• Artykuł

Windows Server 2008

Budowa szablonów ADM oraz ADMX dla zasad grupy Udostępnij na: Facebook

Opublikowano: 7 sierpnia 2008

Zawartość strony
Dlaczego potrzebujemy plików ADM?   Dlaczego potrzebujemy plików ADM?
Standardowe pliki ADM   Standardowe pliki ADM
Dodawanie nowego pliku ADM   Dodawanie nowego pliku ADM
Dlaczego nie widzimy tego, co przed chwilą załadowaliśmy?   Dlaczego nie widzimy tego, co przed chwilą załadowaliśmy?
Prawidłowe kontra nieprawidłowe klucze zasad   Prawidłowe kontra nieprawidłowe klucze zasad
Oglądanie szablonów ADM   Oglądanie szablonów ADM
Windows XP kontra Windows Vista w Edytorze obiektów zasad grupy   Windows XP kontra Windows Vista w Edytorze obiektów zasad grupy
Skąd ta cała wrzawa wokół ADMX?   Skąd ta cała wrzawa wokół ADMX?
Konwertowanie plików ADM do ADMX przy użyciu narzędzia ADMX Migrator   Konwertowanie plików ADM do ADMX przy użyciu narzędzia ADMX Migrator
Robienie porządków   Robienie porządków

Pliki ADM. Można je kochać albo nienawidzić. A czasem nawet i kochać i nienawidzić jednocześnie. Wynika to z tego, że są one zarówno niezbędne, jak i niejasne. A teraz istnieją pliki ADMX, nowy format, który pozornie jedynie dodatkowo komplikuje sprawę. Czas, aby nieco rozjaśnić ten mglisty temat.

Dlaczego potrzebujemy plików ADM?

Zasady grupy obejmują wiele obszarów. Dokładniejsze poznanie Edytora obiektów zasad grupy (Group Policy Object Editor - GPOE) pozwoli nam odkryć szerokie możliwości zasad grupy, takie jak między innymi zasady ograniczeń oprogramowania, instalacja oprogramowania zasad grupy, przekierowanie folderu oraz element najbardziej eksploatowany: Szablony administracyjne (Administrative Templates). Węzeł Szablony administracyjne pojawia się zarówno w konfiguracji użytkownika, jak i komputera. Jak można się spodziewać, użytkownicy mogą jedynie akceptować ustawienia zasad dotyczące użytkownika, a komputery mogą jedynie akceptować ustawienia zasad dotyczące komputera.

Ale skąd pochodzą wszystkie te magiczne ustawienia znajdujące się w szablonach administracyjnych? Gdy "rodzą" się nowe aplikacje, istnieje kilka ustawień, którymi można potencjalnie manipulować. To tu pliki ADM wchodzą do gry. Opisują one obszary aplikacji, które są przygotowane do akceptowania ustawień skonfigurowanych przez administratora. Niestety możliwości plików ADM są z góry ograniczone, ponieważ mogą one odwoływać się jedynie do ustawień aplikacji zapisywanych w rejestrze. A przecież aplikacje mogą zapisywać swoje ustawienia także w innych miejscach, takich jak pliki .ini, pliki .js, pliki .xml oraz bazy danych.

 Do początku strony Do początku strony

Standardowe pliki ADM

Pojawia się pytanie, skąd biorą się te wszystkie standardowe ustawienia zasad w sekcjach Konfiguracja komputera | Szablony administracyjne oraz Konfiguracja użytkownika | Szablony administracyjne? Jeśli prawym przyciskiem myszy klikniemy węzeł Szablony administracyjne (Administrative Templates) w edytorze GPOE i wybierzemy opcję Dodaj/Usuń szablony (Add/Remove Templates) dla konfiguracji użytkownika lub komputera, zobaczymy domyślne szablony, które tworzą standardową konfigurację zaprezentowaną na Rysunku 1.

Rysunek 1: Domyślne szablony administracyjne.

