Центральное хранилище административных шаблонов GPO в Active Directory

Центральное хранилище административных шаблонов GPO в Active Directory

Центральное хранилище административных шаблонов (Group Policy Central Store) находится в каталоге SysVol контроллера домена, реплицируется между ними и используется для хранения admx/adml шаблонов GPO, которые используются для управления клиентами домена Active Directory. В этой статье мы покажем, как создать центральное хранилище GPO, скопировать в него административные admx шаблоны и обновить файлы шаблонов для поддержки последних версий Windows и Windows Server.

Если у вас не создано центральное хранилище шаблонов, то при запуске редактора доменных GPO (gpmc.msc), список административных шаблонов загружается с локального компьютера из папки C:WindowsPolicyDefinitions. Об этом говорит надпись напротив раздела Administrative Templates в редакторе GPO:
Policy definitions (ADMS files) retrieved from the local computer
.

Консоль редактирования доменных GPO по-умолчанию сначала пытается загрузить admx шаблоны из центрального хранилища, и, если оно не доступно, используется локальная папка PolicyDefinitions.

Если вы хотите, чтобы редактор Group Policy принудительно использовал локальные административные шаблоны с текущего компьютера, нужно в ветке реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows создать параметр REG_DWORD с именем EnableLocalStoreOverride и значением 1.

административные шаблоны в редакторе GPO загружены с локального компьютера

На каждом компьютере или сервере могут быть различные версии ADMX файлов (например, в зависимости от версии и билда Windows). Соответственно администратору на некоторых компьютерах могут быть недоступны определенные параметры политик. Для решения этой проблемы были создано центральное хранилище административных шаблонов GPO.

По умолчанию центральное хранилище GPO в Active Directory не создано. Чтобы создать хранилище, нужно на любом контроллере домена скопировать локальную папку PolicyDefinitions с любого контроллера домена в каталог
winitpro.ruSYSVOLwinitpro.ruPolicies
.

создать центральное хранилище GPO (PolicyDefinitions) на кнтроллере домена Active Directory Windows Server 2019

В каталоге PolicyDefinitions в SYSVOL появятся как файлы административных шаблонов (
*.admx
), так и файлы локализации (
*.adml
). Если вам нужно, чтобы в консоли редактора GPO были доступны названия политик и разделов на русском языке, нужно скопировать языковые подкаталоги с ADML-файлами для всех языков, который будут использоваться администраторами групповых политик (например, папки ru_RU и en_US).

Я рекомендую использовать только английские версии ADML файлов для GPO (каталог en-US), даже если вы используете русифицированные версии Windows.

файлы административных шаблонов политик в sysvol policydefinitions

Затем обновите ADMX шаблоны в Central Store до последней версии Windows, доступной в вашем домене. Файлы шаблонов в центральном хранилище реплицируются на все контроллеры домена. Подробнее про установку и обновление admx шаблонов.

Важно! Перед обновление ADMX файлов в центральном хранилище настоятельно рекомендуем создать резервную копию этого каталога.

В моем случае, я скопирую в GPO Central Store содержимое папки PolicyDefinitions с Windows 11.

Можно скопировать файлы с помощью PowerShell:

$Destination = "winitpro.locSysVolwinitpro.locPoliciesPolicyDefinitions"
$Source = "C:WindowsPolicyDefinitions"
Copy-Item -Path $Source* -Destination $Destination –Recurse –Force –PassThru

powershell скрипт для обновления GPO Central Store PolicyDefinitions

Административные шаблонов GPO для новых всех версий Widows можно скачать здесь — https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store.

В каталог GPO Central Store можно скопировать и другие ADMX шаблоны. Например, административные шаблоны для Microsoft Office, Microsoft Security Baseline, браузеров Firefox, Chrome, настроек Java, Adobe Reader и пр.

Примечание. Если у вас используются устаревшие ADM шаблоны, из нельзя использовать в центральном хранилище GPO.

Важно! Для предотвращения конфликтов версий групповых политик и настроек административных шаблонов всегда используйте последнюю версию редактора групповых политик (gpedit.msc). Для этого администратору нужно работать с объектами GPO с компьютера, на котором установлена последняя версия Windows (многие администраторы предпочитают редактировать групповые политики только непосредственно с контроллеров домена), либо с компьютера, на которой установлен свежий пакет RSAT.

Запустите редактор доменных GPO и убедитесь, что напротив Administrative Templates теперь появилась надпись, что определения политик получены из централизованного хранилища —
Policy Definitions (ADMX files) retrieved from the central store
.
Локальные административные шаблоны при этом игнорируются.

ADMX шаблоны загрузены из центрального хранилища GPO

Теперь вы можете настраивать ваши GPO, применять и обновлять настройки политик на клиентах.

В некоторых случаях после обновления центрального хранилища при запуске редактора GPO вы можете получить множественные ошибки вида:

Administrative Templates
Resource xxxx referenced in attribute xxxx could not be found.File xxxSysVol xxx PoliciesPolicyDefinitionsxxx.admx, line 175, column 331

В этом случае убедитесь, что вы обновили языковые файлы GPO (*.adml) в каталогах en-US, ru-RU и т.д. Если проблема не решиться, восстановите каталог PolicyDefinitions из резервной копии (или резервной копии контроллера домена).

Чтобы административных шаблоны стали доступны на всех контроллерах домена, необходимо дождаться пока служба репликации файлов скопирует изменения на остальные DC.

Совет. Чтобы не заблудится во многообразии настроек, предоставляемых файлами административных шаблонов, можно пользоваться специальными фильтрами групповых политик.

Групповые политики
Центральное хранилище административных шаблонов GPO в Active Directory