• Artikel

Gruppenrichtlinie

Einblick in ADM- und ADMX-Vorlagen für Gruppenrichtlinien

Jeremy Moskowitz

 

Kurz zusammengefasst:

  • Arten von Gruppenrichtlinienvorlagen
  • Richtige und falsche Richtlinienschlüssel
  • Anzeigen von ADM-Vorlagen
  • Konvertieren von ADM zu ADMX

ADM-Dateien.Entweder man mag sie, oder man mag sie nicht.Vielleicht manchmal beides gleichzeitig.Das liegt daran, dass sie zugleich notwendig und verwirrend sind.Jetzt gibt es außerdem ADMX-Dateien, ein neues Format, das auf den ersten Blick diese Verwirrung nur noch zu verstärken scheint.Es wird höchste Zeit, ein bisschen Licht in dieses undurchschaubare Thema zu bringen.

Wieso sind ADM-Dateien erforderlich?

Die Gruppenrichtlinie deckt viele Bereiche ab.Wenn Sie sich mit dem Gruppenrichtlinienobjekt-Editor (Group Policy Object Editor, GPOE) befassen, werden Sie jede Menge Dinge entdecken, die Sie mit der Gruppenrichtlinie anstellen können.So gibt es beispielsweise die Richtlinie für Softwareeinschränkung, die Gruppenrichtlinie für die Softwareinstallation, die Ordnerumleitung und die wohl am häufigsten verwendete Funktion„Administrative Vorlagen“.Der Knoten „Administrative Vorlagen“ ist sowohl auf der Benutzerseite als auch auf der Computerseite vorhanden.Erwartungsgemäß können Benutzer nur Richtlinieneinstellungen der Benutzerseite und Computer nur Richtlinieneinstellungen der Computerseite verwenden.

Doch woher kommen alle diese magischen Einstellungen innerhalb der administrativen Vorlagen?Beim Erstellen neuer Anwendungen können gewisse Einstellungen möglicherweise geändert werden.Genau hier kommen ADM-Dateien ins Spiel.Sie beschreiben die Bereiche der Anwendung, die von einem Administrator festgelegte Einstellungen akzeptieren können.ADM-Dateien sind allerdings von Anfang an beschränkt, weil sie innerhalb einer Anwendung nur für Registrierungseinstellungen verwendet werden können.Die Einstellungen einer Anwendung sind jedoch auch in anderen Bereichen gespeichert, z. B. in .ini-Dateien, in .js-Dateien, in .xml-Dateien und in Datenbanken.

Standardmäßige ADM-Dateien

Wie kommen also die standardmäßigen Richtlinieneinstellungen für „Computerkonfiguration“ | „Administrative Vorlagen“ und „Benutzerkonfiguration“ | „Administrative Vorlagen“ überhaupt dorthin?Wenn Sie im GPOE mit der rechten Maustaste auf die Wörter „Administrative Vorlagen“ klicken und auf der Benutzer- oder auf der Computerseite „Vorlagen hinzufügen/entfernen“ auswählen, sehen Sie die Standardvorlagen, aus denen die Standardkonfiguration in Abbildung 1 besteht.

Abbildung 1 Administrative Standardvorlagen

Abbildung 1** Administrative Standardvorlagen **(Klicken Sie zum Vergrößern auf das Bild)

Diese Dateien lassen sich wie folgt aufschlüsseln:

  • Conf.adm – NetMeeting®-Einstellungen.
  • Inetres.adm – Internet Explorer®-Einstellungen einschließlich Verbindungen, Symbolleisten und Symbolleisteneinstellungen.Diese Einstellungen entsprechen den Optionen, die verfügbar sind, wenn Sie in Internet Explorer auf das Menü „Internetoptionen“ klicken.
  • System.adm – Betriebssystemänderungen und -einstellungen.In dieser ADM-Vorlage befinden sich die meisten administrativen Vorlageneinstellungen für die Computerseite und die Benutzerseite.
  • Wmplayer.adm – Einstellungen für Windows Media® Player 9.
  • Wuau.adm – Steuert den Zugriff Ihrer Clients auf Windows® Update- und/oder Windows Server® Update Services-Server.