Są to pliki:

  •  Conf.adm — ustawienia aplikacji NetMeeting®.

  •  Inetres.adm — ustawienia przeglądarki Internet Explorer®, w tym ustawienia połączeń i pasków narzędzi. Ustawienia te stanowią ekwiwalent wielu opcji, które są dostępne po kliknięciu menu Opcje internetowe (Internet Options) w programie Internet Explorer.

  •  System.adm — modyfikacje i ustawienia systemu operacyjnego. W tym szablonie ADM znajduje się większość szablonów administracyjnych użytkownika oraz komputera.

  •  Wmplayer.adm — ustawienia aplikacji Windows Media® Player 9.

  •  Wuau.adm — kontroluje kliencki dostęp do serwerów Windows® Update oraz/lub Windows Server® Update Services.

 Do początku strony Do początku strony

Dodawanie nowego pliku ADM

Pokonywanie ograniczeń przy użyciu narzędzi firmy Microsoft oraz innych firm

Pliki ADM oraz ADMX są niebywale przydatne. Można wykorzystywać je do umieszczania wybranych informacji w pliku definicji i kontrolowania aplikacji docelowej. Jednak pliki ADM oraz ADMX mają pewne ograniczenia. W szczególności nie mogą:

  •  Nie mogą uzyskiwać dostępu do gałęzi rejestru innych niż HKEY_LOCAL_MACHINE oraz HKEY_Current_User. Przy pomocy plików ADM oraz ADMX nie można zatem realizować zadań wymagających dostępu do innych gałęzi rejestru.

  •  Nie mogą wykonywać operacji dodawania dla wartości REG_Binary.

  •  Nie można specjalnie ustawić dla nich opcji "uruchom tylko raz".

  •  Nie można specjalnie ustawić dla nich opcji "zawsze stosuj ponownie" podczas odświeżania zasady grupy.

  •  Pliki ADM oraz ADMX pozostawiają w efekcie zapisu ślady w nieprawidłowych kluczach rejestru. Dlatego wartość pozostanie, nawet jeśli użytkownik przestanie być objęty zakresem zarządzania (SOM) lub obiekt GPO zostanie usunięty.

Firma Microsoft oraz inne firmy opracowały rozwiązania, które pomagają nam w pokonywaniu tych ograniczeń. Firma Microsoft przejęła niedawno firmę DesktopStandard oraz opublikowała pod zmienioną nazwą nową wersję aplikacji DesktopStandard Registry Extension. Narzędzie to pozwala nam określać, którymi wybranymi wartościami rejestru maszyny docelowej chcemy zarządzać przy użyciu interfejsu kreatora w edytorze GPOE.

Technologie DesktopStandard PolicyMaker (w tym narzędzie Registry Extension) noszą obecnie nazwę Group Policy Preferences (Preferencje zasad grupy) i zostały dołączone do systemu Windows Server 2008. Preferencje zasad grupy umożliwiają administratorowi konfigurowanie aplikacji oraz składników systemu Windows, których zwykle nie można konfigurować przy pomocy zasad grupy, jak również stosowanie ich dla wybranych użytkowników oraz komputerów w oparciu o bardzo bogaty zestaw reguł docelowych. Preferencje zasad grupy są w pełni zintegrowane z Konsolą zarządzania zasadami grupy oraz funkcją Advanced Group Policy Management w systemie Windows Server 2008.

Więcej informacji na temat preferencji zasad grupy znaleźć można w artykule Dereka Melbera: "Poznaj narzędzie Advanced Group Policy Management" opublikowanym w styczniowym wydaniu TechNet Magazine.

Zacznijmy od czegoś prostego. Po pierwsze powinniśmy zdobyć szablon ADM, który chcemy wykorzystywać. Możemy użyć szablonu pobranego z witryny GPanswers.com (udostępniającej kilkanaście interesujących szablonów). Możemy także użyć plików ADM dla systemu Office 2003 lub Office 2007 znajdujących się w witrynie firmy Microsoft.

