На первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\
Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).
Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:
- Windows 8.1 RTM English (32 или 64 бита)
- Windows 8.1 RTM Russian (32 или 64 бита)
- Windows Server 2012 R2 RTM English
- Windows Server 2012 R2 RTM Russian
Создадим структуру временных папок, например C:\Temp\ADMX , в которой подкаталоги \W81_EN , \W81_RU, \WS2012R2_EN, \WS2012R2_EN, \WS2012R2_RU будут использоваться для извлечения ADMX/ADML файлы из соответствующих систем а подкаталог \WIM будет использоваться для временного монтирования WIM-образов из состава дистрибутивов соответствующих систем.
Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:
1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.
Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English. Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:
PowerShell Mount-DiskImage 'C:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'
При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\
Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним
PowerShell Get-WindowsImage –ImagePath 'H:\sources\install.wim'
В данном примере нас интересует система с индексом 4. Монтируем эту систему в режиме "только чтение" во временную папку \WIM командой:
PowerShell Mount-WindowsImage –Imagepath 'H:\sources\install.wim' -index 4 –Path 'C:\Temp\ADMX\WIM' -ReadOnly
Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\
Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:
PowerShell Dismount-WindowsImage -Discard –Path 'C:\Temp\ADMX\WIM'
Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:
PowerShell Dismount-DiskImage 'c:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'
Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:
\W81_EN - 173 файла ADMX, 173 файла ADML в подкаталоге en-US
\W81_RU - 173 файла ADMX, 173 файла ADML в подкаталоге ru-RU
\WS2012R2_EN - 176 файлов ADMX, 176 файлов ADML в подкаталоге en-US
\WS2012R2_RU - 176 файлов ADMX, 174 файла ADML в подкаталоге ru-RU и 2 файла ADML в подкаталоге en-US
Проверка показала, что 167 одноимённых файлов ADMХ во всех 4 подкаталогах одинаковы по своему содержимому, но по другим файлам между клиентскими и серверными ОС есть различия. Чтобы было понятно, зачем мы собираем шаблоны групповых политик с разных систем (клиентских и серверных), - приведём простой пример сравнения шаблонов, которые мы извлекли из этих систем.
Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0
В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:
…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:
Проанализировав ситуацию, собираем все файлы из 4 подкаталогов в один общий подкаталог, например C:\Temp\ADMX\W81_WS2012R2\. В конечном счете у меня получилось в этом каталоге 182 *.ADMX файла, и 182 *.ADML файла в подкаталоге en-US и 180 *.ADML файлов в подкаталоге ru-RU
Если мы дополнительно хотим проанализировать ситуацию на предмет отличия тех шаблонов групповых политик, которые у нас есть на текущий момент в центральном доменном хранилище \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\ от тех, что мы собрали с новых систем, то лучше не проводить такое сравнение непосредственно указывая сетевой доменный каталог, а сделать копию доменных файлов, например в подкаталог C:\Temp\ADMX\FromDomain\. Теперь мы можем спокойно сравнить содержимое файлов в каталоге C:\Temp\ADMX\W81_WS2012R2\ (все новые и обновлённые шаблоны) и C:\Temp\ADMX\FromDomain\ (существующие в AD шаблоны).
Результат сравнения каталогов в каждом конкретном случае будет разным, в зависимости от уровня обновления шаблонов в вашем домене. На самом деле такое сравнение можно и не проводить, а просто с выполнить конечное результирующее действие – скопировать (с заменой файлов) содержимое каталога C:\Temp\ADMX\W81_WS2012R2\ в сетевую папку центрального хранилища шаблонов в домене \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\. В результате все существующие файлы ADMX/ADML будут заменены на новую версию, и теперь можно выполнить проверку правильности наших действий, открыв оснастку GPMC и убедившись в том что нам доступны новые параметры GPO и при работе с оснасткой не возникает никаких ошибок.
Дополнительная информация по теме:
TechNet Library - What's New in Group Policy in Windows Server 2012 R2
Group Policy Central - All the new Windows 8.1 Group Policy Administrative Settings
Обновлено 06.11.2013
Для читателей нашего блога административные шаблоны и их языковые файлы для Windows 8.1 и Windows Server 2012 R2, то есть то что мы в результате описанной задачи получили в каталоге \W81_WS2012R2\ доступны для загрузки по ссылке: Windows 8.1 & Server 2012 R2 RTM ADMX.zip
RSS - Записи
PowerShell Get-WindowsImage –ImagePath 'H:\sources\install.wim'
Ошибка не верная функция
Описанные манипуляции выполнялись на Windows 8.1 и как Вы видите на скриншоте всё прекрасно работает. За работу на предыдущих версия Windows ручаться не могу.
