Центральное хранилище административных шаблонов (Group Policy Central Store) находится в каталоге SysVol контроллера домена, реплицируется между ними и используется для хранения admx/adml шаблонов GPO, которые используются для управления клиентами домена Active Directory. В этой статье мы покажем, как создать центральное хранилище GPO, скопировать в него административные admx шаблоны и обновить файлы шаблонов для поддержки последних версий Windows и Windows Server.
Если у вас не создано центральное хранилище шаблонов, то при запуске редактора доменных GPO (gpmc.msc), список административных шаблонов загружается с локального компьютера из папки C:\Windows\PolicyDefinitions. Об этом говорит надпись напротив раздела Administrative Templates в редакторе GPO:
Policy definitions (ADMS files) retrieved from the local computer
.
Если вы хотите, чтобы редактор Group Policy принудительно использовал локальные административные шаблоны с текущего компьютера, нужно в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows создать параметр REG_DWORD с именем EnableLocalStoreOverride и значением 1.
На каждом компьютере или сервере могут быть различные версии ADMX файлов (например, в зависимости от версии и билда Windows). Соответственно администратору на некоторых компьютерах могут быть недоступны определенные параметры политик. Для решения этой проблемы были создано центральное хранилище административных шаблонов GPO.
По умолчанию центральное хранилище GPO в Active Directory не создано. Чтобы создать хранилище, нужно на любом контроллере домена скопировать локальную папку PolicyDefinitions с любого контроллера домена в каталог
\\winitpro.ru\SYSVOL\winitpro.ru\Policies
.
В каталоге PolicyDefinitions в SYSVOL появятся как файлы административных шаблонов (
*.admx
), так и файлы локализации (
*.adml
). Если вам нужно, чтобы в консоли редактора GPO были доступны названия политик и разделов на русском языке, нужно скопировать языковые подкаталоги с ADML-файлами для всех языков, который будут использоваться администраторами групповых политик (например, папки ru_RU и en_US).
Я рекомендую использовать только английские версии ADML файлов для GPO (каталог en-US), даже если вы используете русифицированные версии Windows.
Затем обновите ADMX шаблоны в Central Store до последней версии Windows, доступной в вашем домене. Файлы шаблонов в центральном хранилище реплицируются на все контроллеры домена. Подробнее про установку и обновление admx шаблонов.
В моем случае, я скопирую в GPO Central Store содержимое папки PolicyDefinitions с Windows 11.
Можно скопировать файлы с помощью PowerShell:
$Destination = "\\winitpro.loc\SysVol\winitpro.loc\Policies\PolicyDefinitions"
$Source = "C:\Windows\PolicyDefinitions"
Copy-Item -Path $Source\* -Destination $Destination –Recurse –Force –PassThru
Административные шаблонов GPO для новых всех версий Widows можно скачать здесь — https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store.
В каталог GPO Central Store можно скопировать и другие ADMX шаблоны. Например, административные шаблоны для Microsoft Office, Microsoft Security Baseline, браузеров Firefox, Chrome, настроек Java, Adobe Reader и пр.
Запустите редактор доменных GPO и убедитесь, что напротив Administrative Templates теперь появилась надпись, что определения политик получены из централизованного хранилища —
Policy Definitions (ADMX files) retrieved from the central store
. Локальные административные шаблоны при этом игнорируются.
Теперь вы можете настраивать ваши GPO, применять и обновлять настройки политик на клиентах.
В некоторых случаях после обновления центрального хранилища при запуске редактора GPO вы можете получить множественные ошибки вида:
Administrative Templates Resource xxxx referenced in attribute xxxx could not be found.File \\xxx\SysVol\ xxx \Policies\PolicyDefinitions\xxx.admx, line 175, column 331
В этом случае убедитесь, что вы обновили языковые файлы GPO (*.adml) в каталогах en-US, ru-RU и т.д. Если проблема не решиться, восстановите каталог PolicyDefinitions из резервной копии (или резервной копии контроллера домена).
Чтобы административных шаблоны стали доступны на всех контроллерах домена, необходимо дождаться пока служба репликации файлов скопирует изменения на остальные DC.
Спасибо! Помогло.