Aby dodać szablon, wystarczy prawym przyciskiem myszy kliknąć węzeł Szablony administracyjne (Administrative Templates), a następnie kliknąć opcję Dodaj, jak pokazano na Rysunku 1. Domyślnie system Windows próbuje znaleźć szablony w katalogu \Windows\inf, ale możemy przechowywać je gdziekolwiek tylko chcemy. Warto wiedzieć, że dodanie szablonu ADM z oryginalnego miejsca składowania spowoduje dodanie tego szablonu również do zawartości samego obiektu zasad grupy (Group Policy Object - GPO).

Na potrzeby przykładu zaprezentowanego w tym artykule z witryny GPanswers.com pobrano plik nopassport.adm. Plik szablonu został umieszczony w katalogu c:\temp. Ten szablon ADM umożliwia nam zablokowanie wiadomości "Czy chcesz dodać swój paszport?", która pojawia się, gdy użytkownik po raz pierwszy loguje się do maszyny z systemem Windows XP.

W przykładzie tym pobrano również szablony Office 2003 ADM i umieszczono je w katalogu c:\temp. Ale nie pozostaną one w tym katalogu. Jak widzimy na Rysunku 2, dodane zostały szablony nopassport.adm oraz Word11.adm. Możemy zauważyć, że pojawiły się one na liście szablonów domyślnych w oknie Dodawanie usuwanie szablonów (Add/Remove Templates).

Rysunek 2: Dodatkowe pliki ADM w obiekcie GPO.

Teraz, gdy zajrzymy do plikowej części samego obiektu GPO (a dokładniej do katalogu \\domaincontroller\SYSVOL\domainname\Policies\GUID\ADM), możemy stwierdzić, że pliki nopassport.adm oraz Word11.adm stały się częścią obiektu GPO, jak pokazano na Rysunku 2.

Dlaczego szablony zostały dodane do obiektu GPO? Abyśmy mogli zobaczyć ustawienia znajdujące się w plikach ADM, jeśli w przyszłości będziemy próbowali edytować ten obiekt GPO na innej stacji zarządzającej.

 Do początku strony Do początku strony

Dlaczego nie widzimy tego, co przed chwilą załadowaliśmy?

Czasem możemy zobaczyć efekty dodania plików ADM, a czasem nie. Zdaniem wielu administratorów bywa to bardzo mylące. I ponieważ jest to pytanie bardzo często zadawane w witrynie GPanswers.com, warto od razu wyjaśnić tę sprawę.

Widoczne powinny być przynajmniej efekty dodania dwóch szablonów (patrz Rysunek 3 ). Powinny pojawić się dwa nowe węzły: Konfiguracja komputera (Computer Configuration) | Nuisances (z powodu nopassport.adm) oraz Konfiguracja użytkownika (User Configuration) | Microsoft Office Word 2003 (z powodu Word11.adm). Jeśli wejdziemy głębiej w ustawienia Microsoft® Word 2003, zobaczymy spory zestaw konfigurowalnych ustawień, jak widać na Rysunku 3.

Rysunek 3: Konfigurowalne ustawienia zasad grupy.

Ale dlaczego nie widzimy ustawień w nowy węźle Nuisances? Aby to zrozumieć, najpierw trzeba zrozumieć ideę "prawidłowych" oraz "nieprawidłowych" kluczy zasad, na które może wpływać szablon ADM.

 Do początku strony Do początku strony

Prawidłowe kontra nieprawidłowe klucze zasad

Z dokumentacji Microsoft wynika, że istnieją cztery obszary rejestru stanowiące zatwierdzone miejsca tworzenia zasad w Rejestrze:

  •  HKLM\Software\Policies (ustawienia komputera, preferowana lokalizacja).

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (ustawienia komputera, alternatywna lokalizacja).

  •  HKCU\Software\Policies (ustawienia użytkownika, preferowana lokalizacja).