Hinzufügen einer neuen ADM-Vorlagendatei

Überwinden von Beschränkungen mit Tools von Microsoft und Drittanbietern

ADM- und ADMX-Dateien sind äußerst nützlich.Mithilfe dieser Dateien können Sie Ihren Definitionsdateien Wissen hinzufügen und die Zielanwendung steuern.ADM- und ADMX-Dateien unterliegen jedoch Beschränkungen.Die folgenden Aufgaben können beispielsweise nicht mit diesen Dateien ausgeführt werden:

  • Sie können in keine anderen Registrierungsstrukturen als die Strukturen „HKEY_LOCAL_MACHINE“ und „HKEY_Current_User“ hineingreifen.Wenn Sie andere Registrierungsstrukturen bearbeiten müssen, können Sie ADM- oder ADMX-Dateien nicht dazu einsetzen.
  • Sie sind nicht in der Lage, „REG_Binary“-Werten etwas hinzuzufügen.
  • Sie können nicht speziell darauf eingestellt werden, nur ein einziges Mal ausgeführt zu werden.
  • Sie können nicht speziell darauf eingestellt werden, bei einer Gruppenrichtlinienaktualisierung immer erneut übernommen zu werden.
  • ADM- und ADMX-Dateien, die in falsche Schlüssel schreiben, verunreinigen mit diesen Werten die Registrierung.Die Werte bleiben also selbst dann erhalten, wenn der Benutzer den Verwaltungsbereich (Scope of Management, SOM) verlässt oder das Gruppenrichtlinienobjekt (Group Policy Object, GPO) gelöscht wird.

Um diese Einschränkungen zu überwinden, werden von Microsoft und einigen Drittanbietern entsprechende Lösungen angeboten.Microsoft hat kürzlich DesktopStandard erworben und unter einer neuen Marke eine Version von DesktopStandard Registry Extension veröffentlicht.Mit diesem Tool können Sie über eine Assistentenschnittstelle innerhalb des GPOE festlegen, welche speziellen Registrierungswerte Sie auf dem Zielcomputer verwalten möchten.

Die DesktopStandard PolicyMaker-Technologien (einschließlich des Registry Extension-Tools) werden jetzt Gruppenrichtlinieneinstellungen genannt und sind in Windows Server 2008 enthalten. Mit Gruppenrichtlinieneinstellungen kann der Administrator Anwendungen oder Windows-Komponenten konfigurieren, die normalerweise nicht über die Gruppenrichtlinie konfiguriert werden können und diese konfigurierten Anwendungen oder Windows-Komponenten anhand eines umfangreichen Satzes von Zielregeln bestimmten Benutzern oder Computern zuweisen.Die Gruppenrichtlinieneinstellungen sind vollständig mit der Gruppenrichtlinien-Verwaltungskonsole und der erweiterten Gruppenrichtlinienverwaltung in Windows Server 2008 integriert.

Mehr über Gruppenrichtlinieneinstellungen erfahren Sie im Artikel „Einführung in die erweiterte Gruppenrichtlinienverwaltung“ von Derek Melber in dieser Ausgabe des TechNet Magazins.

Es ist ganz einfach.Besorgen Sie sich zunächst die ADM-Vorlage, die Sie verwenden möchten.Verwenden Sie beispielsweise eine Vorlage von GPanswers.com (hier stehen etwa ein Dutzend interessante Vorlagen zum Herunterladen bereit), oder vielleicht möchten Sie die ADM-Dateien für Office 2003 oder Office 2007 verwenden, die auf der Microsoft-Website verfügbar sind.

Klicken Sie einfach mit der rechten Maustaste auf die Wörter „Administrative Vorlagen“, und klicken Sie anschließend wie in Abbildung 1 gezeigt auf „Hinzufügen“, um die Vorlage hinzuzufügen.Standardmäßig sucht Windows Vorlagen im Verzeichnis „\Windows\inf“, aber es hindert Sie nichts daran, sie an einem beliebigen anderen Ort Ihrer Wahl zu speichern.Folgendes ist Ihnen möglicherweise nicht bekannt:Sobald die ADM-Vorlage vom ursprünglichen Speicherort aus hinzugefügt wurde, wird diese ADM-Vorlage auch den Inhalten des Gruppenrichtlinienobjekts (Group Policy Object, GPO) selbst hinzugefügt.

