Win2008组策略ADMX文件配置攻略

自从在windows nt 4.0中发布以来，管理模板文件一直使用单独的文件格式，也就是咱们所熟悉的adm文件。管理模板文件里包含了标记语言，它用来描述基于注册表的组策略。然而，对于喜欢直接面对模板文件内容，并按照本身须要进行修改的 windows管理员来讲，adm模板文件虽然为修改注册表提供了必要的方法，可是也带来了很多不便之处，例如版本控制，多语种支持上的天生缺陷等。而且，对于一种独立格式的文件来讲，学习与使用起来也会麻烦得多。 　　现在，在Windows Server 2008 中，微软开始务实地解决这一问题，并由此带来了vista和Windows Server 2008 中新的管理模板文件格式——admx。admx文件是一种基于xml的文件，这种新管理模板文件的出现，使得在vista和Windows Server 2008中管理基于注册表的策略设置变得更加简便。
　　原先以.adm做为扩展名的管理员模板文件，如今在Windows Server 2008中被定义为XML格式，同时也增长了许多新的特性，xml这种通用文件格式自己也就为管理员进行自动和手动管理带来了极大的便利。由于他们能够把以往xml方面的知识直接应用到admx文件的建立与编辑中，甚至是编写本身的策略管理工具，而不须要学习一种新的语法。

在Windows Server 2008中，admx文件划分为语言无关和语言特定两种资源，以便适用于全部的组策略管理员——这为跨国公司域管理所带来的好处是不言而喻的。而且，组策略工具可根据管理员配置的语种来调整他们的管理界面。只须要确保特定语种的资源文件可用，你就能够添加新的语种到策略定义集中。
　　同时admx文件会被集中存储在一个建立在sysvol中的域范围的目录。集中存储admx不只能够减小额外的存储要求，最重要的就是，它能够集中地更新和管理admx文件，而再也不须要存放在每个gpo中，从而极大地提升复制的效率并减小带宽占用。同时，ADMX文件与ADM文件相比要明显地减少4兆以上。
　　另外，在组策略工具兼容方面，组策略管理工具能够读取任何存储在本地或是gpo中的adm文件。它确保了vista、Windows Server 2008以及以前版本操做系统在管理上的互操做性。须要注意的就是，对于那些admx文件中才有的策略设置将只可用于windows vista和Windows Server 2008。
ADMX文件在运行环境中的一些重要特性
新的基于Windows Server 2008和Windows Vista的组策略设置只可以经过基于Windows Server 2008和Windows Vista的组策略对象编辑器或者组策略管理控制台来管理使用,利用ADMX文件定义的组策略在Windows Sever 2003, Microsoft Windows® XP, 以及Windows 2000版本上都是没法使用的。不过使用基于Windows Server 2008和Windows Vista的组策略对象编辑器或者组策略管理控制台是能够管理任意操做系统支持的组策略对象的，同时支持与早期操做系统管理工具的协做，例如，存储在GPO中的传统的ADM文件一样能够在新工具中使用。固然这些改变都是基于后台的，实际上，在大多数的状况下，用户并不会在平常的组策略管理工做中注意到ADMX文件的存在。

使用ADMX文件的组策略对象主要分为两类，一类是本地组策略，另外一类则是基于域环境的组策略对象。在编辑本地GPO时，用户必须使用Windows Server 2008或者Windows Vista 计算机来查看ADMX策略设置。而要想建立或者编辑基于域环境的GPO，那么首先须要一个基于DNS名称解析的Windows Server 2008 Windows Server 2003或者是Windows 2000的域。而后再使用Windows Server 2008或者Windows Vista 计算机来查看ADMX策略设置。

 

ADMX 使用场景
本文涉及了两个有关ADMX文件的组策略管理，示例中将为你们展现如何使用ADMX文件编辑会话，基于域的使用场景将展示ADMX文件的集中管理。

 

 