Не нашел, а возможно и нет такого. Как отключить загрузку шаблонов из центрального хранилища?
Скорее всего отключить загрузку нельзя. Да и какой в этом смысл?
Возможно в вашем случае проще воспользоваться локальными политиками через gpedit.msc
Приветствую. Поделитесь опытом?
1. Как быть если используется смешанная среда, WS2012R2, WS2016, W7, W10 1607, W1609?
Версию шаблонов от какой из систем загружать в центральное хранилище?
2. Для разных версий Office использовать разные наборы amdx шаблонов или можно только последний?
1. Нужно использовать admx шаблоны для самой новой версии Windows, используемой в сети.
2. В случае с Office подход другой — для каждой используемой версии Office нужно загружать в центральное хранилище GPO свою версию шаблонов
Что то много папок PolicyDefinitions получается:
domain\Policies\PolicyDefinitions\Windows 10 October 2018 Update (1809) v2\PolicyDefinitions
И кстати не появились настройки десятки.
Зачем вот это
\Windows 10 October 2018 Update (1809) v2\? Я не уверен, что так заработает. Обычно нужно копировать admx шаблоны в корень \\domain\SYSVOL\domain\Policies\PolicyDefinitions.хм, у меня нет файлов adm и admx в папке policies, совсем нет, win 2012r2, 2 dc.
политик 15 штук. да и вообще вся папка 1 мб весит, не вижу проблем с репликацией 1мб.
что не так?
Не понял вас. Речь о DC? Вы имеете в виду папку C:\Windows\PolicyDefinitions или \\winitpro.ru\SYSVOL\winitpro.ru\policies\PolicyDefinitions
а как скопировать? если пытаться копировать по сети — то доступа нет. Даже если под админеом домена с самого контроллера домена в эту сетевую папку войти.
разобрался.. зашёл по локальному пути с КД.
Не совсем понятно.. разъясните
Есть:
— 2 DC с 2012r2 и 2 DC Server 2016
— Клиенты Windows 7,8,10
одним словом зоопарк)
подскажите какие admx брать что бы все у всех работало?
Спасибо..
Берите последние версии admx шаблонов для самых новых версий ОС. В подавляющем большинстве случаев они будут работать корректно со старыми версиями ОС.
Те если я беру для windows 10 1903 то она включает в себя все предыдущие версии?
И серверные в том числе?
Все верно, ставьте последнюю версию admx для Win 10 1903
Я тут решил проверить, можно ли просто поставить последнюю версию…
На самом деле, ситуация несколько иная 🙂
Windows 10 стали чистить старые параметры из ADMX фалов и в Win10 они уже не совсем совместимы между собой.
Пруф:
https://sdmsoftware.com/group-policy-blog/tips-tricks/managing-admx-files-in-a-windows-10-world/
https://support.microsoft.com/en-us/help/4015786/known-issues-managing-a-windows-10-group-policy-client-in-windows-serv
И управление ADMX файлами несколько усложнилось.
Добрый день, не совсем понял. В наличии домен, уровень 2012R2, два контроллера на 2012R2, клиенты 7/10.
Последовательность действий:
— создана папка PolicyDefinitions
— скопированы в неё определения из настроенной Windows 7
— скопированы в неё же с перезаписью определения из контроллера домена под 2012R2
— скопированы в неё же с перезаписью определения из настроенной Windows 10.
В итоге при попытке редактирования политик получаю кучу сообщений об отсутствующих файлах.
Как мне кажется — налицо кривая реализация хорошей задумки. Добавили бы как в профиле пользователя .V2, .V6 — и было бы гораздо проще и надёжнее.
Windows Server 2019. Не могу создать каталог PolicyDefinitions в этой папке: \\winitpro.ru\SYSVOL\winitpro.ru\policies. Не хватает прав. Зашёл администратором домена. Полные права на папку Policies только у системы. Как быть?
Создавайте каталог PolicyDefinitions локально на контроллера домена C:\Windows\SYSVOL\domain\Policies.
Добрый день! У меня такой вопрос..
Есть лес с несколькими доменами.
