实现域控组策略中央存储

  • 内容
  • 评论
  • 相关

管理模板

在使用中央存储前,我们先要了解什么是管理模板?

您可以使用管理模板来控制操作系统的环境及用户体验。 管理模板有两组可定义的配置:

  • 用户相关的配置
  • 计算机相关的配置

当您配置 GPO 中的 Administrative Templates节点的配置,便是对注册表(Registry)进行修改。 管理模板拥有以下的特性:

  • 它们被组织成对应于环境的特定领域的子节点,例如,网络、系统及 Windows 相关的组
    件。
  • 管理模板(Administrative Templates)节点中的计算机区域的配置是编辑注册表中的HKEY_LOCAL_MACHINE 区, 以及管理模板(Administrative Templates)节点中的用户区域的配置是编辑注册表中的 HKEY_CURRENT_USER 区。
  • 有些配置同时存在于用户及计算机。例如,在用户及计算机模板中都有一个防止 Windows LiveMessenger 执行的配置。当两者配置发生冲突时,将会以计算机的配置为优先。
  • 有些配置仅会存在于某些 Windows 操作系统版本。例如,一些新的配置仅能应用到 Windows 10。双击该配置,将会显示该配置可以支持的操作系统版本。

用一句话来表示,就是我们打开组策略里面看到的那些东西就是管理模板。

adm和admx文件

管理模板的文件格式是adm和admx,那么什么是 .adm 及 .admx 文件?

在一个 GPO 的 管理模板(AdministrativeTemplates) 节点下的所有设置内容都储存在文件中。所有目前所支持操作系统中的配置内容都储存在扩展名为 .admx 的文件下。要注意,早期在Windows Server 2000 及 Windows Server 2003系统下,所储存的这些配置值是储存在扩展名为 .ADM 的文件下。稍后在本单元的章节中,您将会了解如何加入一个含有其他配置内容的额外配置文件,便可在 管理模板(AdministrativeTemplates) 节点下,来配置这些由加入的配置文件所扩展的配置内容。

.adm 文件

在以往传统的系统上, .adm 文件的定义配置内容,是提供系统管理员可以配置通过「组策略」来进行配置的。每个持续进行的 Windows 操作系统和 Service pack 的版本都会纳入这些文件的最新版本。而对于 .adm 文件中的配置格式内容,都使用他们自己的标记语言。因此,这是很难加以自定义的。

.adm 文件是放在 %systemroot%\inf 的文件夹下。每个 .adm 的文件内容,包含了两个内容,一个是「配置」的内容,另一个是「纯文本语言格式」的说明内容。因此,当你将自定义的 .adm 文件覆写到SYSVOL 环境后,当您在编辑 GPO 的时候,有可能就会看到被变更后的文字说明与配置内容。

对于使用 .adm 文件配置的另一项潜在缺点就是对这些配置文件的取得,还必须根据不同客户端的版本,当您在创建这些自定义的配置文件后,这些配置文件都必须要复制到每个 GPO 下,因此每个 GPO 都需要多消耗大约 3 MB 的空间。这虽然不是很大的内容量,但这可能会导致的 SYSVOL 文件夹的储存量变大,也就会增加复制时的流量。如果在域下的许多 GPO 都做了这项配置,此举便可能会造成所谓的「膨胀的 SYSVOL(SYSVOL bloat)」,此时 SYSVOL 所占用的空间可能会是好几个 GB 的空间。

.admx 文件

Windows Vista 和 Windows Server 2008 操作系统推出了一种新的格式来显示登录型策略的配置内容。这些配置使用了以标准基础的 XML 格式为配置内容所储存的文件称为 .admx 文件。 由这些新的文件来取代旧的 .adm 文件。但是,你不用担心,因为您仍然可以使用 .adm 文件。

从 Windows Vista 和 Windows Server 2008 之后的所有 Windows 操作系统,组策略会继续辨识现在已存在于你系统环境下所自定义的 .adm 文件,但会忽略任何已经由 .admx 文件所取代的 .adm 文件的配置内容。 .admx 文件不像 .adm 文件一样会将配置内容储存在个别的 GPO 上。「本地组策略编辑器」会自动读取并显示存放在本地 .admx 文件存储的配置内容。系统默认 .admx 文件,都储存在Windows\PolicyDefinitions 的文件夹下,但它们可以被改变储存在所指定的中央位置下。