场景1：编辑本地组策略对象管理模板设置
使用ADMX文件编辑组策略管理模板时，首先须要开启组策略编辑器，点击开始菜单，选择Run，键入GPEDIT.msc 组策略编辑器将会自动的读取 %systemroot%\PolicyDefinitions\ 文件夹中存储的全部ADMX文件。用户须要作的就是定位到本身但愿编辑的策略设置上，而后开始编辑，具体的编辑方法与先前版本的组策略没有差异。须要注意的就是，用户依然能够经过Add/Remove Templates菜单选项来添加或者删除ADM文件。在Windows Server 2008和Windows Vista中尚没有一个用户界面来添加，删除ADMX文件。要想添加ADMX文件到组策略编辑会话，能够直接将ADMX文件拷贝到%systemroot%\PolicyDefinitions\文件夹，而后重启组策略对象编辑器。
下面咱们例举Windows Server 2008 组策略中在Windows防火墙方面的改进，以及如何使用策略控制防火墙。按下Windows徽标键+R，打开运行对话框输入secpol.msc并回车，打开Local Security Settings对话框打开Windows Firewall with Advanced Security - Windows Firewall with Advanced Security on Local Computer节点点击打开Inbound Exceptions节点，而后点击鼠标右键，选择Create New Exception选择Port，点击Next选择Specific ports，输入“21”，点击Next保持Action页面的设置不变，但留意这里的全部选项，点击Next保持Profile页面的设置不变，但留意这里的全部选项，点击Next在Name框中输入“FTP Port 21”，而后点击Finish. 点击打开Outbound Exceptions节点，而后点击鼠标右键，选择Create New Exception保持Exception Type页面的设置不变，留意这里的全部选项，点击Next选择Specific Program，接着点击Browse按钮，定位到%windir%\system32目录下，选择ftp.exe文件，点击Open，点击Next选择Block，点击Next，保持Profile页面的设置不变，但留意这里的全部选项，点击Next，在Name框中输入“Block FTP”，而后点击Finish。按下Windows徽标键+R，打开运行对话框，输入“CMD”并回车，打开命令提示行窗口，输入命令“ftp ftp.microsoft.com”，等待出错信息。
场景2：使用ADMX文件编辑基于域的GPOs
该场景中咱们将为你们展现如何在Windows Server 2008和Windows Vista计算机上设置集中定位和升级ADMX文件，管理基于域的组策略对象。
要想完成这个模拟的场景，首先咱们须要一个使用DNS解析的Windows Server 2008，Windows Server 2003 或者Windows 2000的域环境，同时至少有一台基于Windows Server 2008或者Windows Vista的计算机用来管理组策略。
若是用户不选择建立一个ADMX集中存储，那么GPOs的编辑方式将和场景1同样。因此咱们首先要作的就是建立一个ADMX文件的集中存储。

建立一个集中存储
中心存储是一个在组织中每一个域的域控制器的Sysvol文件夹下建立的文件夹结构。用户只需在组织中每一个域的一台域控制器上建立一个中心存储。文件复制服务（File Replication service）会将中心存储中的内容复制到全部域控制器。建议用户在主域控制器上建立中心存储，由于默认来说，组策略管理控制台以及组策略对象编辑器是与主域控制器相链接的。
中心存储由一个根级别的文件夹和不一样的子文件夹组成，这个根文件夹中包括了全部语言无关的ADMX文件，子文件夹则包括特定语言的资源文件。
要想执行这些操做，用户必须做为活动目录中域管理员的成员。在域控制器的%systemroot%\sysvol\domain\policies\PolicyDefinitions 目录建立根文件夹。为组策略管理员使用的每种语言建立一个子文件夹存放在%systemroot%\sysvol\domain\policies\PolicyDefinitions 每一个子文件夹的命名须要按照ISO的标准填写，例如建立一个U.S. English的子文件夹的样式为：%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.
转存ADMX文件的中心存储
在Windows Server 2008 和Windows Vista中并无用于转存和移动中心存储的用户界面。要想实现这些操做必须经过命令行的方式。首先咱们在开始运行中，键入cmd,打开命令提示行工具，使用xcopy命令能够将全部语言无关的ADMX文件从管理工做站上拷贝到域控制的中心存储上。具体格式以下：xcopy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain
%\policies\PolicyDefinitions\ 一样拷贝全部ADMX语言资料文件的命令也是xcopy，只不过具体的格式改成：xcopy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\
在基于域的GPOs下编辑策略设置管理模板 要想编辑基于域的GPOs策略设置管理模板，首先要开启GPMC.msc，而后在Group Policy objects 节点上右击选择New 建立一个新的GPO用来编辑，键入对象名称后点击OK，展开Group Policy objects节点，右击刚刚建立的GPO名称而后点击编辑。组策略对象编辑器将会自动的读取全部中心存储上的ADMX文件，若是没有中心存储，那么组策略编辑器将会读取本地的ADMX文件版本。 和本地组策略编辑同样，用户依然能够经过Add/Remove Templates菜单选项来添加或者删除ADM文件。这个操做一样没有用户界面，要想添加ADMX文件到组策略编辑会话，能够直接将ADMX文件拷贝到%systemroot%\PolicyDefinitions\文件夹，而后重启组策略对象编辑器。 此外，Windows Server 2008 还会在多本地策略方面提供一些全新的内容。用户按下Windows徽标键+R，打开运行对话框输入secpol.msc并回车，打开Local Security Settings对话框，点击OK。展开本地安全设置管理单元窗口左侧的节点到Account Policies - Password Policy，双击打开Enforce password history策略，输入“4”，并回车，修改这一策略根据实际须要修改任意几个其余策略在Security Settings节点上点击鼠标右键，选择“Export Policy”在默认位置为该模板输入文件名“test1.inf”，而后按下回车，这将能够把咱们的当前设置导出成模板文件在Security Settings节点上点击鼠标右键，选择“Import Policy”在打开对话框中选中并双击test1.inf，这样将从新把以前建立的模板文件导入。 从上面的试验咱们不难看出，其实对于用户而言，ADMX文件更多的是在后台工做，经过ADMX文件，不只能够减小额外的存储要求，更大大提升了管理工具的一致性。 虽然如今种类繁多的管理软件层出不穷，当对于70％以上的管理员来说，组策略依然是他们最为驾轻就熟的“管家武器”，相信在操做习惯并不发生太大变化的基础上，Windows Server 2008的组策略加强必然会带给用户更多的便利，更多的惊喜。