none
Хранение административных шаблонов. RRS feed

  • Вопрос

  • Доброго времени суток.
    Есть несколько вопросов по централизованному хранению административных шаблонов в win 2008R2, возникших после прочтения статьи [URL="http://www.winsecurity.ru/articles/adm-template-repository.html"]статьи Дерека Мелбера[/URL] и [URL="http://support.microsoft.com/kb/929841"]статьи на суппорте MS[/URL] по хранению шаблонов нового стандарта admx. Помогите кто чем может:
    1. судя по статье Мелбера в системах пре win 2008/vista (при использовании .adm шаблонов) после создания объекта групповой политики, при первом редактировании оного, все шаблоны копировались в GPT каждого объекта в C:\Windows\SYSVOL\sysvol\domain.name\Policies\... и если править объекты с клиентской машины (через gpmc.msc), то сверялись метки дат шаблонов и если шаблоны на машине, выполняющей администрировании более новые, то они копировались в GPT на контроллере домена - я правильно понял?
    2. Вопрос по поводу централизованного хранилища в 2008R2: без использования оного нужно было складывать шаблоны (я использовал admx для управления браузерами chrome и mozilla, в частности для назначения прокси), так вот я складывал их в C:\Windows\PolicyDefinitions, а adml в C:\Windows\PolicyDefinitions\ru-RU, на втором домен-контроллере я этого не делал, и в соответствующем объекте групповых политик было пусто в ветках, отвечающих за chrome и mozilla. Прочитав статью на Support MS о централизованных хранилищах, я решил что создав каталог %windir%\SYSVOL\Domain.name\policies\PolicyDefinitions я получу действительно централизованное хранилище, и шаблоны будут доступны всем домен-контроллерам домена - похоже я ошибся и шаблоны все же нужно распространять на всех домен-контроллерах, в таком случае в чем смысл создания этого хранилища, ведь по сути это тоже самое что и C:\Windows\PolicyDefinitions? 
    3. При создании хранилища в него стоит помещать только шаблоны не стандартные (например для управления браузерами) или вообще все из %windir%\PolicyDefinitions?
    4. При использовании шаблонов adm типа нормально что для каждого объекта групповой политики нужно добавлять его вручную (пкм Административные шаблоны-добавить)? Например при использовании admx и помещении их в C:\Windows\PolicyDefinitions при создании объекта gpo нужные ветки настроек уже есть.
    5. При использовании редактора gpo на машине выполняющей администрирование (не DC), куда поместить шаблоны, чтобы нужные настройки были видны при редактировании объекта?

    Спасибо заранее.
    14 октября 2013 г. 4:58

Ответы

  • Добрый день.

    1. Да

    2. После репликации файлы будут доступны на всех контроллерах -- подробнее -- The files that are in the Central Store are later replicated to all domain controllers in the domain.

    http://support.microsoft.com/kb/929841/ru#top

    3. Все

    4. Не совсем понял что имеет ввиду , вообще используют конвертер чтобы не маятся с adm -- http://technet.microsoft.com/en-us/magazine/2008.02.utilityspotlight.aspx

    Пожалуйста уберите синий фон текста, очень тяжело читать ваши сообщения


    Печенкин Николай

    14 октября 2013 г. 5:16
  • Добрый день.

    1. Проверьте на вин 7 будет ли нормально. Файлы шаблонов разные для вин 7 и вин 8, возможно ошибка из за этого. Скачать можно отсюда -http://blogs.technet.com/b/craigf/archive/2012/08/28/upgrading-the-admx-central-store-files-from-windows-7-2008r2-to-windows-8-2012.aspx

    2. Но коммент, надо читать документацию и смотреть шаблоны. Первое что бросается в глаза --- ADMX Migrator работает под Windows XP SP2, Windows Server® 2003 SP1 и Windows Vista. Я так понимаю запускался не на этих системах.


    Печенкин Николай

    15 октября 2013 г. 4:22

Все ответы

  • Добрый день.

