
  • lync16.admx — Lync (Skype for Business) 2016
  • office16.admx – general MS Office settings
  • onent16.admx — OneNote 2016
  • outlk16.admx – Outlook 2016
  • ppt16.admx — PowerPoint 2016
  • proj16.admx — Project 2016
  • pub16.admx — Publisher 2016
  • visio16.admx — Visio 2016
  • word16.admx — Word 2016

You can add these administrative templates to the Local Group Policy Editor (gpedit.msc) on a separate computer by copying the contents of the admx directory to the C:WindowsPolicyDefinitions folder .

If you want to use the administrative Office policy templates to manage settings on domain computers, you need to copy policy files (with overwrite) to the folder \woshub.comSYSVOLwoshub.compoliciesPolicyDefinitions on the Active Directory domain controller (create the PolicyDefinitions folder manually if you have not got one). This catalog is the centralized repository of administrative templates in domain(Group Policy Central Store).

If you open the Local Group Policy Editor (gpedit.msc) or the Group Policy Management Console (gpmc.msc), you will see that new sections to manage Office 2016 products appear under User Configuration and Computer Configuration Administrative Template nodes of your GPO console.

In the same way you can copy the administrative templates for Office 2010 and Office 2013 (if they are used on PCs in your domain) to PolicyDefinitions central store on the domain controller. The screenshot below shows that there are administrative templates for Office 2007, 2010, 2013 and 2016 in the GPO editor. All these templates are stored on the AD domain controllers (this is evidenced by the message Policy definitions (ADMX files) retrieved from the central store).

Административные шаблоны групповой политики

Настройка административных шаблонов групповой политики в Windows – это не что иное, как администраторы контролируют рабочую среду учетных записей пользователей и компьютеров. Эта функция видна на каждом ПК из семейства ОС Windows NT. Начиная с Windows Vista и Windows Server 2008, групповая политика получила новый формат, и это были параметры политики на основе реестра.

Параметры политики на основе реестра находятся в категории «Административные шаблоны» в редакторе объектов групповой политики. Они определяются с использованием стандартного формата файлов XML, известного как файлы ADMX. Таким образом, администратор групповой политики должен создавать шаблоны групповой политики с использованием файлов ADMX. Новый формат файлов заменил файлы ADM, которые использовали собственный язык разметки. Однако в повседневных задачах администрирования групповой политики администраторов присутствие файлов ADMX незначительно.

Инструменты, используемые для создания административных шаблонов групповой политики в Windows

Для создания административных шаблонов групповой политики в Windows 10/8/7 администраторы могут использовать следующие инструменты:

  • Редактор объектов групповой политики
  • Консоль управления групповой политикой

Оба эти инструмента существуют уже довольно давно и остаются в основном неизменными.

Как управлять центральным хранилищем для административных шаблонов групповой политики

Windows использует центральное хранилище для хранения файлов административных шаблонов. Если вы хотите загрузить административные шаблоны, основанные на вашей операционной системе, вот список загружаемых ссылок:

  • Административные шаблоны (.admx) для Windows 10 Creators Update
  • Административные шаблоны (.admx) для Windows 10 версии 1607 и Windows Server 2016
  • Административные шаблоны (.admx) для Windows 10 и Windows 10 версии 1511
  • Административные шаблоны (.admx) для обновления Windows 8.1 и Windows Server 2012 R2 Update
  • Административные шаблоны (.admx) для Windows 8.1 и Windows Server 2012 R2
  • Административные шаблоны (.admx) для Windows 7 и Windows Server 2008 R2

Прежде чем начать использовать административные шаблоны групповой политики в Windows в виде ADMX-файлов, необходимо создать центральное хранилище. Центральное хранилище создается в папке SYSVOL на контроллере домена Windows. Центральное хранилище – это не что иное, как местоположение файла, которое проверяется средствами групповой политики Кроме того, инструменты групповой политики также используют любые файлы .admx, которые находятся в центральном хранилище. Файлы, находящиеся в центральном хранилище, впоследствии реплицируются на все контроллеры домена в домене.

Как создать центральный магазин

Чтобы создать центральное хранилище для файлов .admx и .adml, создайте папку с именем PolicyDefinitions в следующем расположении (например) на контроллере домена:

\\ contoso.com \ SYSVOL \ contoso.com \ политики

Затем скопируйте все файлы из папки PolicyDefinitions на исходном компьютере в папку PolicyDefinitions на контроллере домена. Местоположение источника может быть одним из следующих:

  • Папка C: \ Windows на клиентском компьютере под управлением Windows 8.1 или Windows 10
  • Папка C: \ Program Files (x86) \ Microsoft Group Policy \ client, если вы скачали какой-либо из административных шаблонов отдельно

В папке PolicyDefinitions на контроллере домена Windows хранятся все файлы .admx и .adml для всех языков, которые включены на клиентском компьютере.

