В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.
ADMX
(и
ADML
) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. По сути в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах
В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.
Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.
Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.
Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO (
gpmc.msc
) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).
gpmc.msc
.В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:
- Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;
Официальный список прямых ссылок на загрузку административных шаблонов для различных версий и билдов Windows доступен здесь: https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store . - Скачайте и установите MSI архив (
Administrative Templates (.admx) for Windows 10 May 2020 Update.msi);
- Теперь нужно скопировать содержимое каталога C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2020 Update (2004)\PolicyDefinitions в центральное хранилище GPO на контроллере домена (каталог \\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions) с заменой (!) файлов.Пара важных советов!
- Обязательно создайте резервную копию каталога PolicyDefinitions на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
- Не обязательно копировать каталоги с adml файлами для разных языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
- Если у вас уже есть под рукой компьютер с новым билдом Windows 10, то можно скопировать административные шаблоны из каталога
%WinDir%\PolicyDefinitionsбез установки MSI файла.
- Теперь запустите редактор Group Policy Management Console (gpmc.msc), создайте новую GPO и проверьте, что в ней теперь доступны настройки политик из нового билда Windows 10;
Если вы хотите, чтобы определенная GPO с новыми параметрами применялась только для определенных билдов Windows 10, можно использовать WMI фильтры GPO. - Настройте политику, назначьте ее на клиентов, обновите на них настройки GPO и убедитесь, что новые настройки применились.
Установка нового административного шаблона в домене Active Directory
Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.
- Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
- Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
- Распакуйте файл
MicrosoftEdgePolicyTemplates.cab; - Перейдите в каталог
\MicrosoftEdgePolicyTemplates\windows\admx. Cкопируйте файлы msedge.admx, msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);
- Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.
Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).
Спасибо за статью!
Подскажите что делать если контроллер на Windows server 2012 r2 и некогда не обновлялись шаблоны!
Как правильно установить что бы были доступны все новые фишки для 20h2?
Там важный нюанс есть ,надо его учесть, иначе ошибка будет при запуске редактора GPO
Имена политик по управлению windows store
Они различаются и их надо из переименовать
Тут все описано:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/winstoreui-conflict-with-windows-10-1151-admx-file
Версия ОС контроллера домена не важна.
Просто заменяете имеющиеся файлы admx-шаблонов, дожидаетесь окончания репликации и должны видеть все последние обновления в редакторе GPO.
Мануал в догонку:
https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store
+
Спасибо. Осенние шаблоны
Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)
https://www.microsoft.com/en-us/download/102157
не. Получается вспомнить для входа в виндовс системув рамках статьи и не только, подскажите пожалуйста, чем грозит использование англоязычных КД (2016, 2019) в домене где все рабочие станции русскоязычные?
Или если на изначально англоязычный дистрибутив поставлен русский язык и система переключена на русский? Те же шаблоны политики везде одинаковые?
На работоспособность политик это не повлияет.
Для удобства и минимизации проблем просто храните в policydefinitions adml файлы для обоих языков: ru-ru и en-us. Ну и используйте gpo central store https://winitpro.ru/index.php/2014/04/02/admx-group-policy-central-store/
спасибо!
Как починить если поломалось после этого.
на 2012м DC
An appropriate resource file could not be found for file \\MOSDC01.сontoso.ru\SysVol\сontoso.ru\Policies\PolicyDefinitions\COM.admx (error = 2): The system cannot find the file specified.
Каталоги с языковыми файлами на месте? en-us должен быть всегда и ru-ru опционально
Да получается некоторых файлов ADML в папке EN-us нет В русской они есть и на русском контролере ошибки нет.
при этом файл COM.admx и COM.admL в этой папке есть.
Добрый день!
Здесь \MicrosoftEdgePolicyTemplates\windows\admx есть 2 файла и папке RU-ru есть 2 файла. Обоих надо скопировать или как? Когда обоих скопировал у меня не получилось
Доброго дня.
Подскажите: в домене компы w7 и w10. Server 2008r2. Если просто закинуть свежие шаблоны, выпущенные под 10-ку, для 7-ки все останется рабочим?
Да. шаблоны 10 и 7 не конфликтовали (с win 11 есть нюансы)
Если сомневаетесь, сделайте резевную копию каталога PolicyDefinitions перед заменой файлов.
Если при открытии консоли редактора GPO будут появлятся ошибки, вы сможете вернуться к предудышей версии.
Спасибо