Für diesen Artikel habe ich beispielsweise GPanswers.com besucht und die Datei „nopassport.adm“ heruntergeladen. Diese Vorlagendatei wurde dann zunächst im Verzeichnis „c:\temp“ abgelegt.Mit dieser ADM-Vorlage lässt sich die Meldung zum Hinzufügen des Passports unterdrücken, die beim ersten Anmelden eines Benutzers an einem Computer mit Windows XP angezeigt wird.

Auch die Office 2003-ADM-Vorlagen wurden heruntergeladen und im Verzeichnis „c:\temp“ gespeichert.Doch in diesem Verzeichnis werden sie nicht bleiben.In Abbildung 2 können Sie sehen, dass die Dateien „nopassport.adm“ und „Word11.adm“ hinzugefügt wurden, und zwar in der Liste der Standardvorlagen im Fenster „Vorlagen hinzufügen/entfernen“.

Abbildung 2 Zusätzliche ADM-Dateien im GPO

Abbildung 2** Zusätzliche ADM-Dateien im GPO **(Klicken Sie zum Vergrößern auf das Bild)

Wenn Sie jetzt im dateibasierten Abschnitt des GPO selbst (insbesondere im Verzeichnis „\\domaincontroller\SYSVOL\domainname\Policies\GUID\ADM“) nachsehen, werden Sie feststellen, dass die Dateien „nopassport.adm“ und „Word11.adm“ nun Bestandteil des GPO sind, wie in Abbildung 2 zu sehen ist.

Wieso werden diese Vorlagen dem GPO hinzugefügt?Dies hat folgenden Grund: Wenn Sie anschließend versuchen, dieses GPO auf einer anderen Verwaltungsstation zu bearbeiten, ist es möglich, die in den ADM-Dateien enthaltenen Einstellungen anzuzeigen.

Wieso werden gerade geladene Dateien nicht angezeigt?

Manchmal werden hinzugefügte ADM-Dateien angezeigt und manchmal nicht. Dies löst bei vielen Administratoren Verwirrung aus.Da diese Frage auf GPanswers.com tatsächlich sehr häufig gestellt wird, soll sie an dieser Stelle beantwortet werden.

Sie sollten zumindest die Ergebnisse sehen können, die sich durch Hinzufügen der zwei Vorlagen ergeben (siehe Abbildung 3).Es werden zwei neue Knoten angezeigt:„Computerkonfiguration“ | „Nuisances“ (Störungen) (aufgrund der Datei „nopassport.adm“) und „Benutzerkonfiguration“ | „Microsoft Office Word 2003“ (aufgrund der Datei „Word11.adm“).Wenn Sie die Microsoft® Word 2003-Einstellungen näher betrachten, werden Sie eine riesige Palette konfigurierbarer Einstellungen sehen (siehe Abbildung 3).

Abbildung 3 Konfigurierbare Gruppenrichtlinieneinstellungen

Abbildung 3** Konfigurierbare Gruppenrichtlinieneinstellungen **(Klicken Sie zum Vergrößern auf das Bild)

Warum aber ist es nicht möglich, die Einstellungen im neuen Knoten „Nuisances“ (Störungen) zu sehen?Um dies zu begreifen, müssen Sie zuerst das Konzept der „richtigen“ und „falschen“ Richtlinienschlüssel verstehen, auf die eine ADM-Vorlage Auswirkungen haben kann.

Richtige und falsche Richtlinienschlüssel

In der Microsoft-Dokumentation ist angegeben, dass vier Bereiche der Registrierung als zugelassene Orte gelten, um durch Bearbeitung der Registrierung Richtlinien zu erstellen:

  • HKLM\Software\Policies (Computereinstellungen, der bevorzugte Speicherort)
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (Computereinstellungen, ein alternativer Speicherort)
  • HKCU\Software\Policies (Benutzereinstellungen, der bevorzugte Speicherort)
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies (Benutzereinstellungen, ein alternativer Speicherort)

Die in der Word 2003-ADM-Datei enthaltenen Einstellungen werden in diese dafür vorgesehenen Orte geschrieben. Die Datei „nopassport.adm“ dagegen nimmt dies nicht vor, denn „nopassport.adm“ schreibt in „HKLM\Software\Microsoft\MessengerService\PassportBalloon“.

