Win2008組策略ADMX文件配置攻略

自從在windows nt 4.0中發佈以來，管理模板文件一直使用單獨的文件格式，也就是咱們所熟悉的adm文件。管理模板文件裏包含了標記語言，它用來描述基於註冊表的組策略。然而，對於喜歡直接面對模板文件內容，並按照本身須要進行修改的 windows管理員來講，adm模板文件雖然爲修改註冊表提供了必要的方法，可是也帶來了很多不便之處，例如版本控制，多語種支持上的天生缺陷等。而且，對於一種獨立格式的文件來講，學習與使用起來也會麻煩得多。 　　現在，在Windows Server 2008 中，微軟開始務實地解決這一問題，並由此帶來了vista和Windows Server 2008 中新的管理模板文件格式——admx。admx文件是一種基於xml的文件，這種新管理模板文件的出現，使得在vista和Windows Server 2008中管理基於註冊表的策略設置變得更加簡便。
　　原先以.adm做爲擴展名的管理員模板文件，如今在Windows Server 2008中被定義爲XML格式，同時也增長了許多新的特性，xml這種通用文件格式自己也就爲管理員進行自動和手動管理帶來了極大的便利。由於他們能夠把以往xml方面的知識直接應用到admx文件的建立與編輯中，甚至是編寫本身的策略管理工具，而不須要學習一種新的語法。

在Windows Server 2008中，admx文件劃分爲語言無關和語言特定兩種資源，以便適用於全部的組策略管理員——這爲跨國公司域管理所帶來的好處是不言而喻的。而且，組策略工具可根據管理員配置的語種來調整他們的管理界面。只須要確保特定語種的資源文件可用，你就能夠添加新的語種到策略定義集中。
　　同時admx文件會被集中存儲在一個建立在sysvol中的域範圍的目錄。集中存儲admx不只能夠減小額外的存儲要求，最重要的就是，它能夠集中地更新和管理admx文件，而再也不須要存放在每個gpo中，從而極大地提升複製的效率並減小帶寬佔用。同時，ADMX文件與ADM文件相比要明顯地減少4兆以上。
　　另外，在組策略工具兼容方面，組策略管理工具能夠讀取任何存儲在本地或是gpo中的adm文件。它確保了vista、Windows Server 2008以及以前版本操做系統在管理上的互操做性。須要注意的就是，對於那些admx文件中才有的策略設置將只可用於windows vista和Windows Server 2008。
ADMX文件在運行環境中的一些重要特性
新的基於Windows Server 2008和Windows Vista的組策略設置只可以經過基於Windows Server 2008和Windows Vista的組策略對象編輯器或者組策略管理控制檯來管理使用,利用ADMX文件定義的組策略在Windows Sever 2003, Microsoft Windows® XP, 以及Windows 2000版本上都是沒法使用的。不過使用基於Windows Server 2008和Windows Vista的組策略對象編輯器或者組策略管理控制檯是能夠管理任意操做系統支持的組策略對象的，同時支持與早期操做系統管理工具的協做，例如，存儲在GPO中的傳統的ADM文件一樣能夠在新工具中使用。固然這些改變都是基於後臺的，實際上，在大多數的狀況下，用戶並不會在平常的組策略管理工做中注意到ADMX文件的存在。

使用ADMX文件的組策略對象主要分爲兩類，一類是本地組策略，另外一類則是基於域環境的組策略對象。在編輯本地GPO時，用戶必須使用Windows Server 2008或者Windows Vista 計算機來查看ADMX策略設置。而要想建立或者編輯基於域環境的GPO，那麼首先須要一個基於DNS名稱解析的Windows Server 2008 Windows Server 2003或者是Windows 2000的域。而後再使用Windows Server 2008或者Windows Vista 計算機來查看ADMX策略設置。

 

ADMX 使用場景
本文涉及了兩個有關ADMX文件的組策略管理，示例中將爲你們展現如何使用ADMX文件編輯會話，基於域的使用場景將展示ADMX文件的集中管理。

 

 