Отличная статья. Не хватает только ссылки на архив с содержимым папочки W81_WS2012R2.
Добавил ссылку в конце заметки.
так то делал то же на 8.1
PowerShell Get-WindowsImage –ImagePath ‘H:\sources\install.wim’
Ошибка не верная функция
Алексей, а для извлечения шаблонов в Windows 7 такая же процедура?
Такая же, за исключением того момента, что там (вроде бы) с помощью PowerShell нельзя ISO монтировать. Но это не страшно, т.к. ISO можно распаковать любым архиватором, например 7-zip.
а это http://www.microsoft.com/en-us/download/details.aspx?id=6243 не тоже самое?
прошу прощения предыдущий мой комментарий в ответ на ваш последний
Вообще да, похоже, что это то, что надо для Windows 7/Windows Server 2008 R2. Однако обратите внимание на то, что дата General availability для Windows 7, если не ошибаюсь, - Октябрь 2009, и теперь посмотрите на дату когда были опубликованы готовые шаблоны. Почти год разницы. Если применительно Windows 8.1 вы планируете ждать публикации ADMX....ваше право :)
Свершилось. http://www.microsoft.com/en-us/download/details.aspx?id=41193
На этот раз оперативней :)
нужны эти шаблоны я так понял только для добавления новых фишек в политики для ОС предыдущего поколения? То есть если в сети используются только Win7 и Win2008r2 то необходимости в них нет?
Эти шаблоны нужны для расширения возможностей редактора GPО, чтобы можно было настраивать параметры касающиеся новых версий ОС. Если у вас Windows 7 и доменное хранилище шаблонов обновлено до этого уровня, то пока у вас не появиться в окружении новых ОС у вас действительно нет явной необходимости в установке ADMX-шаблонов новой версии.
Сделал все по инструкции, только новые функции так и не добавились
Если захожу с win 8.1 или 2012 R2 и создаю политику с применением новых функций, то при открытии этих параметров с контроллера домена на windows server 2012 получаю ошибку
http://f3.s.qip.ru/VVx8ey8c.png
Ничего удивительного. Если Вы обновляете ADMX шаблоны до более новой версии, то всё последующее администрирование GPO с участием обновлённых шаблонов нужно выполнять с новой версии ОС.
А как быть, если основные клиенты на Windows 7 + IE9 (8 и 2012 в домене нет), но на двух-трех машинах установлен IE10? Чтобы управлять 10-й версией браузера, попробовал обновить шаблоны до 8-2012R2 из статьи, и даже поставил тестовую Windows 8 для редактирования под ней групповых политик. Но теперь в настройках Internet Explorer исчезли настройки для 9-й версии браузера, — к примеру, управление фильтром Smart-Screen и так далее, — но для 8-й они остались.
Думаю можно попробовать для настройки IE9 через GPO на W7/WS2008R2 сделать отдельную политику и открывать её для редактирования именно на этих ОС. Либо есть другой вариант, - если настроек IE по факту не очень много, то можно перенести управление ими напрямую через параметры реестра средствами GPP (в таком случае все настройки и для IE9 и для IE10 можно будет делать в одной политике и на новой версии ОС).
Да, точно. Включением-выключением фильтра SmartScreen в браузерах IE9, IE10, IE11 управлет параметр реестра:
; для компьютера
[HKLM\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000001
; для пользователя
[HKLM\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000001
Так что вопрос решен. Спасибо!
Доброго времени, имеется инфраструктура на базе win2003 в которой используются ADM шаблоны, я так понимаю что заставить win2003 не заставить поддерживать ADMX ?