Der GPOE legt einen kleinen Sicherheitsriegel vor, bevor er Ihnen erlaubt, diese Einstellungen einzusehen, denn die Einstellungen, die nicht in diese vier richtigen Richtlinienschlüssel geschrieben werden, verunreinigen die Registrierung.Daher lässt sich die ursprüngliche Einstellung selbst durch das Zerstören des GPO nicht mehr wiederherstellen.Nehmen Sie beispielsweise einmal an, Sie haben die Datei „nopassport.adm“ hinzugefügt und gewählt, bei jedem Computer in Ihrer Domäne die Popupsprechblase für das Hinzufügen des Passports zu unterdrücken.Später teilt Ihnen Ihr Vorgesetzter mit, dass ihm diese Popupsprechblase außerordentlich gut gefällt.In diesem Fall steht Ihnen viel Arbeit bevor, denn jetzt haben alle Computer diese Einstellung übernommen, und zwar praktisch für immer, bis Sie die Einstellung ausdrücklich wieder zurücknehmen.Natürlich könnten Sie zu diesem Zweck eine neue, angepasste ADM-Datei erstellen, aber auch das kann sehr arbeitsaufwändig werden.

Reguläre Richtlinieneinstellungen dagegen haben einen Standardwert.Beim Zerstören des GPO werden also die Standardeinstellungen wiederhergestellt.Wenn Sie beispielsweise beschließen, über die integrierten ADM-Vorlagen den Zugriff auf die Systemsteuerung zu untersagen, und es sich später wieder anders überlegen, müssen Sie lediglich das GPO zerstören, und sofort ist der Zugriff auf die Systemsteuerung wieder möglich.Dasselbe gilt für fast jede Einstellung, die in den Standard-ADM-Dateien enthalten ist, es gibt allerdings einige wenige Ausnahmen.

Auch bei der benutzerdefinierten ADM-Datei zur Unterdrückung der Passportmeldung erlaubt die Website, auf der die Richtlinieneinstellung abgelegt wird, dem Gruppenrichtlinienmodul nicht, beim Löschen die vorherige Einstellung wiederherzustellen.Daher schützt Sie Microsoft, indem (anfänglich) die Richtlinieneinstellungen, die die Registrierung verunreinigen, nicht angezeigt werden, damit Sie kein Eigentor schießen!

Anzeigen von ADM-Vorlagen

Es ist also gar nicht so schwer, die ADM-Vorlagen sichtbar zu machen.Standardmäßig zeigt Ihnen der Editor die Einstellungen nicht an, aber das lässt sich leicht beheben.Klicken Sie auf „Administrative Vorlagen“ (entweder im Benutzer- oder im Computerbereich), und wählen Sie danach „View“ | „Filtering“ (Ansicht | Filtern) aus.Deaktivieren (ja, Sie haben richtig gelesen: deaktivieren) Sie anschließend die Einstellung „Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen“. Diese Einstellung ist in Abbildung 4 zu sehen.Daraufhin wird in der Spalte „Einstellung“ die Richtlinieneinstellung „Passport Solicitation“ (Passportanfrage) angezeigt, die ebenfalls in Abbildung 4 zu sehen ist.

Abbildung 4 GPO-Filterung

Abbildung 4** GPO-Filterung **(Klicken Sie zum Vergrößern auf das Bild)

Windows XP und Windows Vista im Editor

Haben Sie einen feinen Unterschied in der soeben angezeigten Richtlinieneinstellung bemerkt?Sehen Sie sich die Symbole der Richtlinieneinstellungen in Abbildung 5 an, die standardmäßig für ADM-Dateien verwendet werden.Werfen Sie jetzt einen Blick auf das Symbol einer Richtlinieneinstellung aus einer ADM-Vorlage, bei der die Einstellungen nicht in die richtigen Richtlinienregistrierungsschlüssel geschrieben werden (siehe Abbildung 6).

Abbildung 5 ADM-Dateien mit Symbolen

Abbildung 5** ADM-Dateien mit Symbolen **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 6 Symbole für die Verwendung falscher Schlüssel

Abbildung 6** Symbole für die Verwendung falscher Schlüssel **(Klicken Sie zum Vergrößern auf das Bild)

Anhand dieser blauen und roten Symbole können Sie leicht erkennen, welche Einstellungen die Registrierung verunreinigen und welche nicht. Doch auch hier beruht alles darauf, wo die Einstellung tatsächlich ihre Aufgabe erfüllt.