  •  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies (ustawienia użytkownika, alternatywna lokalizacja).

Ustawienia znajdujące się w pliku Word 2003 ADM dokonują zapisu w tych prawidłowych lokalizacjach, natomiast plik nopassport.adm nie. Plik nopassport.adm dokonuje zapisu w HKLM\Software\Microsoft\MessengerService\PassportBalloon.

Edytor GPOE każe nam przejść przez dodatkową bramkę zabezpieczającą, zanim pozwoli nam zobaczyć te ustawienia, ponieważ ustawienia, które nie dokonują zapisu w czterech prawidłowych kluczach zasad, pozostawią ślady w rejestrze. A zatem nawet jeśli pozbędziemy się obiektu GPO, ustawienia nie zostaną wycofane. Powiedzmy na przykład, że dodaliśmy plik nopassport.adm oraz zdecydowaliśmy się na zablokowanie wyskakującego okienka "Czy chcesz dodać paszport?" dla wszystkich maszyn w domenie. Następnie szef wspomniał, że naprawdę lubił to wyskakujące okienko. W takiej sytuacji długa droga przed nami, ponieważ wszystkie komputery będą zawierać to ustawienie (w zasadzie na zawsze), dopóki bezpośrednio nie przywrócimy poprzedniego ustawienia. Wprawdzie można stworzyć w tym celu nowy, niestandardowy plik ADM, ale jest to dość pracochłonne.

Natomiast standardowe ustawienia reguł posiadają wartość domyślną. I jeśli usuniemy obiekt GPO, w ustawieniach tych przywrócona zostanie domyślna konfiguracja. Na przykład, jeśli zdecydujemy się na wprowadzenie zakazu dostępu do Panelu sterowania przy użyciu wbudowanych szablonów ADM, a w przyszłości zmienimy zdanie, wystarczy, że usuniemy obiekt GPO i dostęp do Panelu sterowania zostanie przywrócony. Odnosi się to do prawie wszystkich ustawień dostarczanych wraz z domyślnymi plikami ADM (istnieją jednak pewne osobliwe wyjątki).

Wracając do niestandardowego szablonu ADM blokowania paszportu, witryna, w której umieszczone zostało ustawienie, nie umożliwia silnikowi zasad grupy odwrócenie ustawienia po usunięciu. A zatem firma Microsoft chroni nas (wstępnie), nie pokazując tych pozostawiających ślad ustawień zasad, abyśmy przypadkiem nie strzelili do własnej bramki!

 Do początku strony Do początku strony

Oglądanie szablonów ADM

Przeglądanie szablonów ADM wcale nie jest takie trudne. Domyślnie edytor nie pokazuje dodanych ustawień, ale możemy szybko to naprawić. Wystarczy, że klikniemy węzeł Szablony administracyjne (Administrative Templates) w obszarze konfiguracji użytkownika lub komputera, a następnie wybierzemy opcję Widok (View) | Filtrowanie (Filtering). Na zakończenie odznaczymy (tak odznaczymy) opcję "Pokaż tylko ustawienia zasad, którymi można zarządzać w sposób pełny" (Only show policy settings that can be fully manager), pokazaną na Rysunku 4. Gdy tak zrobimy, zobaczymy ustawienie zasady "Passport Solicitation" pokazane w kolumnie Ustawienie (Setting), jak widać na Rysunku 4.

Rysunek 4: Filtrowanie obiektów GPO.

 Do początku strony Do początku strony

Windows XP kontra Windows Vista w Edytorze obiektów zasad grupy

Wyświetlone ustawienie zasady nieco różni się od pozostałych. Spójrzmy na ikony ustawień zasad dostarczanych w standardowych plikach ADM na Rysunku 5. A teraz spójrzmy na ikonę ustawienia zasady z szablonu ADM, który nie dokonuje zapisu w prawidłowych kluczach rejestru dla zasad (pokazaną na Rysunku 6 ).

Rysunek 5: Pliki ADM z ikonami.

