Как обновить файлы ADMX — разные версии ОС сервера в домене

Домен моих клиентов имеет различные 2012R2, 2016 и 2019 Windows Server версии.Два из четырех контроллеров домена работают под управлением Windows 2012R2 и файлов ADMX. не обновлялся годами. Два других контроллера домена — это Windows 2019, и им назначены роли FSMO.

Я надеюсь, что в ближайшее время все экземпляры 2012 года, включая DC, будут выведены из эксплуатации навсегда. Поскольку файлы ADMX не обновлялись годами, я не могу применить определенные объекты групповой политики к экземплярам 2016 и 2019 годов, что вскоре станет проблемой безопасности. Поскольку моя среда будет состоит из серверов 2016 и 2019 годов, Что это лучшая политика или метод, который я должен использовать для обновления файлов ADMX?

Из того, что я читал, большинство людей предлагают Центральное хранилище определений политик вариант, но я не был уверен, что это хорошая идея, так как я бегу несколько версий ОС в моем окружении. Здесь любые другие подходы обновить файлы ADMX, которые я должен рассмотреть с учетом состава моей среды?

Если я не использовать Центральный магазин вариант, нужно ли мне загружать файлы ADMX в C:\Windows\PolicyDefinitions папка локально на каждой контроллер домена чтобы применить последние настройки к объектам групповой политики, или мне нужно загрузить файл ADMX в C:\Windows\PolicyDefinitions на все члены/серверы домена чтобы серверы получали обновленные настройки gpo?

Мне никогда не приходилось обновлять файлы ADMX, поэтому любые советы будут очень признательны, спасибо!

Об административных шаблонах (ADMX) нужно понимать одну важную вещь:

Обновление административных шаблонов ничего не изменит в развернутых вами объектах групповой политики: ADMX читаются Управлением групповыми политиками. Приставка (или gpresult при создании отчета), чтобы отобразить настройки для человека (показывая список настроек, описание и т. д.). Вот и все!

Пример: рассмотрим следующий сценарий:

Вы создаете новый объект групповой политики с шаблонами ADMX из 2011 и развертываете этот объект групповой политики.
Теперь представьте, что вы обновляете шаблоны ADMX до более новой версии, и, допустим, Microsoft удалила из новых файлов ADMX некоторые из старых настроек эпохи 2011 года, которые вы ранее установили в старых файлах шаблонов ADMX:
Компьютеры/серверы этого не заметят, потому что им не нужен ADMX для применения политики.

Однако в следующий раз, когда вы откроете консоль управления групповыми политиками и захотите отредактировать объект групповой политики, вы НЕ увидите настройки, которые вы установили ранее, НО они будут показаны в разделе «Дополнительные параметры реестра» (также в отчете HTML). )

Итак, наихудший сценарий для вас: вы получите групповые политики, развертывающие «старые» настройки, которые Microsoft удалила из ADMX, и вы не сможете редактировать эти настройки с помощью консоли групповой политики.

=> Если вы используете центральное хранилище: сделайте резервную копию текущих файлов ADMX и обновите шаблоны ADMX. При необходимости вы можете восстановить старые файлы ADMX.

=> Если вы не используете центральное хранилище: обратите внимание, что при редактировании групповой политики из Server 2019 будут использоваться ADMX-файлы Server 2019 (локальные), поэтому, если вы настроили «старые» параметры, которые Microsoft удалила с Server 2019, они будут отображаются как «Дополнительные параметры реестра» при просмотре с сервера 2019 года, потому что редактор политик не знает, как показать вам эти параметры. При открытии консоли групповой политики из Server 2012R2 будут использоваться ADMX-файлы 2012R2 (локальные). (Кстати, именно поэтому рекомендуется использовать центральное хранилище, потому что вы не хотите видеть различное поведение в консолях GPO в зависимости от того, «где» вы редактируете политики...)

Ты можешь посмотри мой ответ здесь тоже примерно похожая ситуация.