Таким образом, вы можете создавать и управлять центральным хранилищем для административных шаблонов групповой политики в Windows.

Поскольку создание и управление центральным хранилищем для административных шаблонов групповой политики в Windows является важной и критической задачей для администраторов, необходимо знать все шаги для этого.

Для получения дополнительной информации прочтите полное руководство по управлению центральным хранилищем административных шаблонов групповой политики в Windows на Microsoft.com . Также узнайте, как управлять групповой политикой ADMX на MSDN .

Как установить ADMX & ADML шаблоны

Microsoft Edge

Собственно, административные шаблоны и редактор групповой политики работают параллельно. Вместе они обеспечивают простой и эффективный способ управления системой. Конечно же, файлы ADMX не предоставляют параметры для каждого сценария Windows 10.

Например, Вы собираетесь управлять настройками Edge Chromium на пользовательских компьютерах. Вам придётся загрузить политики и скопировать файлы ADMX в каталог PolicyDefinitions. Поскольку админ. шаблонов для Edge Chromium нет в Windows 10 2004 и 20H2.

Файлы ADMX шаблонов: msedge.admx, msedgeupdate.admx и msedgewebview2.admx копирую в каталог: C:\ Windows\ PolicyDefinitions. И новые файлы ADML языковых пакетов добавляю в C:\ Windows\ PolicyDefinitions\ ru-RU. Ничего сложного, всё с помощью классического проводника.

Убедитесь, что в редакторе групповых политик появились новые разделы для настройки параметров Microsoft Edge. А именно Microsoft Edge, Настройки по умолчанию и WebView2. Стандартный подраздел Админ. шаблоны > Компоненты Windows > Microsoft Edge остался…

Mozilla Firefox

Второй пример, весьма достойный браузер Firefox. Он также имеет групповые политики без дополнительных расширений. Шаблоны ADMX для Mozilla Firefox доступны для загрузки здесь. Всё нужно скопировать в каталог C:\ Windows\ PolicyDefinitions (шаблоны и языковые пакеты).

Кроме того, Майкрософт регулярно выпускает файлы ADMX для поддержки собственных приложений или выпусков Windows 10. Помимо, некоторые сторонние производители программного обеспечения также предлагают файлы ADMX шаблонов для своих приложений.

Заключение

Системы Майкрософт поддерживают работу даже со сторонними административными шаблонами. Несложно открыть и посмотреть административные шаблоны Windows 10. Можно расширить их установкой дополнительных. Это удобные настройки всех параметров реестра.

Любой ADMX шаблон можно открыть в текстовом редакторе и узнать его содержимое. Административные шаблоны — это самые обычные инструкции XML, для удобности изменения параметров реестра. Но с описанием изменяемых параметров, которое сможет Вам помочь…

Административные шаблоны не удалось найти подходящий файл ресурса для файла windows 10

Не так давно я производил обновление центрального хранилища административных шаблонов групповых политик, это необходимая вещь при использовании леса Active Directory с несколькими доменами и количеством системных администраторов имеющих права и необходимость в создании и редактировании групповых политик. Когда мой коллега решил отредактировать групповую политику и перешел в раздел «Компоненты Windows» он увидел ошибку:

Или в английском варианте:

Microsoft знает и подтверждает наличие такой проблемы. Вся проблема в том, что в Windows 10 версии 1803 языковой файл SearchOCR.ADML имеет текстовые обновление. В новом ADML шаблоне эта строка была вырезана:

Разрешение на доступ по RDP

По пути 

Конфигурация компьютера
  Политики
    Административные шаблоны
      Компоненты Windows
        Службы удаленных рабочих столов
          Узел сеансов удаленных рабочих столов
            Подключения

Включить правило 

Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов

И по пути 

Конфигурация компьютера
  Политики
    Административные шаблоны
      Сеть
        Сетевые подключения
          Брандмауэр Защитника Windows
            Профиль домена

Включить правила и указать разрешенные ip-адреса, если нужно 

Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам
Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования 
Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола

Вопросы и ответы для самоконтроля

  1. Для чего применяется MMC? Для настройки приложений и программ.
  2. Что такое оснастка? Это средство MMC для управления чем-либо (например, управлением жесткими дисками).
  3. Чем отличается авторский режим консоли MMC от пользовательского режима? Авторский режим разрешает полную настройку оснастки.
  4. Чем отличается пользовательский многооконный режим консоли MMC от пользовательского однооконного режима? Разница в том, что при однооконном режиме пользователь не может открывать новые окна.
  5. В чём состоит отличие конфигурации компьютера от конфигурации пользователя в групповой политике? Параметры, настроенные в конфигурации компьютера применяются ко ВСЕМ пользователям данного компьютера. А параметры пользователя применяются для конкретного пользователя, и их можно переносить на другой компьютер.
  6. Каким образом можно отключить автозапуск компакт-дисков чрез групповую политику? Система->Отключить автозагрузку (выбрать: во всех дисководах).
  7. Каким образом можно включить автозапуск программ через групповую политику? – Система: вход в систему: запускать указанные программы при входе в систему и выбрать полный путь к программе с расширением.
  8. Каким образом можно добавить новый шаблон в групповую политику? В Групповой политике нажать кнопку Действие->Добавление или удаление шаблонов.
  9. Для чего предназначена оснастка «Результирующая политика»? Для просмотра настроек пользователя или компьютера.