場景1：編輯本地組策略對象管理模板設置
使用ADMX文件編輯組策略管理模板時，首先須要開啓組策略編輯器，點擊開始菜單，選擇Run，鍵入GPEDIT.msc 組策略編輯器將會自動的讀取 %systemroot%\PolicyDefinitions\ 文件夾中存儲的全部ADMX文件。用戶須要作的就是定位到本身但願編輯的策略設置上，而後開始編輯，具體的編輯方法與先前版本的組策略沒有差異。須要注意的就是，用戶依然能夠經過Add/Remove Templates菜單選項來添加或者刪除ADM文件。在Windows Server 2008和Windows Vista中尚沒有一個用戶界面來添加，刪除ADMX文件。要想添加ADMX文件到組策略編輯會話，能夠直接將ADMX文件拷貝到%systemroot%\PolicyDefinitions\文件夾，而後重啓組策略對象編輯器。
下面咱們例舉Windows Server 2008 組策略中在Windows防火牆方面的改進，以及如何使用策略控制防火牆。按下Windows徽標鍵+R，打開運行對話框輸入secpol.msc並回車，打開Local Security Settings對話框打開Windows Firewall with Advanced Security - Windows Firewall with Advanced Security on Local Computer節點點擊打開Inbound Exceptions節點，而後點擊鼠標右鍵，選擇Create New Exception選擇Port，點擊Next選擇Specific ports，輸入「21」，點擊Next保持Action頁面的設置不變，但留意這裏的全部選項，點擊Next保持Profile頁面的設置不變，但留意這裏的全部選項，點擊Next在Name框中輸入「FTP Port 21」，而後點擊Finish. 點擊打開Outbound Exceptions節點，而後點擊鼠標右鍵，選擇Create New Exception保持Exception Type頁面的設置不變，留意這裏的全部選項，點擊Next選擇Specific Program，接着點擊Browse按鈕，定位到%windir%\system32目錄下，選擇ftp.exe文件，點擊Open，點擊Next選擇Block，點擊Next，保持Profile頁面的設置不變，但留意這裏的全部選項，點擊Next，在Name框中輸入「Block FTP」，而後點擊Finish。按下Windows徽標鍵+R，打開運行對話框，輸入「CMD」並回車，打開命令提示行窗口，輸入命令「ftp ftp.microsoft.com」，等待出錯信息。
場景2：使用ADMX文件編輯基於域的GPOs
該場景中咱們將爲你們展現如何在Windows Server 2008和Windows Vista計算機上設置集中定位和升級ADMX文件，管理基於域的組策略對象。
要想完成這個模擬的場景，首先咱們須要一個使用DNS解析的Windows Server 2008，Windows Server 2003 或者Windows 2000的域環境，同時至少有一臺基於Windows Server 2008或者Windows Vista的計算機用來管理組策略。
若是用戶不選擇建立一個ADMX集中存儲，那麼GPOs的編輯方式將和場景1同樣。因此咱們首先要作的就是建立一個ADMX文件的集中存儲。

建立一個集中存儲
中心存儲是一個在組織中每一個域的域控制器的Sysvol文件夾下建立的文件夾結構。用戶只需在組織中每一個域的一臺域控制器上建立一箇中心存儲。文件複製服務（File Replication service）會將中心存儲中的內容複製到全部域控制器。建議用戶在主域控制器上建立中心存儲，由於默認來說，組策略管理控制檯以及組策略對象編輯器是與主域控制器相鏈接的。
中心存儲由一個根級別的文件夾和不一樣的子文件夾組成，這個根文件夾中包括了全部語言無關的ADMX文件，子文件夾則包括特定語言的資源文件。
要想執行這些操做，用戶必須做爲活動目錄中域管理員的成員。在域控制器的%systemroot%\sysvol\domain\policies\PolicyDefinitions 目錄建立根文件夾。爲組策略管理員使用的每種語言建立一個子文件夾存放在%systemroot%\sysvol\domain\policies\PolicyDefinitions 每一個子文件夾的命名須要按照ISO的標準填寫，例如建立一個U.S. English的子文件夾的樣式爲：%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.
轉存ADMX文件的中心存儲
在Windows Server 2008 和Windows Vista中並無用於轉存和移動中心存儲的用戶界面。要想實現這些操做必須經過命令行的方式。首先咱們在開始運行中，鍵入cmd,打開命令提示行工具，使用xcopy命令能夠將全部語言無關的ADMX文件從管理工做站上拷貝到域控制的中心存儲上。具體格式以下：xcopy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain
%\policies\PolicyDefinitions\ 一樣拷貝全部ADMX語言資料文件的命令也是xcopy，只不過具體的格式改成：xcopy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\
在基於域的GPOs下編輯策略設置管理模板 要想編輯基於域的GPOs策略設置管理模板，首先要開啓GPMC.msc，而後在Group Policy objects 節點上右擊選擇New 建立一個新的GPO用來編輯，鍵入對象名稱後點擊OK，展開Group Policy objects節點，右擊剛剛建立的GPO名稱而後點擊編輯。組策略對象編輯器將會自動的讀取全部中心存儲上的ADMX文件，若是沒有中心存儲，那麼組策略編輯器將會讀取本地的ADMX文件版本。 和本地組策略編輯同樣，用戶依然能夠經過Add/Remove Templates菜單選項來添加或者刪除ADM文件。這個操做一樣沒有用戶界面，要想添加ADMX文件到組策略編輯會話，能夠直接將ADMX文件拷貝到%systemroot%\PolicyDefinitions\文件夾，而後重啓組策略對象編輯器。 此外，Windows Server 2008 還會在多本地策略方面提供一些全新的內容。用戶按下Windows徽標鍵+R，打開運行對話框輸入secpol.msc並回車，打開Local Security Settings對話框，點擊OK。展開本地安全設置管理單元窗口左側的節點到Account Policies - Password Policy，雙擊打開Enforce password history策略，輸入「4」，並回車，修改這一策略根據實際須要修改任意幾個其餘策略在Security Settings節點上點擊鼠標右鍵，選擇「Export Policy」在默認位置爲該模板輸入文件名「test1.inf」，而後按下回車，這將能夠把咱們的當前設置導出成模板文件在Security Settings節點上點擊鼠標右鍵，選擇「Import Policy」在打開對話框中選中並雙擊test1.inf，這樣將從新把以前建立的模板文件導入。 從上面的試驗咱們不難看出，其實對於用戶而言，ADMX文件更多的是在後臺工做，經過ADMX文件，不只能夠減小額外的存儲要求，更大大提升了管理工具的一致性。 雖然如今種類繁多的管理軟件層出不窮，當對於70％以上的管理員來說，組策略依然是他們最爲駕輕就熟的「管家武器」，相信在操做習慣並不發生太大變化的基礎上，Windows Server 2008的組策略加強必然會帶給用戶更多的便利，更多的驚喜。