In Windows Vista® sieht das Ganze übrigens ein bisschen anders aus, wenn Sie auf Ihrer Windows Vista-Verwaltungsstation ADM-Dateien verwenden.ADM-Dateien werden in ihrem eigenen Knoten namens „Klassische administrative Vorlage (ADM)“ angezeigt, wie in Abbildung 7 zu sehen ist.Die Einstellungen, die zuvor mit roten Punkten gekennzeichnet wurden, werden jetzt als Bildlaufsymbole mit einem Abwärtspfeil angezeigt (während der Bearbeitung der Einstellung selbst ist die Einstellung allerdings mit einem kleinen „Zutritt verboten“-Schild versehen).

Abbildung 7 Knoten „Klassische administrative Vorlage (ADM)“

Abbildung 7** Knoten „Klassische administrative Vorlage (ADM)“ **(Klicken Sie zum Vergrößern auf das Bild)

Die Einstellungen, die zuvor mit blauen Punkten gekennzeichnet wurden, also die Einstellungen, die in die richtigen Richtlinienschlüssel geschrieben werden, werden als kleine Bildlaufsymbole angezeigt, wie in Abbildung 8 zu sehen ist.

Abbildung 8 Bildlaufsymbole für die richtigen Schlüssel

Abbildung 8** Bildlaufsymbole für die richtigen Schlüssel **(Klicken Sie zum Vergrößern auf das Bild)

Wieso wird um ADMX so viel Wirbel gemacht?

Windows Vista und Windows Server 2003 besitzen eine neue integrierte Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).Durch diese neue GPMC ist es möglich von alten ADM-Dateien auf die Verwendung neuerer ADMX-Dateien umzusteigen.Wieso soll das ADM-Format abgeschafft werden?

Rufen Sie sich ins Gedächtnis zurück, dass die ADM-Datei selbst in der Gruppenrichtlinienvorlage (Group Policy Template, GPT) des GPO abgelegt wird (also in dem Teil, der sich in SYSVOL befindet).Wenn dies geschieht, verbrauchen Sie jedes Mal, wenn Sie ein GPO erstellen, auf jedem Domänencontroller (Domain Controller, DC) über 4 MB.Denken Sie weiterhin daran, dass die ADM-Datei selbst in der GPT des GPO abgelegt wird, weil sie erforderlich ist, wenn Sie das GPO auf einer anderen Verwaltungsstation erneut bearbeiten möchten.Ohne diese ADM-Datei können keine der im GPO enthaltenen benutzerdefinierten Einstellungen bearbeitet werden.

Mit dem ADMX-Format können derartige Probleme gelöst werden.Sie müssen nichts mehr direkt im GPO speichern und erhalten dadurch auch kein so genanntes „aufgeblähtes SYSVOL“ mehr – also ein riesiges SYSVOL, das GPOs voller ADM-Dateien speichern und sie in jedem DC replizieren muss.Um dieses Problem zu umgehen, nutzt der neue ADMX-Standard den sogenannten „zentralen Speicher“.Durch den zentralen Speicher wird ein einziger Ort bereitgestellt, an dem Sie die neuen ADMX-Dateien ablegen können, damit sie nicht in jedes einzelne GPO kopiert werden müssen.Dadurch können Sie sich für immer vom aufgeblähten SYSVOL verabschieden.Ein weiterer großer Vorteil des zentralen Speichers liegt darin, dass alle Windows Vista-Verwaltungsstationen eine möglicherweise aktualisierte ADMX-Datei sofort verwenden.

Wenn Sie etwas über das Format von ADMX-Dateien erfahren und insbesondere ausführliche Informationen über die Erstellung und Verwendung des zentralen Speichers erhalten möchten, sind zwei Informationsquellen sehr nützlich.In der Ausgabe des Technet Magazins vom Februar 2007 wurde ein informativer Artikel von Darren Mar-Elia über den Aufbau des ADMX-Dateiformats und eine kurze Erläuterung des zentralen Speichers veröffentlicht (technetmagazine.com/issues/2007/02/Templates).Weiterhin steht Ihnen ein ganzes Kapitel aus meinem neuesten Buch „Group Policy:Management, Troubleshooting, and Security“ im Abschnitt „Book Resources“ (Buchressourcen) von GPanswers.com zum Herunterladen zur Verfügung.