Rysunek 6: Ikony dla zastosowań nieprawidłowych kluczy.

Różnica między niebieską a czerwoną ikoną pomaga stwierdzić, które ustawienia pozostawią tatuaż, a które nie. Jednak ponownie zależy to od tego, gdzie stosowane jest dane ustawienie.

Przy okazji warto wspomnieć, że w systemie Windows Vista® sytuacja zmienia się nieco, gdy wykorzystujemy pliki ADM na stacji zarządzającej Windows Vista. Pliki ADM są pokazywane w osobnym węźle o nazwie "Klasyczne szablony administracyjne (ADM)" (Classic Administrative Templates (ADM)), jak widać na Rysunku 7. Tu ustawienie z czerwoną kropką jest prezentowane jako mała ikona ze strzałką skierowaną w dół (która na czas edycji zmienia się w mały znak "Zakaz wjazdu").

Rysunek 7: Węzeł Klasyczne szablony administracyjne.

Ustawienia, które były oznaczone niebieską kropką (te dokonujące zapisu w prawidłowych kluczach zasad) są prezentowane jako małe ikony przewijania, jak widać na Rysunku 8.

Rysunek 8: Ikony przewijania identyfikujące prawidłowe klucze.

 Do początku strony Do początku strony

Skąd ta cała wrzawa wokół ADMX?

Systemy Windows Vista oraz Windows Server 2003 oferują nową, wbudowaną konsolę zarządzania zasadami grupy (Group Policy Management Console - GPMC). A wraz z nową konsolą GPMC pojawiła się możliwość zaniechania stosowania starych plików ADM na rzecz nowszych plików ADMX. Ale dlaczego mielibyśmy chcieć rezygnować z formatu ADM?

Jak pamiętamy, sam plik ADM jest umieszczany w Szablonie zasad grupy (Group Policy Template - GPT), czyli części obiektu GPO znajdującej się w folderze SYSVOL. W konsekwencji za każdym razem gdy tworzymy obiekt GPO, zużywamy około 4MB na każdym kontrolerze domeny. Co więcej, plik ADM jest umieszczany w szablonie GPT obiektu GPO, ponieważ jest niezbędny, gdy chcemy dokonać edycji obiektu GPO na innej stacji zarządzającej. Bez tego pliku ADM nie moglibyśmy edytować żadnych niestandardowych ustawień znajdujących się w obiekcie GPO.

Format ADMX pomaga nam uwolnić się od tych problemów. Już nie musimy przechowywać niczego bezpośrednio w obiekcie GPO. A zatem nie musimy radzić sobie ze zjawiskiem "puchnięcia” woluminu systemowego, które polega na tym, że pokaźny folder SYSVOL musi przechowywać obiekty GPO wypełnione plikami ADM i jest obciążony koniecznością replikowania ich na każdy kontrolerze domeny. Aby zaradzić temu problemowi, w nowym standardzie ADMX wprowadzono możliwość wykorzystywania tzw. "Magazynu centralnego" (Central store). Zadaniem Magazynu centralnego jest utrzymywanie lokalizacji, w której możemy umieszczać nowe pliki ADMX, aby nie musiały być one kopiowane w każdym obiekcie GPO. A zatem żegnaj pokaźny folderze SYSVOL. Inną istotną cechą Magazynu centralnego jest to, że gdy definicja pliku ADMX zostaje uaktualniona, wszystkie stacje zarządzające Windows Vista natychmiast zaczynają używać zmodyfikowanego pliku ADMX.

Jeśli chcemy dowiedzieć się więcej na temat formatu plików ADMX, a w szczególności na temat tworzenia i wykorzystywania Magazynu centralnego, warto zajrzeć do dwóch godnych polecenia źródeł informacji. Darren Mar-Elia napisał treściwy artykuł na temat wewnętrznej struktury formatu plików ADMX wraz z krótkim omówieniem Magazynu centralnego, który znaleźć można w Technet Magazine w wydaniu z lutego 2007 (technetmagazine.com/issues/2007/02/Templates). Ponadto autor niniejszego artykułu udostępnił do pobrania cały rozdział swojej ostatniej książki "Group Policy: Management, Troubleshooting, and Security", który jest dostępny w sekcji "Book Resources" w witrynie GPanswers.com.

