Обновляем ADMX шаблоны групповых политик в центральном доменном хранилище до уровня Windows 8.1 и Windows Server 2012 R2

imageНа первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\

Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).

Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:

  • Windows 8.1 RTM English (32 или 64 бита)
  • Windows 8.1 RTM Russian (32 или 64 бита)
  • Windows Server 2012 R2 RTM English
  • Windows Server 2012 R2 RTM Russian

Создадим структуру временных папок, например C:\Temp\ADMX , в которой подкаталоги \W81_EN , \W81_RU, \WS2012R2_EN, \WS2012R2_EN, \WS2012R2_RU будут использоваться для извлечения ADMX/ADML файлы из соответствующих систем а подкаталог \WIM будет использоваться для временного монтирования WIM-образов из состава дистрибутивов соответствующих систем. 

image


Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:

1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.

Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English.
Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:

PowerShell Mount-DiskImage 'C:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'

При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\

Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним

PowerShell Get-WindowsImage –ImagePath 'H:\sources\install.wim'

 

image
В данном примере нас интересует система с индексом 4. Монтируем эту систему в режиме "только чтение" во временную папку \WIM командой:

PowerShell Mount-WindowsImage –Imagepath 'H:\sources\install.wim' -index 4 –Path 'C:\Temp\ADMX\WIM' -ReadOnly

image

Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\

Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:

PowerShell Dismount-WindowsImage -Discard –Path 'C:\Temp\ADMX\WIM'

image

Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:

PowerShell Dismount-DiskImage 'c:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'

Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:

\W81_EN - 173 файла ADMX, 173 файла ADML в подкаталоге en-US
\W81_RU - 173 файла ADMX, 173 файла ADML в подкаталоге ru-RU

\WS2012R2_EN - 176 файлов ADMX, 176 файлов ADML в подкаталоге en-US
\WS2012R2_RU - 176 файлов ADMX, 174 файла ADML в подкаталоге ru-RU и 2 файла ADML в подкаталоге en-US

Проверка показала, что 167 одноимённых файлов ADMХ во всех 4 подкаталогах одинаковы по своему содержимому, но по другим файлам между клиентскими и серверными ОС есть различия. Чтобы было понятно, зачем мы собираем шаблоны групповых политик с разных систем (клиентских и серверных), - приведём простой пример сравнения шаблонов, которые мы извлекли из этих систем.

Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0

image

В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:

image

…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:

image

 

Проанализировав ситуацию, собираем все файлы из 4 подкаталогов в один общий подкаталог, например C:\Temp\ADMX\W81_WS2012R2\. В конечном счете у меня получилось в этом каталоге 182 *.ADMX файла, и 182 *.ADML файла в подкаталоге en-US и 180 *.ADML файлов в подкаталоге ru-RU

Если мы дополнительно хотим проанализировать ситуацию на предмет отличия тех шаблонов групповых политик, которые у нас есть на текущий момент в центральном доменном хранилище  \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\ от тех, что мы собрали с новых систем, то лучше не проводить такое сравнение непосредственно указывая сетевой доменный каталог, а сделать копию доменных файлов, например в подкаталог C:\Temp\ADMX\FromDomain\. Теперь мы можем спокойно сравнить содержимое файлов в каталоге C:\Temp\ADMX\W81_WS2012R2\ (все новые и обновлённые шаблоны) и C:\Temp\ADMX\FromDomain\ (существующие в AD шаблоны).

image

Результат сравнения каталогов в каждом конкретном случае будет разным, в зависимости от уровня обновления шаблонов в вашем домене. На самом деле такое сравнение можно и не проводить, а просто с выполнить конечное результирующее действие – скопировать (с заменой файлов) содержимое каталога C:\Temp\ADMX\W81_WS2012R2\ в сетевую папку центрального хранилища шаблонов в домене \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\. В результате все существующие файлы ADMX/ADML будут заменены на новую версию, и теперь можно выполнить проверку правильности наших действий, открыв оснастку GPMC и убедившись в том что нам доступны новые параметры GPO и при работе с оснасткой не возникает никаких ошибок.

Дополнительная информация по теме:

TechNet Library - What's New in Group Policy in Windows Server 2012 R2
Group Policy Central - All the new Windows 8.1 Group Policy Administrative Settings

Обновлено 06.11.2013

Для читателей нашего блога административные шаблоны и их языковые файлы для Windows 8.1 и Windows Server 2012 R2, то есть то что мы в результате описанной задачи получили в каталоге \W81_WS2012R2\ доступны для загрузки по ссылке: Windows 8.1 & Server 2012 R2 RTM ADMX.zip

Всего комментариев: 37 Комментировать

  1. kai /

    PowerShell Get-WindowsImage –ImagePath 'H:\sources\install.wim'
    Ошибка не верная функция

    1. Алексей Максимов / Автор записи

      Описанные манипуляции выполнялись на Windows 8.1 и как Вы видите на скриншоте всё прекрасно работает. За работу на предыдущих версия Windows ручаться не могу.