Wie bereits erläutert wurde, werden ADM-Vorlagen weiterhin unterstützt, wenn Sie eine Windows Vista-Verwaltungsstation verwenden, aber innerhalb des zentralen Speichers werden ADM-Dateien nicht mehr unterstützt.Dies soll anhand eines Beispiels erläutert werden.

Nehmen Sie einmal an, Sie haben soeben ein GPO auf einer Windows Vista-Verwaltungsstation erstellt und anschließend einige der Standardeinstellungen (z. B. das Verbot des Zugriffs auf die Systemsteuerung) geändert.Nehmen Sie ferner an, dass Sie eine benutzerdefinierte ADM-Vorlage hinzufügen möchten.Sehen Sie sich anschließend die GPT des GPO genauer an, um herauszufinden, was da eigentlich geschehen ist.

Um die ADM-Vorlage hinzuzufügen, können Sie einige der Schritte wiederholen, die an früherer Stelle durchgeführt wurden.Öffnen Sie einfach den GPOE, klicken Sie mit der rechten Maustaste auf die Option „Administrative Vorlagen“, die sich sowohl im Benutzerknoten als auch im Computerknoten befindet, und wählen Sie „Vorlagen hinzufügen/entfernen“ aus.Die hinzugefügte Vorlage ist in Abbildung 9 zu sehen.

Abbildung 9 Anzeigen der hinzugefügten Vorlage

Abbildung 9** Anzeigen der hinzugefügten Vorlage **(Klicken Sie zum Vergrößern auf das Bild)

Um die in dieser ADM-Vorlage enthaltenen Einstellungen tatsächlich sehen zu können, müssen Sie die vorher in Abbildung 4 vorgenommenen Schritte durchführen.Klicken Sie also auf „View“ |„Filtering“ (Ansicht | Filtern).Deaktivieren Sie zum Schluss die Einstellung „Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen“.Schließen Sie danach den GPOE, und kehren Sie zur GPMC zurück.Abbildung 10 zeigt die Registerkarte „Details“ des GPO, das soeben auf der Windows Vista-Verwaltungsstation erstellt wurde.(Beachten Sie den eingängigen Namen des GPO.)Über die Registerkarte „Details“ lässt sich die GUID für das GPO ermitteln, was Ihre Aufgabe beim Durchsuchen von SYSVOL erleichtert, um dieses spezielle GPO zu finden.

Abbildung 10 Administrative Standardvorlagen

Abbildung 10** Administrative Standardvorlagen **

Sobald Sie (anhand der GUID des GPO) die GPT des GPO gefunden haben, können Sie das ADM-Verzeichnis dieses GPO öffnen und sehen, dass es nur eine einzige ADM-Vorlage enthält, nämlich die ADM-Vorlage, die manuell importiert wurde (siehe Abbildung 11).Dies liegt daran, dass Windows Vista-Computer sich nicht mehr auf ADM-Dateien stützen.Da ADM-Dateien nicht mehr systemintern verwendet werden, wird durch sie intern nichts mehr in das GPO selbst eingefügt.Wenn Sie jedoch wie eben eine ADM-Vorlage manuell importieren, berücksichtigt das System diese ADM-Datei auf dieselbe Weise, wie dies bei früheren Windows-Versionen der Fall war.

Abbildung 11 Manuell importierte ADM-Datei

Abbildung 11** Manuell importierte ADM-Datei **(Klicken Sie zum Vergrößern auf das Bild)

Dies steht beispielsweise im Gegensatz zum GPO in Abbildung 12, das auf einem Computer erstellt wurde, auf dem Windows XP oder Windows Server 2003 ausgeführt wird. Wenn GPOs mit Computern erstellt werden, auf denen Verwaltungsstationen eines älteren Betriebssystems als Windows Vista ausgeführt werden, dann werden die Original-ADM-Dateien wie zuvor beschrieben in das GPO eingefügt.Dieses GPO wurde auf einer Windows XP-Verwaltungsstation erstellt.Das erkennen Sie daran, dass es randvoll mit ADM-Dateien ist, die Windows Vista weder benötigt noch verwendet.