Jak wspominano, szablony ADM są nadal wspierane, gdy wykorzystywana jest stacja zarządzająca Windows Vista, ale pliki ADM nie są wspierane przez Magazyn centralny. Może to powodować pewne niejasności, dlatego prześledźmy następujący przykład.

Załóżmy, że właśnie stworzyliśmy obiekt GPO na stacji zarządzającej Windows Vista, a następnie poprawiliśmy pewne ustawienia standardowe (np. zakazując dostępu do panelu sterowania). Dodatkowo załóżmy, że chcemy dodać niestandardowy szablon ADM. Gdy już to zrobimy, zajrzymy do szablonu GPT obiektu GPO i sprawdzimy, co się stało.

Aby dodać szablon ADM, możemy powtórzyć kroki opisanej poprzednio procedury. Wystarczy, że otworzymy okno edytora GPOE, prawym przyciskiem myszy klikniemy węzeł Szablony administracyjne (Administrative Templates) znajdujący się w węźle konfiguracji użytkownika oraz komputera, a następnie wybierzemy opcję Dodaj/usuń szablon (Add/Remove Template). Dodany szablon możemy zobaczyć na Rysunku 9.

Rysunek 9: Wyświetlanie dodanego szablonu.

Aby zobaczyć ustawienia znajdujące się w tym szablonie ADM, musimy powtórzyć procedurę zaprezentowaną na Rysunku 4. To znaczy kliknąć opcję Widok (View) | Filtrowanie (Filtering) i odznaczyć opcję "Pokaż tylko ustawienia zasad, którymi można zarządzać w sposób pełny" (Only show policy settings that can be fully manager). A teraz zamknijmy edytor GPOE i powróćmy do konsoli GPMC. Rysunek 10 prezentuje kartę Szczegóły (Details) obiektu GPO stworzonego na stacji zarządzającej Windows Vista (zwróćmy uwagę na chwytliwą nazwę obiektu GPO). Przyglądając się karcie Szczegóły (Details), możemy ustalić identyfikator GUID dla obiektu GPO, co ułatwi odnajdowanie tego obiektu podczas przeszukiwania folderu SYSVOL.

Rysunek 10: Domyślne szablony administracyjne.

Po wyśledzeniu części GPT obiektu GPO (przy użyciu identyfikatora GUID obiektu GPO) możemy otworzyć katalog ADM tego obiektu GPO i przekonać się, że znajduje się tam dokładnie jeden szablon ADM — ten, który został ręcznie zaimportowany, jak pokazano na Rysunku 11. Wynika to z tego, że maszyny Windows Vista nie polegają już na szablonach ADM. A ponieważ ich nie wykorzystują, standardowo nie umieszczają niczego w samym obiekcie GPO. Jednak jeśli własnoręcznie zaimportujemy plik ADM (jak zrobiliśmy w tym przykładzie), szablon ADM będzie traktowany tak samo jak w poprzednich wersjach systemu Windows.

Rysunek 11: Ręcznie zaimportowany plik ADM.

Inaczej jest w przypadku zaprezentowanego na Rysunku 12 obiektu GPO, który znajduje się na maszynie z systemie Windows XP lub Windows Server 2003. Gdy obiekty GPO są tworzone przy użyciu stacji zarządzających z systemem wcześniejszym niż Windows Vista, oryginalne pliki ADM są umieszczane w obiektach GPO, o czym już wspominano. Ten obiekt GPO został stworzony na stacji zarządzającej Windows XP. Można to rozpoznać po tym, że jest wypełniony plikami ADM, których system Windows Vista nie potrzebuje i nie używa.

