Установка и обновление административных шаблонов групповых политик (ADMX)

24.01.2025

Active Directory, Windows 10, Windows 11, Windows Server 2025, Групповые политики

Административные шаблоны групповых политик содержат настройки, с помощью которых администратор может удобно конфигурировать различные параметры Windows, компонентов и сторонних приложений. В этой статье мы рассмотрим, как установить новые административные шаблоны на отдельном компьютере/в домене Active Directory, или выполнить обновление версий уже имеющихся ADMX файлов шаблонов.

Содержание:

Общие сведения об административных шаблонах GPO
Обновление ADMX шаблонов GPO при обновлении версии Windows
Установка новых ADMX шаблонов политик

Общие сведения об административных шаблонах GPO

Административные шаблоны GPO (ADMX файлы) – это конфигурационные файлы в XML формате, содержащие шаблоны настроек для редактора групповых политик. В ADMX файлах содержатся определения различных настроек, в которых описано какие параметры можно настроить, и их допустимые значения. По сути, в ADMX шаблонах определяются, какие изменения нужно внести в реестр Windows для применения различных настроек.

Политики конфигурации компьютера вносят изменения в разделы HKLM\Software\Policies и HKLM\Software\Microsoft\WindowsCurrentVersion\Policies
Политики конфигурации пользователя в HKCU\Software\Policies и HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Встроенные административные шаблоны доступны на любом компьютере Windows и хранятся в каталоге C:\Windows\PolicyDefinitions . Например:

Файл Windows Defender.admx — содержит настройки для управления встроенным антивирусом Windows.
TerminalServer.admx – настройки для службы Remote Desktop Services (настройки лицензирования RDS, таймауты RDP сессий и т.д.)

Admx шаблоны политик в папке PolicyDefinitions

Сторонние разработчики и администраторы могут создавать собственные ADMX шаблоны для своих программ. Для мультиязычной поддержки в ADMX шаблонов дополнительно можно использовать ADML файлы.

ADMX-шаблоны фактически служат интерфейсом, который упрощает процесс изменения реестра через групповые политики, делая управление настройками удобным и централизованным для администраторов.

Раздел Administrative Templates в редакторе локальной групповой политики

Обновление ADMX шаблонов GPO при обновлении версии Windows

При выходе новых версий Windows, в которых появляются новый функционал, разработчики могут добавлять новые настройки в ADMX шаблоны групповых политик. Чтобы в редакторе GPO появились новые настройки, файлы административных политик нужно обновить на более новые версии. Например, если у вас на контроллерах домена установлен Windows Server 2019, то чтобы через доменные групповые политики управлять новыми настройками на компьютерах с Windows 11 24H2 (например, после обновления билда), придется обновить admx файлы на контроллере домена.

Рассмотрим, как обновить административные шаблоны GPO на контроллерах домена до последней доступной версии Windows.

Список ссылок на загрузку административных шаблонов для всех поддерживаемых версий Windows доступен здесь https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store
Найдите в списке максимальный билд Windows, который используется в вашем домене (в нашем примере это Windows 11 2024 Update 24H2)
Перейдите по ссылке и скачайте MSI установщик GPO. Установите Administrative Templates (.admx) for Windows 11 Sep 2024 Update.msi на любом компьютере в домене (не нужно устанавливать его на DC)
Теперь скопируйте содержимое каталога C:\Program Files (x86)\Microsoft Group Policy\Windows 11 Sep 2024 Update (24H2)\PolicyDefinitions в центральное хранилище GPO (его нужно создавать отдельно) на контроллере домена (каталог \\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions) с заменой (!) файлов.

Пара важных советов!

Обязательно создайте резервную копию содержимого каталога PolicyDefinitions в папке SYSVOL на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
Не нужно копировать на DC каталоги с adml файлами для всех языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
Если у вас есть компьютер с новым билдом Windows 11 24H2, то можно скопировать новые административные шаблоны с него (из %WinDir%\PolicyDefinitions ). В этом случае качать MSI установщик не нужно.

Обновить ADMX шаблоны политик в папке sysvol на контроллере домена

Новые файлы ADMX шаблонов в каталоге SYSVOL будут автоматически реплицированы на другие DC в домене.
Теперь запустите доменный редактор Group Policy Management Console (gpmc.msc), создайте новую пустую GPO и попробуйте отредактировать ее. Разверните секцию Administrative Templates. Убедитесь, что шаблоны развернулись без ошибки и здесь присутствует надпись Policy definitions (ADMX files) retrived from the central store .
Теперь можете настраивать новые параметры групповых политик и применять их к целевым компьютерам.