  2. Михаил /

    Отличная статья. Не хватает только ссылки на архив с содержимым папочки W81_WS2012R2.

    1. Алексей Максимов / Автор записи

      Добавил ссылку в конце заметки.

  3. kai /

    так то делал то же на 8.1
    PowerShell Get-WindowsImage –ImagePath ‘H:\sources\install.wim’
    Ошибка не верная функция

  4. Сергей /

    Алексей, а для извлечения шаблонов в Windows 7 такая же процедура?

    1. Алексей Максимов / Автор записи

      Такая же, за исключением того момента, что там (вроде бы) с помощью PowerShell нельзя ISO монтировать. Но это не страшно, т.к. ISO можно распаковать любым архиватором, например 7-zip.

  5. Сергей /
    1. Сергей /

      прошу прощения предыдущий мой комментарий в ответ на ваш последний

      1. Алексей Максимов / Автор записи

        Вообще да, похоже, что это то, что надо для Windows 7/Windows Server 2008 R2. Однако обратите внимание на то, что дата General availability для Windows 7, если не ошибаюсь, - Октябрь 2009, и теперь посмотрите на дату когда были опубликованы готовые шаблоны. Почти год разницы. Если применительно Windows 8.1 вы планируете ждать публикации ADMX....ваше право :)

        1. Алексей Максимов / Автор записи

          Свершилось. http://www.microsoft.com/en-us/download/details.aspx?id=41193
          На этот раз оперативней :)

          1. Сергей /

            нужны эти шаблоны я так понял только для добавления новых фишек в политики для ОС предыдущего поколения? То есть если в сети используются только Win7 и Win2008r2 то необходимости в них нет?

          2. Алексей Максимов / Автор записи

            Эти шаблоны нужны для расширения возможностей редактора GPО, чтобы можно было настраивать параметры касающиеся новых версий ОС. Если у вас Windows 7 и доменное хранилище шаблонов обновлено до этого уровня, то пока у вас не появиться в окружении новых ОС у вас действительно нет явной необходимости в установке ADMX-шаблонов новой версии.

  6. Юрий /

    Сделал все по инструкции, только новые функции так и не добавились
    Если захожу с win 8.1 или 2012 R2 и создаю политику с применением новых функций, то при открытии этих параметров с контроллера домена на windows server 2012 получаю ошибку
    http://f3.s.qip.ru/VVx8ey8c.png

    1. Алексей Максимов / Автор записи

      Ничего удивительного. Если Вы обновляете ADMX шаблоны до более новой версии, то всё последующее администрирование GPO с участием обновлённых шаблонов нужно выполнять с новой версии ОС.

      1. equinox /

        А как быть, если основные клиенты на Windows 7 + IE9 (8 и 2012 в домене нет), но на двух-трех машинах установлен IE10? Чтобы управлять 10-й версией браузера, попробовал обновить шаблоны до 8-2012R2 из статьи, и даже поставил тестовую Windows 8 для редактирования под ней групповых политик. Но теперь в настройках Internet Explorer исчезли настройки для 9-й версии браузера, — к примеру, управление фильтром Smart-Screen и так далее, — но для 8-й они остались.

        1. Алексей Максимов / Автор записи

          Думаю можно попробовать для настройки IE9 через GPO на W7/WS2008R2 сделать отдельную политику и открывать её для редактирования именно на этих ОС. Либо есть другой вариант, - если настроек IE по факту не очень много, то можно перенести управление ими напрямую через параметры реестра средствами GPP (в таком случае все настройки и для IE9 и для IE10 можно будет делать в одной политике и на новой версии ОС).

          1. equinox /

            Да, точно. Включением-выключением фильтра SmartScreen в браузерах IE9, IE10, IE11 управлет параметр реестра:

            ; для компьютера
            [HKLM\Software\Microsoft\Internet Explorer\PhishingFilter]
            "EnabledV9"=dword:00000001

            ; для пользователя
            [HKLM\Software\Microsoft\Internet Explorer\PhishingFilter]
            "EnabledV9"=dword:00000001

            Так что вопрос решен. Спасибо!

  7. Kirill /

    Доброго времени, имеется инфраструктура на базе win2003 в которой используются ADM шаблоны, я так понимаю что заставить win2003 не заставить поддерживать ADMX ?