Rysunek 12: Obiekt GPO stworzony w systemie Windows XP.

 Do początku strony Do początku strony

Konwertowanie plików ADM do ADMX przy użyciu narzędzia ADMX Migrator

A zatem system Windows XP wykorzystuje pliki ADM, a system Windows Vista pliki ADMX. I chociaż system Windows Vista nadal wspiera pliki ADM, gdy są one dostępne, nie możemy umieszczać tych plików w Magazynie centralnym i oczekiwać, że stacje zarządzające Windows Vista będą je obsługiwać.

Aby korzystać z ustawień znajdujących się w pliku ADM w Magazynie centralnym, musimy przekonwertować plik ADM do formatu ADMX lub własnoręcznie od nowa stworzyć plik ADM, tym razem w formacie ADMX. Na szczęście można pobrać program, który realizuje obie te funkcje. Narzędzie ADMX Migrator (które w rzeczywistości składa się z dwóch narzędzi: konwertera ADM-do-ADMX oraz narzędzia do tworzenia plików ADMX) jest dostępne do pobrania pod adresem go.microsoft.com/fwlink/?LinkId=103774.

Plik MSI narzędzia ADMX Migrator możemy zainstalować w systemach Windows Server 2003, Windows XP lub Windows Vista. Po zakończeniu instalacji aplikacje można odnaleźć w katalogu C:\Program Files\FullArmor\ADMX Migrator. Aplikacja wiersza polecenia uruchamiana w tym przykładzie nosi nazwę faAdmxConv.exe. Jednak ponieważ katalog nie stanowi ścieżki poszukiwania, aby uruchomić tę aplikację, trzeba znajdować się w odpowiednim katalogu. Dlatego w tym przykładzie zdecydowano się na dodanie katalogu do zmiennej środowiskowej. Artykuł www.computerhope.com/issues/ch000549.htm wyjaśnia, jak skonfigurować ścieżkę w systemie Windows.

Autor niniejszego artykułu zazwyczaj tworzy katalog tymczasowy, np. C:\ADMtemp i kopiuje do niego pliki źródłowe ADM. Istnieje wiele dopuszczalnych parametrów programu faAdmxConv.exe, ale najprostszy sposób konwertowania pliku ADM polega na podaniu nazwy pliku oraz katalogu wyjściowego. Gdy umieścimy źródłowy plik ADM w katalogu ADMtemp i dodamy ścieżkę faAdmxConv.exe do zmiennych środowiskowych, możemy po prostu wywołać polecenie "faAdmxConv nopassport.adm ." (kropka na końcu wskazuje bieżący katalog jako katalog wyjściowy). Jeśli nie podamy kropki (dla tego katalogu) lub innej jawnej ścieżki, dane wyjściowe zostaną umieszczone w tymczasowym katalogu określonym w profilu naszego konta. Na Rysunku 13 możemy zobaczyć trzy polecenia:

Rysunek 13: Narzędzie ADMX Migrator.

Polecenie "dir" służące do odnalezienia pliku ADM

Polecenie "faAdmxConv" z nazwą pliku ADM oraz . (kropką) reprezentującą bieżący katalog

Polecenie "dir" do wyświetlenia listy plików wynikowych: nopassport.admx oraz nopassport.adml

Przed przerzuceniem plików wynikowych bezpośrednio do Magazynu centralnego możemy przetestować je na maszynie działającej w trybie offline. Po przełączeniu maszyny w tryb offline należy skopiować plik ADMX do katalogu C:\Windows\PolicyDefinitions oraz plik ADML do katalogu odpowiedniej wersji językowej. W przypadku Stanów Zjednoczonych jest to katalog C:\Windows\PolicyDefinitions\en-us. Przykład procedury kopiowania zaprezentowany został na Rysunku 14.

Rysunek 14: Kopiowanie plików ADMX do Magazynu centralnego.