Есть права на создание политик в одном из них (точнее в одном из OU этого домена), при этом админом в нем не являюсь и доступа к контроллеру домена не имею (ограниченные права на выполнение некоторых функций, типа создание юзеров, компьютеров, сброс паролей, создание, редактирование политик в отведенном OU и все в этом духе). НО..
Как быть, если с недавнего времени при попытке создания новой групповой политики в административных шаблонах, в разделе пользователя и компьютера отсутствуют «стандартные» разделы и параметры, которые я, к примеру, вижу, если открыть редактор локальной политики через gpedit.msc?
Вижу только некоторые разделы (папки) для настройки разного ПО, типа Office, Firefox и т.д.
Если зайти в папку PolicyDefinitions на DC этого домена, там действительно очень мало файлов.
Если же зайти в эту же папку на DC в другом домене, файлов значительно больше и при попытке открыть редактор и создать политику в нем, видны все «стандартные» параметры (папки).
Т.е. получается что админ «моего» домена удалил все стандартные admx файлы на DC и оставил файлы для настройки только некоторого ПО. И политика тянет эти параметры из этого хранилища.
Вопрос: как быть в таком случае? В поисках ответа вроде как понял, что можно (нужно) для этих целей использовать локальную политику, произвести там все настройки, но что потом делать уже не совсем понятно? Как применить это все дело на пользователей домена (правильнее сказать контейнера, для управления которым делегированы полномочия)?
Спасибо!
В вашем случае, если у вас нет полноценных полномочий в домене проще сказать о проблеме вашему «админу». Это самый правильный сценарий.
Либо как вариант, идти по сценарию создания GPO в другом домене и переносе политики с настройками через импорт/экспорт GPO.
Спасибо за ответ! К админу моего домена, мягко говоря не достучаться, поэтому и возник вопрос с поиском обходных путей. С созданием политики на другом домене и ее переносе в свой контейнер тоже понятно, как один из вариантов.
Но а если политики нужно периодически создавать, изменять ? Каждый раз просить админов других доменов это делать так себе вариант, конечно, хоть и рабочий.
Получается других путей нет? И никаким другим способом я не смогу самостотельно это делать при таких условиях? Т.е. нельзя получается сделать политику локально, например, а потом ее экспортировать у себя и импортировать в нужный контейнер в домене?
А я бы предложил посмотреть логи DFSR, System и Application на предмет ошибок репликации раздела SYSVOL.
И если есть ошибки — показать их админу. Тогда Админ будет более мотивирован исправить ситуацию.
Добрый час!
Добавил в центральное хранилище шаблоны для Office16, теперь при создании нового GPO у меня в списке шаблонов только они, пропали все дефолтные, что были до этого. Как быть?
Что делать если выходит ошибка: Нет доступа к целевой папке- вам необходимо разрешение на выполнение этой операции?
Копирую файл административного шаблона в \\….\SYSVOL\…\Policies\PolicyDefinitions
Используется win server 2019/2022
\\….\SYSVOL\…\Policies\PolicyDefinitions
это адрес для чтения всеми машинами в домене.
для записи в неё Вам нужен локальный адрес на контроллере домена:
C:\Windows\sysvol\domain\policies\ здесь создаёте папку PolicyDefinitions,
или копируете её из C:\Windows\policyDefinitions с любого контроллера домена
А разве правильный локальный путь не такой?
C:\Windows\SYSVOL\sysvol\domain\Policies\PolicyDefinitions ?
Win 2022 вроде именно так
Путь к SYSVOL задается при развертывании DC. У вас видимо указан нестандартный
Спасибо за ответ.
При развертывании ничего не менял то что по умолчанию. Значит в Win 2022 что-то новое. В инете у людей такой путь уже на Win 2019 наблюдается.
папка создана но ошибка по прежнему таже,я под учеткой доменного админа…
до сих пор не особо понимаю прелесть центрального хранилища. Если вирус пошифрует эти политики?
Где именно физически лежит такое центральное хранилище?
Каталог хранится на контроллере домена в sysvol и реплицируется. Права RW по умолчанию у пользователей нет.
Если только у вас шифровальщик на DC не прорвется, ну тогда не применение GPO будет самой мелкой проблемой )
так на каждом КД есть sysvol. Чей sysvol и будет центральным хранилищем? Sysvol FSMO ?