Abbildung 12 Unter Windows XP erstelltes GPO

Abbildung 12** Unter Windows XP erstelltes GPO **(Klicken Sie zum Vergrößern auf das Bild)

Konvertieren von ADM zu ADMX mit dem ADMX Migrator-Tool

Windows XP verwendet also ADM-Dateien und Windows Vista verwendet ADMX-Dateien. Windows Vista unterstützt aber auch weiterhin ADM-Dateien, falls dies alles ist, was zur Verfügung steht.Es kann jedoch keine ADM-Datei im zentralen Speicher abgelegt und erwartet werden, dass eine Windows Vista-Verwaltungsstation diese Datei verwenden kann.

Um die Einstellungen nutzen zu können, die in der im zentralen Speicher abgelegten ADM-Datei enthalten sind, müssten Sie die ADM-Datei in eine ADMX-Datei konvertieren oder die ADM-Dateien manuell als ADMX-Dateien neu erstellen.Zum Glück gibt es einen einzelnen Download, der beides gleichzeitig durchführen kann.Das ADMX Migrator-Tool, das zugleich ein Tool zum Konvertieren von ADM zu ADMX und ein Tool zum Erstellen von ADMX-Dateien ist, kann unter go.microsoft.com/fwlink/?LinkId=103774 heruntergeladen werden.

Sie können die MSI-Datei des ADMX Migrator-Tools unter Windows Server 2003, Windows XP oder Windows Vista installieren.Nach der Installation befinden sich die Anwendungen im Verzeichnis „C:\Program Files\FullArmor\ADMX Migrator“.Die Befehlszeilenanwendung, die hier ausgeführt wird, heißt „faAdmxConv.exe“. Da das Verzeichnis nicht im Pfad enthalten ist, müssen Sie sich in diesem Verzeichnis befinden, um die Anwendung auszuführen.Fügen Sie daher dieses Verzeichnis zum Windows-Pfad hinzu, wenn Sie das Tool verwenden.Im Artikel unter www.computerhope.com/issues/ch000549.htm wird erläutert, wie der Pfad unter Windows eingestellt wird.

Normalerweise erstelle ich ein temporäres Verzeichnis, beispielsweise „C:\ADMtemp“, und kopiere die ADM-Quelldateien in dieses Verzeichnis.Für „faAdmxConv.exe“ können viele verschiedene Parameter angegeben werden, aber das einfachste Verfahren zum Konvertieren einer ADM-Datei besteht darin, den Namen der ADM-Datei und das Ausgabeverzeichnis anzugeben.Wenn Sie die ADM-Quelldatei bereits in „ADMtemp“ abgelegt und dem Pfad „faAdmxConv.exe“ hinzugefügt haben, können Sie ganz einfach „faAdmxConv nopassport.adm .“ ausführen.(Der Punkt am Ende ist erforderlich, um das aktuelle Verzeichnis als Ausgabeverzeichnis festzulegen.)Wenn Sie weder den Punkt (für dieses Verzeichnis) noch einen anderen explizit angegebenen Pfad eingeben, wird die Ausgabe in das temporäre Verzeichnis Ihres Kontoprofils geleitet.In Abbildung 13 können Sie drei Befehle sehen:

Abbildung 13 ADMX Migrator-Tool

Abbildung 13** ADMX Migrator-Tool **(Klicken Sie zum Vergrößern auf das Bild)

  • Einen „dir“-Befehl zum Anzeigen der ADM-Datei
  • Den Befehl „faAdmxConv“ mit dem Namen der ADM-Datei und dem .(Punkt), der das aktuelle Verzeichnis repräsentiert
  • Einen „dir“-Befehl zum Anzeigen der ausgegebenen Dateien:„nopassport.admx“ und „nopassport.adml“

Bevor Sie die resultierenden Dateien direkt in Ihrem zentralen Speicher ablegen, sollten Sie dies auf einem Computer testen, der offline ausgeführt wird.Nehmen Sie den Computer offline, und kopieren Sie danach die ADMX-Datei in das Verzeichnis „C:\Windows\PolicyDefinitions“ und die ADML-Datei in das sprachspezifische Verzeichnis.In den USA heißt dieses Verzeichnis „C:\Windows\PolicyDefinitions\en-us“.Ein Beispiel für den Kopiervorgang ist in Abbildung 14 zu sehen.