Разумеется Win2003 ничего не знает об этом формате. Однако можно проверить следующий сценарий - если у Вас есть клиенты на Windows Vista и выше, то Вы можете попробовать создать для них в домене хранилище ADMX шаблонов. При условии, что Вы будете редактировать групповые политики основанные на этих ADMX только с новых клиентских систем, можно предположить, что такие политики успешно применятся на новых клиентах даже не смотря на то, что все контроллеры домена у вас будут на W2003. Подтверждение этому предположению здесь http://blogs.technet.com/b/grouppolicy/archive/2008/12/17/questions-on-admx-in-windows-xp-and-windows-2003-environments.aspx
Спасибо, да но странно. Пробовал с win 8 подкинуть новый формат, что то увы не вышло....Завтра попробую еще...
Добрый день.
Может я чего-то не до конца понял, но нигде не смог найти объяснение.
Везде пишут, что про связки Windows 8 и 2012 R2 сервера. Или Windows 7 и Server 2008 R2
А как быть, если к меня в сети будут серверы 2008 R2 и 2012 R2 и клиенты Windows 7, 8 и 8.1?
Нужно ли тогда в центральное хранилище на 2012 сервере скидывать шаблоны со всех систем? Если да, то в каком порядке?
Можно например сделать так. Сначала залить в центральное хранилище ADMX шаблоны от Windows 7/Server 2008 R2, затем поверх залить (с переписыванием существующих файлов на более новые) шаблоны Windows 8/Server 2012, затем поверх залить (с переписыванием существующих файлов на более новые) шаблоны Windows 8.1/Server 2012 R2. В итоге вы получите центральное хранилище где есть шаблоны для поддержки всех перечисленных систем.
Именно так и хотел сделать. Спасибо!)
Добрый день.
Подскажите, пожалуйста, обязательно ли копировать расширения GPO для всех языков или достаточно это сделать для тех языков, которые используются внутри домена?
Достаточно для тех языков, которые используются внутри домена. Как минимум английский.
Обновлённые шаблоны групповых политик доступны к загрузке.
http://www.microsoft.com/en-us/download/details.aspx?id=43413
Появились на Windows 10 :)
https://www.microsoft.com/ru-ru/download/details.aspx?id=48257
Добрый день, данные msi пакетов необходимо проинсталлировать на контроллере домена? На обоих, есди их два?
у меня непонятная ситуация приключилась, скопировал расширения пакета офиса для ГП на контроллер домена, "создал централизованное хранилище", домен у меня на 2012R2, клиенты Win7,8.1,10. Через Рсат на Win7 открываю политику и увы возникает ошибка https://prnt.sc/hafuxk, и пока все не прокликаю, раз 50- с разныыми названиями admx файлов шаблонов до редактирования политики не доберусь. пробовал на рядовом сервере windows 2012r2 запускать rsop.msc и тот же эффект, ошибки. на самом контроллере все политики открываются нормально. и это очень странно для меня, ведь я использую централизованное хранилище. как быть? заменить в локальной папке админкой машины папку Policydefinition с sysvol'а не помогает.
Тоже самое !
В ранее созданной папке ...\Policies\PlicyDefenitions
Заменил шаблоны .admx
Namespace 'Microsoft.Policies.Sensors.WindowsLocationProvider' is already defined as the target namespace for another file in the store
Обратная ссылка: Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования /
Адексей! Подскажите как быть с adm-шаблонами. У SCCM Например есть для смены сайта. очень нужно и работает, но если на другом пк не добавил ручками то и опцию в политике не видишь. Заранее спасибо!
Вам нужно, чтобы политика была видна в редакторе групповых политик на клиентском компьютере, или нужно чтобы просто работала? То обстоятельство, что политика не видна в редакторе на каком-то отдельно взятом ПК, где не загружены соответствующие шаблоны, не отменяет факта того, что политика на самом деле к этому компьютеру применяется. Смотрите параметры реестра, описанные в adm-файлах и проверяйте их наличие в реестре на конечных ПК, к которым применена политика.
Она работает, просто я не единственный админ, а помещение в центральное хранилище на adm-шаблоны не распространяется . Хотелось бы видеть везде одинаково. Вот вся соль.
Попробуйте выполнить миграцию adm-шаблонов с помощью ADMX Migrator
https://www.microsoft.com/en-us/download/details.aspx?id=15058
Перед этим прочитайте заметки про примеры использования и особенности работы ADMX Migrator: https://blog.it-kb.ru/?s=admx+migrator
ConfigMgrADMTemplates: configmgrassignment.adm и configmgrinstallation.adm