Настройка параметров для принтера для пользователей

  1. Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

  2. Выберите контейнер Active Directory для домена, который вы хотите управлять (организационного подразделения или домена). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

  3. Выберите New для создания новой групповой политики.

  4. В редакторе групповой политики разложите следующие папки:

    • Пользовательская конфигурация
    • Административные шаблоны
    • Панель управления
    • Printers

Следующие параметры можно настроить в соответствии с конфигурацией пользователя:

  • Отключение удаления принтеров: предотвращает удаление локальных и сетевых принтеров пользователями. Если пользователь пытается удалить принтер, например с помощью команды Удалить в инструменте Принтеры в панели управления, Windows отображает сообщение, объясняя, что действие предотвращено политикой. Однако эта политика не мешает пользователям запускать программы для удаления принтера.

  • Отключение добавления принтеров: не позволяет пользователям использовать знакомые методы для добавления локальных и сетевых принтеров. Эта политика удаляет мастер добавления принтера из меню «Пуск» и из папки Принтеры в панели управления. Кроме того, пользователи не могут добавлять принтеры, перетаскив значок принтера в папку Принтеры. Если они пытаются использовать этот метод, появляется сообщение, объясняя, что действие отключено политикой.

    Эта политика не мешает пользователям использовать мастер add/Remove Hardware для добавления принтера. Это также не мешает пользователям запускать программы для добавления принтеров. Эта политика не удаляет принтеры, которые уже добавлены пользователями. Однако, если пользователи не добавили принтер при применении этой политики, они не могут распечатать.

    Примечание

    Вы можете использовать разрешения принтера, чтобы ограничить использование принтеров без установки политики. В папке Принтеры щелкните правой кнопкой мыши принтер, щелкните Свойства и нажмите вкладку Безопасность.

  • Отображение страницы вниз по уровню в мастере Добавить принтер: позволяет пользователям просматривать сеть для общих принтеров в мастере Добавить принтер. Если включить эту политику, когда пользователи щелкнуть Добавить сетевой принтер, но не ввести имя конкретного принтера, мастер добавить принтер отображает список всех общих принтеров в сети и подсказок пользователям выбрать принтер. Если отключить эту политику, пользователи не смогут просматривать сеть. Вместо этого они должны ввести имя принтера.

    Эта политика влияет только на мастера добавить принтер. Это не мешает пользователям использовать другие средства для просмотра общих принтеров или подключения к сетевым принтерам.

  • Путь Active Directory по умолчанию при поиске принтеров: указывает расположение Active Directory, в котором начинаются поиски принтеров.

    Мастер add Printer предоставляет пользователям возможность поиска Active Directory для общего принтера. Если вы включаете эту политику, эти поиски начинаются в том расположении, которое указано в поле путь Active Directory по умолчанию. В противном случае поиск начинается в корне Active Directory.

    Эта политика служит отправной точкой для поиска принтеров Active Directory. Это не ограничивает поиск пользователей через Active Directory.

  • Включить просмотр для интернет-принтеров: Добавляет путь к веб-странице Интернета или интрасети мастеру добавить принтер.

    Эту политику можно использовать для того, чтобы направлять пользователей на веб-страницу, с которой они могут устанавливать принтеры.

    Если включить эту политику и ввести адрес Интернета или интрасети в текстовом окне, Windows добавляет кнопку Просмотр страницы Найдите принтер в мастере добавить принтер. Кнопка Просмотр отображается рядом с Подключение принтером в Интернете или параметром Интрасети вашей компании. Когда пользователи нажимают кнопку Просмотр, Windows открывает браузер в Интернете и переходит на указанный адрес, чтобы отобразить доступные принтеры.

    Эта политика упрощает поиск принтеров, которые необходимо добавить.

Похожие записи:

  1. Remote apps что это за программа
  2. Различие файловых систем — какая лучше?
  3. Исправлено: диспетчер учетных данных не работает / не сохраняет пароли
  4. Итоги «удалёнки». 4 основные проблемы и как их решали большие компании
0
Понравилась статья? Поделиться с друзьями:
Быть в курсе нового

Похожие записи:

  1. Remote apps что это за программа
  2. Различие файловых систем — какая лучше?
  3. Исправлено: диспетчер учетных данных не работает / не сохраняет пароли
  4. Итоги «удалёнки». 4 основные проблемы и как их решали большие компании
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.