这个 .admx 文件中的配置内容,采用中立的方式,不含说明语言内容。所有带有纯文本的说明语言的描述内容都没有存放在 .admx 文件中。取得代之的,这些纯文本的语言说明内容,都是储存在带有特定语言的 .adml 文件中。这意味着该系统管理员可以使用他们自己的语言环境来查看同一个 GPO 的配置内容,这是因为他们可以使用他们自己语言所指定扩展名为 adml 文件来描述配置的文字内容。

.adml 文件都储存在 PolicyDefinitions 文件夹的子文件夹下。每一种语言都会储存在代表自己语言所命名的文件夹下。例如: en-US 的子文件夹是存放英文语言说明文件的地方、 及 es-ES 的子文件夹是存放西班牙文语言说明文件的地方。依系统默认,这些带有语言说明的 .adml 文件,只有在系统安装了该系统不同的语言环境后,这些相对应的语言说明文件才会存在。

中央存储概要

说好了adm和admx文件,那么我们现在就来说下中央存储。

以域为基础的企业,您可以为 .admx 文件创建一个中央存储(central store)的位置,任何具有创建或编辑 GPO 权限的人都可访问。 组策略管理编辑器(Group Policy Management Editor) 会自动从中央存储的 .admx 文件读取及显示管理模板策略配置,然后忽略储存在本地的 .admx 文件。

如果无法连到域控制器或中央存储,则会使用本地存储中的 .admx 文件。

创建中央存储(central store)的优点如下:

  • 您可以确保每当有人编辑 GPO 时,在管理模板(Administrative Templates)节点下的配置都是相同的。
  • Microsoft 为新的操作系统发布 .admx 文件时,您只需要在单一位置更新 .admx 文件即可。您必须手动创建中央存储,然后在域控制器上手动更新。

您必须手动创建中央存储,然后在域控制器上手动更新。

.admx 文件的使用取决于您创建或编辑 GPO 所在的计算机之操作系统。根据您的服务器操作系统及配置,域控制器会使用文件复制服务(File Replication Service) 或分布式文件系统(Distributed FileSystem, DFS)来复制数据。

若要替 .admx 及 .adml 文件创建中央存储,请于下列位置创建一个文件夹并命名为
PolicyDefinitions:

\\FQDN\SYSVOL\FQDN\Policies, 其中 <FQDN> 是您的 Active Directory 域服务(AD DS) 域的域名。例如:要为 Test.Microsoft.com 域创建一个中央存储,请于下列位置: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\policies 创建一个 PolicyDefinitions 文件夹。

用户必须复制 PolicyDefinitions 文件夹中的所有文件及子文件夹,该文件夹位于 Windows 计算机的Windows 文件夹中。 PolicyDefinitions 文件夹储存了所有 .admx 文件,而子数据则储存了客户端计算机启用的所有语言之 .adml 文件。 举例来说,在一台启用了英文的 Windows Server 2016 服务器上,其 C:\Windows\PolicyDefinitions 将会包含 .admx 文件,及在子文件夹 en-US 中, .adml 文件将会包含定义在 .admx 文件中设置的英文说明内容。

配置中央存储

知道了adm和admx文件和中央存储,下面我们就来配置下中央存储。

在文件夹C:\Windows\SYSVOL\sysvol\wyz.com\Policies新建文件夹名字policydefinitions

然后复制C:\Windows\PolicyDefinitions里面的内容到前面的文件夹,所有内容



这时打开组策略然后右键编辑-计算机配置-策略-管理模板,可以看到策略变成了中央存储

比如我们需要统一管理公司里的office,那么我们可以去微软的官网下载组策略模板,然后导入中央存储,这样就可以统一设置了,组策略模板需要的可以去google一下

Office2010 管理模板

https://www.microsoft.com/en-us/download/details.aspx?id=18968

Office2013 管理模板

https://www.microsoft.com/en-us/download/details.aspx?id=35554

Office2016 管理模板

https://www.microsoft.com/en-us/download/details.aspx?id=49030