    1. Алексей Максимов / Автор записи

      Разумеется Win2003 ничего не знает об этом формате. Однако можно проверить следующий сценарий - если у Вас есть клиенты на Windows Vista и выше, то Вы можете попробовать создать для них в домене хранилище ADMX шаблонов. При условии, что Вы будете редактировать групповые политики основанные на этих ADMX только с новых клиентских систем, можно предположить, что такие политики успешно применятся на новых клиентах даже не смотря на то, что все контроллеры домена у вас будут на W2003. Подтверждение этому предположению здесь http://blogs.technet.com/b/grouppolicy/archive/2008/12/17/questions-on-admx-in-windows-xp-and-windows-2003-environments.aspx

  8. Kirill /

    Спасибо, да но странно. Пробовал с win 8 подкинуть новый формат, что то увы не вышло....Завтра попробую еще...

  9. Donald /

    Добрый день.
    Может я чего-то не до конца понял, но нигде не смог найти объяснение.
    Везде пишут, что про связки Windows 8 и 2012 R2 сервера. Или Windows 7 и Server 2008 R2
    А как быть, если к меня в сети будут серверы 2008 R2 и 2012 R2 и клиенты Windows 7, 8 и 8.1?
    Нужно ли тогда в центральное хранилище на 2012 сервере скидывать шаблоны со всех систем? Если да, то в каком порядке?

    1. Алексей Максимов / Автор записи

      Можно например сделать так. Сначала залить в центральное хранилище ADMX шаблоны от Windows 7/Server 2008 R2, затем поверх залить (с переписыванием существующих файлов на более новые) шаблоны Windows 8/Server 2012, затем поверх залить (с переписыванием существующих файлов на более новые) шаблоны Windows 8.1/Server 2012 R2. В итоге вы получите центральное хранилище где есть шаблоны для поддержки всех перечисленных систем.

      1. Donald /

        Именно так и хотел сделать. Спасибо!)

  10. Alexander /

    Добрый день.

    Подскажите, пожалуйста, обязательно ли копировать расширения GPO для всех языков или достаточно это сделать для тех языков, которые используются внутри домена?

    1. Алексей Максимов / Автор записи

      Достаточно для тех языков, которые используются внутри домена. Как минимум английский.

  11. Алексей Максимов / Автор записи

    Обновлённые шаблоны групповых политик доступны к загрузке.
    http://www.microsoft.com/en-us/download/details.aspx?id=43413

  12. AlektroNik /
    1. AlexeyEr /

      Добрый день, данные msi пакетов необходимо проинсталлировать на контроллере домена? На обоих, есди их два?

  13. Герасим /

    у меня непонятная ситуация приключилась, скопировал расширения пакета офиса для ГП на контроллер домена, "создал централизованное хранилище", домен у меня на 2012R2, клиенты Win7,8.1,10. Через Рсат на Win7 открываю политику и увы возникает ошибка https://prnt.sc/hafuxk, и пока все не прокликаю, раз 50- с разныыми названиями admx файлов шаблонов до редактирования политики не доберусь. пробовал на рядовом сервере windows 2012r2 запускать rsop.msc и тот же эффект, ошибки. на самом контроллере все политики открываются нормально. и это очень странно для меня, ведь я использую централизованное хранилище. как быть? заменить в локальной папке админкой машины папку Policydefinition с sysvol'а не помогает.

    1. Евген /

      Тоже самое !
      В ранее созданной папке ...\Policies\PlicyDefenitions
      Заменил шаблоны .admx
      Namespace 'Microsoft.Policies.Sensors.WindowsLocationProvider' is already defined as the target namespace for another file in the store

  14. Обратная ссылка: Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования /

  15. Matyushin Alexander /

    Адексей! Подскажите как быть с adm-шаблонами. У SCCM Например есть для смены сайта. очень нужно и работает, но если на другом пк не добавил ручками то и опцию в политике не видишь. Заранее спасибо!

    1. Алексей Максимов / Автор записи

      Вам нужно, чтобы политика была видна в редакторе групповых политик на клиентском компьютере, или нужно чтобы просто работала? То обстоятельство, что политика не видна в редакторе на каком-то отдельно взятом ПК, где не загружены соответствующие шаблоны, не отменяет факта того, что политика на самом деле к этому компьютеру применяется. Смотрите параметры реестра, описанные в adm-файлах и проверяйте их наличие в реестре на конечных ПК, к которым применена политика.

      1. Matyushin Alexander /

        Она работает, просто я не единственный админ, а помещение в центральное хранилище на adm-шаблоны не распространяется . Хотелось бы видеть везде одинаково. Вот вся соль.

        1. Алексей Максимов / Автор записи

          Попробуйте выполнить миграцию adm-шаблонов с помощью ADMX Migrator

          https://www.microsoft.com/en-us/download/details.aspx?id=15058

          Перед этим прочитайте заметки про примеры использования и особенности работы ADMX Migrator: https://blog.it-kb.ru/?s=admx+migrator

  16. Matyushin Alexander /

    ConfigMgrADMTemplates: configmgrassignment.adm и configmgrinstallation.adm

Добавить комментарий