Narzędzie konwertera ADM-do-ADMX zostało ostatnio zaktualizowane do wersji 1.2. Aktualizacja koryguje błędy związane z konwersją oraz dodaje przydatne komunikaty ostrzegawcze prezentowane w czasie konwersji. Autor niniejszego artykułu zachęca do przetestowania dostępnej do pobrania wersji 1.2 nawet tych czytelników, którzy mieli już okazję pracować z narzędziem do konwersji ADM-do-ADMX w przeszłości, ale zrezygnowali ze względu na komunikaty o błędach, których nie sposób było poprawić.

Przekonwertowany plik ADM stanowi teraz tak naprawdę dwa pliki: plik ADMX (neutralny językowo) oraz plik ADML (specyficzny dla języka). W tym momencie możemy umieścić wynikowe pliki w Magazynie centralnym lub przetestować je na maszynie lokalnej. Jednak ponownie, aby zobaczyć ustawienia zasad znajdujące się w tym szablonie ADMX, trzeba zrealizować procedurę zaprezentowaną na Rysunku 4. A mianowicie kliknąć opcję Widok (View) | Filtrowanie (Filtering), a następnie odznaczyć opcję "Pokaż tylko ustawienia zasad, którymi można zarządzać w sposób pełny" (Only show policy settings that can be fully manager). Jak wspominano, wynika to z tego, że ustawienia znajdujące się w pliku ADMX nie dokonują zapisu w jednym z prawidłowych kluczy zasad.

 Do początku strony Do początku strony

Robienie porządków

Idealnym rozwiązaniem byłoby oczywiście stosowanie jedynie plików ADMX i wykorzystywanie Magazynu centralnego. Ale w tym celu musimy przekonwertować wszystkie aktualne pliki ADM do formatu ADMX, wdrożyć na wszystkich stacjach zarządzających system Windows Vista (lub Windows Server 2008) oraz zobowiązać się do nieedytowania obiektów GPO na maszynach z systemami wcześniejszymi niż Windows Vista.

Ukończenie realizacji tych trzech kroków oznacza, że mniej więcej pozbyliśmy się plików ADM z naszego świata. W tym momencie pliki ADM w obiektach GPO jedynie zajmują miejsce w folderze SYSVOL kontrolera domeny. Gdy osiągniemy nirwanę ADMX możemy, jeśli chcemy, po prostu usunąć pliki ADM znajdujące się w szablonach GPT obiektów GPO w folderze SYSVOL. W rzeczywistości są one tak szczątkowe jak nasze wyrostki robaczkowe. W przeszłości pełniły jakąś funkcję, ale przestały być potrzebne. Możemy usunąć je własnoręcznie lub przy pomocy skryptu. Jednak trzeba mieć świadomość, że poważnym błędem byłoby uczynienie tego przez zakończeniem realizacji opisanych kroków. Dlatego zanim to zrobimy, musimy upewnić się, że możemy pozbyć się plików ADM.

Dodatkowe informacje na temat plików ADM, ADMX oraz ADML znaleźć można w artykule Managing Group Policy ADMX Files Step-by-Step Guide dostępnym pod adresem go.microsoft.com/fwlink/?LinkId=105019 oraz w artykule ADMX Technology Review pod adresem go.microsoft.com/fwlink/?LinkId=105032. Warto również zasubskrybować biuletyn GPanswers.com dostępny pod adresem GPanswers.com/newsletter oraz powiadomienia o nowych wpisach na blogu GPanswers.com/blog.

O autorze

Jeremy Moskowitz MCSE oraz MVP w dziedzinie zasad grupy. Tworzy witrynę GPanswers.com - forum społecznościowe dotyczące zasad grupy. Prowadzi również cykl intensywnych szkoleń z zakresu zasad grupy. Najnowsza książka Jeremiego nosi tytuł Group Policy: Management, Troubleshooting and Security (Sybex, 2007). Z Jeremim można skontaktować się za pośrednictwem witryny www.GPanswers.com.

 Do początku strony Do początku strony

Windows Server 2008