Рейтинг:1

Как обновить файлы ADMX — разные версии ОС сервера в домене

флаг cn

Домен моих клиентов имеет различные 2012R2, 2016 и 2019 Windows Server версии.Два из четырех контроллеров домена работают под управлением Windows 2012R2 и файлов ADMX. не обновлялся годами. Два других контроллера домена — это Windows 2019, и им назначены роли FSMO.

Я надеюсь, что в ближайшее время все экземпляры 2012 года, включая DC, будут выведены из эксплуатации навсегда. Поскольку файлы ADMX не обновлялись годами, я не могу применить определенные объекты групповой политики к экземплярам 2016 и 2019 годов, что вскоре станет проблемой безопасности. Поскольку моя среда будет состоит из серверов 2016 и 2019 годов, Что это лучшая политика или метод, который я должен использовать для обновления файлов ADMX?

Из того, что я читал, большинство людей предлагают Центральное хранилище определений политик вариант, но я не был уверен, что это хорошая идея, так как я бегу несколько версий ОС в моем окружении. Здесь любые другие подходы обновить файлы ADMX, которые я должен рассмотреть с учетом состава моей среды?

Если я не использовать Центральный магазин вариант, нужно ли мне загружать файлы ADMX в C:\Windows\PolicyDefinitions папка локально на каждой контроллер домена чтобы применить последние настройки к объектам групповой политики, или мне нужно загрузить файл ADMX в C:\Windows\PolicyDefinitions на все члены/серверы домена чтобы серверы получали обновленные настройки gpo?

Мне никогда не приходилось обновлять файлы ADMX, поэтому любые советы будут очень признательны, спасибо!

флаг in
Объекты групповой политики одинаковы на всех контроллерах домена, так почему вы боитесь иметь одинаковые шаблоны на всех из них (в самой новой версии)?
jrd1989 avatar
флаг cn
Сомневаюсь, потому что у меня нет среды разработки или тестирования, чтобы сначала внести изменения, только прод. Я так понимаю, вы предлагаете мне настроить центральное хранилище определений политик?
флаг in
Да, они у меня в `C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions`, и я также храню предыдущую версию в переименованном каталоге.
Рейтинг:2
флаг cn

Об административных шаблонах (ADMX) нужно понимать одну важную вещь:

Обновление административных шаблонов ничего не изменит в развернутых вами объектах групповой политики: ADMX читаются Управлением групповыми политиками. Приставка (или gpresult при создании отчета), чтобы отобразить настройки для человека (показывая список настроек, описание и т. д.). Вот и все!


Пример: рассмотрим следующий сценарий:

Вы создаете новый объект групповой политики с шаблонами ADMX из 2011 и развертываете этот объект групповой политики.
Теперь представьте, что вы обновляете шаблоны ADMX до более новой версии, и, допустим, Microsoft удалила из новых файлов ADMX некоторые из старых настроек эпохи 2011 года, которые вы ранее установили в старых файлах шаблонов ADMX:
Компьютеры/серверы этого не заметят, потому что им не нужен ADMX для применения политики.

Однако в следующий раз, когда вы откроете консоль управления групповыми политиками и захотите отредактировать объект групповой политики, вы НЕ увидите настройки, которые вы установили ранее, НО они будут показаны в разделе «Дополнительные параметры реестра» (также в отчете HTML). )

Итак, наихудший сценарий для вас: вы получите групповые политики, развертывающие «старые» настройки, которые Microsoft удалила из ADMX, и вы не сможете редактировать эти настройки с помощью консоли групповой политики.

=> Если вы используете центральное хранилище: сделайте резервную копию текущих файлов ADMX и обновите шаблоны ADMX. При необходимости вы можете восстановить старые файлы ADMX.

=> Если вы не используете центральное хранилище: обратите внимание, что при редактировании групповой политики из Server 2019 будут использоваться ADMX-файлы Server 2019 (локальные), поэтому, если вы настроили «старые» параметры, которые Microsoft удалила с Server 2019, они будут отображаются как «Дополнительные параметры реестра» при просмотре с сервера 2019 года, потому что редактор политик не знает, как показать вам эти параметры. При открытии консоли групповой политики из Server 2012R2 будут использоваться ADMX-файлы 2012R2 (локальные). (Кстати, именно поэтому рекомендуется использовать центральное хранилище, потому что вы не хотите видеть различное поведение в консолях GPO в зависимости от того, «где» вы редактируете политики...)

Ты можешь посмотри мой ответ здесь тоже примерно похожая ситуация.

jrd1989 avatar
флаг cn
Спасибо за это объяснение, оно помогло прояснить некоторые мои заблуждения. В чем разница между C:\Windows\SYSVOL\domain\Policies и C:\Windows\PolicyDefinitions? В моих контроллерах домена нет папки «PolicyDefinitions» по пути C:\Windows\SYSVOL\domain\Policies. Папка «Политики» содержит только папки GPO и их конфигурации. Файлы admx хранятся в папке C:\Windows\PolicyDefinitions на каждом контроллере домена.
Swisstone avatar
флаг cn
@jrd1989 jrd1989 Вы должны сами создать PolicyDefinitions в SYSVOL\domain\Policies, посмотрите документацию: [Создание центрального хранилища и управление им] (https://docs.microsoft.com/en-US/troubleshoot/windows-client /group-policy/create-and-manage-central-store), c:\windows\policydefinitions — это локальный путь, если вы не используете центральное хранилище

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.