Если в консоль редактора загружены только локальные шаблоны политки, проверьте что в реестре отсутствует параметр EnableLocalStoreOverride со значением 1 (HKLM\SOFTWARE\Policies\Microsoft\Windows). Если этот параметр создан, редактор будет загружать ADMX шаблоны не из доменного хранилища, а из локальной папки %windir%\policydefinitions .

Установка новых ADMX шаблонов политик

Аналогичным образом вы можете установить административные шаблоны для других приложений (в том числе сторонних). Например, вы хотите установить административный шаблоны GPO для управления настройками браузера Microsoft Edge.

Перейдите на страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
Выберите версию, билд и платформу Edge. Нажмите кнопку Get Policy Files;
Распакуйте содержимое файла MicrosoftEdgePolicyTemplates.cab
Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx, msedgeupdate.admx, msedgewebview2.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена ( \\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions );
Откройте консоль редактора GPO и проверьте, что в нем появились новые разделы политик для настройки параметров браузера Microsoft Edge.

Примеры установки и использования различных ADMX шаблонов GPO:

Административные шаблоны GPO для программ из пакета Microsoft Office (Word, Excel. Outlook и т.д.
ADMX шаблоны для Google Chrome
Шаблоны политик для управления локальными паролями LAPS
Шаблоны GPO для внедрения рекомендованных настроек безопасности Windows (Microsoft Security Baseline)

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Возможные ошибки при обновлении (установке) новых шаблонов групповых политик:

При открытии Административных шаблонов в редакторе GPO могут появляться ошибки вида:

Не удается найти ресурс XXX, на который ссылается атрибут YYY. Файл \\path\yyy.admx

An appropriate resource file could not be found for file yyy.admx. The system cannot find the file specified.

Ошибка GPO: Не удается найти ресурс , на который ссылается атрибут . Файл .admx

Ошибка при сборе данных для Административные шаблоны. Пространство имен XXX уже определено как целевое пространство имен для другого файла в хранилище

Namespace Microsoft.Policies.Sensors.WindowsLocationProvider is already defined as the target namespace for another file in the store.

Ошибка при сборе данных для Административные шаблоны. Пространство имен уже определено

Во всех этих случаях убедитесь, что вы используете последнею версию ADMX файла, на который указывается в ошибке. Проверьте что файл существует, не поврежден, на него даны корректные NTFS права, наличие соответствующего ADML файла в папке EN-US и (опционально) в RU-RU (если у вас используется русская редакция Windows). Замените файл более свежей версией.

Предыдущая статья Следующая статья

Cached Credentials: вход в Windows под сохраненными учетными данными при недоступности домена

Критическая уязвимость Active Directory Zerologon (CVE-2020-1472)

Усиливаем защиту Windows с помощью GPO Microsoft Security Baseline

Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP

Напоминание об истечении срока пароля в домене AD

Подключение сетевых дисков в Windows с помощью групповых политик

Как изменить имя (переименовать) домен Active Directory?

