В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.
ADMX
(и ADML
) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. По сути в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.
Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах
В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.
Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.
Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике ( gpedit.msc ) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.
Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc
) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).
gpmc.msc
.В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:
- Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “ Administrative Templates (.admx) for Windows 10 2004 ”; Официальный список прямых ссылок на загрузку административных шаблонов для различных версий и билдов Windows доступен здесь: https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store .
- Скачайте и установите MSI архив (
Administrative Templates (.admx) for Windows 10 May 2020 Update.msi
); - Теперь нужно скопировать содержимое каталога C:Program Files (x86)Microsoft Group PolicyWindows 10 May 2020 Update (2004)PolicyDefinitions в центральное хранилище GPO на контроллере домена (каталог \remontka.comSYSVOLremontka.comPoliciesPolicyDefinitions ) с заменой ( ! ) файлов.Пара важных советов!
- Обязательно создайте резервную копию каталога PolicyDefinitions на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
- Не обязательно копировать каталоги с adml файлами для разных языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
- Если у вас уже есть под рукой компьютер с новым билдом Windows 10, то можно скопировать административные шаблоны из каталога
%WinDir%PolicyDefinitions
без установки MSI файла.
- Теперь запустите редактор Group Policy Management Console (gpmc.msc) , создайте новую GPO и проверьте, что в ней теперь доступны настройки политик из нового билда Windows 10; Если вы хотите, чтобы определенная GPO с новыми параметрами применялась только для определенных билдов Windows 10, можно использовать WMI фильтры GPO .
- Настройте политику, назначьте ее на клиентов, обновите на них настройки GPO и убедитесь, что новые настройки применились.
Установка нового административного шаблона в домене Active Directory
Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.
- Перейдите нас страницу Microsoft Edge for business ( https://www.microsoft.com/en-us/edge/business/download );
- Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files ;
- Распакуйте файл
MicrosoftEdgePolicyTemplates.cab
; - Перейдите в каталог
MicrosoftEdgePolicyTemplateswindowsadmx
. Cкопируйте файлы msedge.admx, msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\remontka.comSYSVOLremontka.comPoliciesPolicyDefinitions); - Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.
Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).