Abbildung 14 Kopieren von ADMX-Dateien in den zentralen Speicher

Abbildung 14** Kopieren von ADMX-Dateien in den zentralen Speicher **(Klicken Sie zum Vergrößern auf das Bild)

Das Tool zum Konvertieren von ADM zu ADMX wurde kürzlich auf Version 1.2 aktualisiert.Dabei wurden einige Konvertierungsfehler behoben und nützliche Hinweismeldungen während des Konvertierens hinzugefügt.Falls Sie das Tool zum Konvertieren von ADM zu ADMX bereits einmal ausprobiert haben, aber aufgrund von Fehlermeldungen, die Sie nicht beheben konnten, aufgegeben haben, rate ich Ihnen, es noch einmal mit der Version 1.2 zu versuchen, die jetzt zum Herunterladen zur Verfügung steht.

Zum Schluss liegt die konvertierte ADM-Datei in Form von zwei Dateien vor:einer (sprachneutralen) ADMX-Datei und einer (sprachspezifischen) ADML-Datei.Jetzt können Sie die resultierenden Dateien im zentralen Speicher ablegen oder auf einem lokalen Computer testen.Um die Richtlinieneinstellungen, die in dieser ADMX-Vorlage enthalten sind, sehen zu können, müssen Sie auch hier wieder so vorgehen, wie es an früherer Stelle in Abbildung 4 der Fall war.Sie müssen also nach wie vor auf „View“ | „Filtering“ (Ansicht | Filtern) klicken und anschließend die Einstellung „Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen“ deaktivieren.Dies liegt daran, dass die in dieser ADMX-Datei enthaltenen Einstellungen nicht in die an früherer Stelle behandelten richtigen Richtlinienschlüssel geschrieben werden.

Aufräumen

Es wäre natürlich ideal, nur ADMX-Dateien zu verwenden und den zentralen Speicher zu nutzen.Doch dazu müssen Sie Ihre sämtlichen derzeitigen ADM-Dateien in ADMX-Dateien konvertieren, alle Verwaltungsstationen auf Windows Vista (oder Windows Server 2008) umstellen und sich darauf festlegen, GPOs nicht mehr auf Computern zu bearbeiten, auf denen ältere Betriebssysteme als Windows Vista ausgeführt werden.

Wenn Sie diese drei Schritte abgeschlossen haben, sind ADM-Dateien mehr oder weniger aus Ihrer Welt verbannt.Jetzt nehmen die in Ihren GPOs enthaltenen ADM-Dateien nur sehr viel Platz im SYSVOL des DC ein.Sobald Sie das ADMX-Paradies erreicht haben, können Sie, falls gewünscht, die in der GPT des GPO innerhalb von SYSVOL enthaltenen ADM-Dateien ganz einfach löschen.Richtig:Sie sind nämlich so überflüssig wie ein Blinddarm.Sie haben einmal einen Zweck erfüllt, aber damit ist jetzt Schluss.Sie können die Dateien entweder manuell oder über ein Skript löschen.Stellen Sie jedoch vor dem Löschvorgang unbedingt sicher, dass alle oben beschriebenen Schritte durchgeführt wurden.Nehmen Sie die Löschung also nur vor, wenn Sie sich sicher sind, dass Sie auf ADM-Dateien ein für alle Mal verzichten können.

Zusätzliche Informationen zu ADM-, ADMX- und ADML-Dateien finden Sie in der „Schritt-für-Schritt-Anleitung zum Verwalten der Gruppenrichtlinien für ADMX-Dateien“ unter go.microsoft.com/fwlink/?LinkId=105019 und im „ADMX Technology Review“ unter go.microsoft.com/fwlink/?LinkId=105032.Außerdem sollten Sie Folgendes abonnieren: den Newsletter von GPanswers.com unter GPanswers.com/newsletter und Sofortbenachrichtigungen über den Blog unter GPanswers.com/blog.

Jeremy Moskowitz ist MCSE und MVP für Gruppenrichtlinien und leitet GPanswers.com, ein Communityforum zum Thema Gruppenrichtlinien.Außerdem organisiert er Intensivseminare zum Thema Gruppenrichtlinien.Das neueste Buch von Jeremy Moskowitz heißt „Group Policy:Management, Troubleshooting, and Security“ (Sybex, 2007).Sie erreichen Jeremy Moskowitz unter www.GPanswers.com.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.