Комментариев: 27 Оставить комментарий

twinswap 03.02.2021
Спасибо за статью!
Подскажите что делать если контроллер на Windows server 2012 r2 и некогда не обновлялись шаблоны!
Как правильно установить что бы были доступны все новые фишки для 20h2?
Ответить
- Mikeg 03.02.2021
  Там важный нюанс есть ,надо его учесть, иначе ошибка будет при запуске редактора GPO
  Имена политик по управлению windows store
  Они различаются и их надо из переименовать
  Тут все описано:
  https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/winstoreui-conflict-with-windows-10-1151-admx-file
  Ответить
- Илья 03.02.2021
  Версия ОС контроллера домена не важна.
  Просто заменяете имеющиеся файлы admx-шаблонов, дожидаетесь окончания репликации и должны видеть все последние обновления в редакторе GPO.
  Мануал в догонку:
  https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store
  Ответить
  - itpro 04.02.2021
    +
    Ответить
iRobot 08.02.2021
Спасибо. Осенние шаблоны
Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)
https://www.microsoft.com/en-us/download/102157
Ответить
Вячеслав 13.02.2021
не. Получается вспомнить для входа в виндовс систему
Ответить
Сергей 01.12.2021
в рамках статьи и не только, подскажите пожалуйста, чем грозит использование англоязычных КД (2016, 2019) в домене где все рабочие станции русскоязычные?
Или если на изначально англоязычный дистрибутив поставлен русский язык и система переключена на русский? Те же шаблоны политики везде одинаковые?
Ответить
- itpro 06.12.2021
  На работоспособность политик это не повлияет.
  Для удобства и минимизации проблем просто храните в policydefinitions adml файлы для обоих языков: ru-ru и en-us. Ну и используйте gpo central store https://winitpro.ru/index.php/2014/04/02/admx-group-policy-central-store/
  Ответить
Сергей 13.12.2021
спасибо!
Ответить
Alex 13.01.2022
Как починить если поломалось после этого.
на 2012м DC
An appropriate resource file could not be found for file \\MOSDC01.сontoso.ru\SysVol\сontoso.ru\Policies\PolicyDefinitions\COM.admx (error = 2): The system cannot find the file specified.
Ответить
- itpro 13.01.2022
  Каталоги с языковыми файлами на месте? en-us должен быть всегда и ru-ru опционально
  Ответить
  - Alex 16.01.2022
    Да получается некоторых файлов ADML в папке EN-us нет В русской они есть и на русском контролере ошибки нет.
    Ответить
- Alex 13.01.2022
  при этом файл COM.admx и COM.admL в этой папке есть.
  Ответить
Тимур 02.02.2022
Добрый день!
Здесь \MicrosoftEdgePolicyTemplates\windows\admx есть 2 файла и папке RU-ru есть 2 файла. Обоих надо скопировать или как? Когда обоих скопировал у меня не получилось
Ответить
Eugaliod 25.08.2022
Доброго дня.
Подскажите: в домене компы w7 и w10. Server 2008r2. Если просто закинуть свежие шаблоны, выпущенные под 10-ку, для 7-ки все останется рабочим?
Ответить
- itpro 08.09.2022
  Да. шаблоны 10 и 7 не конфликтовали (с win 11 есть нюансы)
  Если сомневаетесь, сделайте резевную копию каталога PolicyDefinitions перед заменой файлов.
  Если при открытии консоли редактора GPO будут появлятся ошибки, вы сможете вернуться к предудышей версии.
  Ответить
  - Eugaliod 08.09.2022
    Спасибо
    Ответить
nis 07.06.2024
Доброго дня! itpro, а какие нюансы с win 11, можете подсказать? как раз собираюсь обновлять
Ответить
- itpro 14.06.2024
  Принципиальных отличий нет — обновляйте admx шаблоны по той-же схеме
  Ответить
Евгений 19.11.2024
У нас нет папки PolicyDefinitions. Есть куча папок с бессмысленными именами в Policies. Вероятно, пережиток прошлого (был перенос домена со старого сервера). Что если добавить PolicyDefinitions с новыми шаблонами? Конфликт будет?
Ответить
- itpro 02.12.2024
  Странно, какая версия винды? она случайно не in-place обновленная с чего-то старого?
  Ответить
  - Евгений 02.12.2024
    Нет, с нуля ставили 2019. Есть только папки такого вида, как на этом скрине: https://winitpro.ru/wp-content/uploads/2014/04/sozdat-centralnoe-hranilishe-gpo-policydefinitio.png
    Ответить
    - itpro 02.12.2024
      Понял. Папка policydefinitions на sysvol создается вручную. по-умолчанию ее нет. То что вы видите, это папки доменных политик (GPO), в имени их GUIDы. Вы их увидите в консоли GPMC.msc.
      Чтобы узнать GUID и имена объектов GPO (папок), выполните PowerrShell команду на DC:
      Get-GPO| displayname, ID
      https://winitpro.ru/index.php/2021/10/18/upravlenie-gpo-v-active-directory-powershell/
      Ответить
      - Евгений 03.12.2024
        Спасибо. Значит, можно создать PolicyDefinitions, скинуть туда свежие шаблоны?
    - itpro 03.12.2024
      Да, это как раз так и работает
      Ответить
Игорь 21.02.2025
Коллеги, всем привет.
Никто не сталкивался с проблемой win 11 24h2, 24h3, 24h2 при вводе в домен отваливается служба windows search и тянет за собой explorer (проводник), что работать в системе становится невозможно.
При этом на 21h2 работает все штатно, понимаю что дело групповых политиках, но мало ли кто сталкивался.
Может дело в версии admx\adml?
Буду признателен за любую помощь\наводку.
Ответить
- Игорь 21.02.2025
  написал кривые версии :)))
  24h2, 23h2, 22h2 — не работает
  21h2 — работает
  Ответить

Оставить комментарий