    1. Да

    2. После репликации файлы будут доступны на всех контроллерах -- подробнее -- The files that are in the Central Store are later replicated to all domain controllers in the domain.

    http://support.microsoft.com/kb/929841/ru#top

    3. Все

    4. Не совсем понял что имеет ввиду , вообще используют конвертер чтобы не маятся с adm -- http://technet.microsoft.com/en-us/magazine/2008.02.utilityspotlight.aspx

    Пожалуйста уберите синий фон текста, очень тяжело читать ваши сообщения


    Печенкин Николай

    14 октября 2013 г. 5:16
  • 2. Хм, просто спрашивал у товарища который создавал такое централизованное хранилище, у него шаблоны на 2й контроллер не реплицировались, я правильно понял, что достаточно лишь создать каталог %windir%\SYSVOL\Domain.Name\policies\PolicyDefinitions и внутри еще en-EN и ru-RU для adml файлов и поместить туда все файлы из %windir%\PolicyDefinitions и необходимые нестандартные шаблоны и репликация будет?

    4. Можно объяснить на примере что я имел в виду: есть adm шаблон для закрытия возможности использования usb накопителей, расположил шаблон в %windir%\PolicyDefinitions, создал объект gpo, но в нем нет ветки нужных мне настроек, поставляемых шаблоном, нужно было сделать ПКМ по "административным шаблоном" - добавить, выбрать шаблон на диске и добавить его, только после этого ветка настроек появлялась в "административные шаблоны/классические шаблоны", и так нужно было делать для каждого созданного объекта gpo если мне нужна была эта ветка настроек, но видимо теперь это не проблема, спасибо за совет про adm->admx migrator, сейчас его опробую.

    5. По поводу того, куда на клиентской машине, осуществляющей администрирование gpmc.msc, положить шаблоны, подскажете?

    P.S. за синий фон извиняюсь, это просто копипаста с моей темы на осзоне, там фон по дефолту такой.

    14 октября 2013 г. 6:56
  • Пытаюсь сконвертировать adm шаблон в admx уже минут 30, видимо что-то пошло не так.

    Шаблон:

    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
      POLICY !!policynameusb
       KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
       EXPLAIN !!explaintextusb
         PART !!labeltextusb DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamecd
       KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
       EXPLAIN !!explaintextcd
         PART !!labeltextcd DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 1 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynameflpy
       KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
       EXPLAIN !!explaintextflpy
         PART !!labeltextflpy DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamels120
       KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
       EXPLAIN !!explaintextls120
         PART !!labeltextls120 DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Custom Policy Settings"
    categoryname="Restrict Drives"
    policynameusb="Disable USB"
    policynamecd="Disable CD-ROM"
    policynameflpy="Disable Floppy"
    policynamels120="Disable High Capacity Floppy"
    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
    explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
    explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
    explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
    labeltextusb="Disable USB Ports"
    labeltextcd="Disable CD-ROM Drive"
    labeltextflpy="Disable Floppy Drive"
    labeltextls120="Disable High Capacity Floppy Drive"
    Enabled="Enabled"
    Disabled="Disabled"

    14 октября 2013 г. 7:58
  • 1.Централизованное хранилище работает, контроллеры обращаются к нему при переходе в Административные шаблоны, но при запуске gpmc на клиентской машине (win8) возникает множество ошибок такого типа http://www.imageup.ru/img86/1523211/admx-error.png.html, не понятно почему не может обнаружить шаблоны. Win 8 не полностью русская, была русифицирована после установки, и некоторые mmc английские, но ведь мало вероятно что в этом проблема, adml файлы есть.

    2. admxMigrator так и не заработал, пробовал на нескольких шаблонах adm - процесс конвертации висит, один из шаблонов ждал 2 часа - никакого эффекта, завершил вручную. Пробовал запускать на win7 sp1 x64, win8 x64.

    15 октября 2013 г. 4:13
  • Добрый день.

    1. Проверьте на вин 7 будет ли нормально. Файлы шаблонов разные для вин 7 и вин 8, возможно ошибка из за этого. Скачать можно отсюда -http://blogs.technet.com/b/craigf/archive/2012/08/28/upgrading-the-admx-central-store-files-from-windows-7-2008r2-to-windows-8-2012.aspx

    2. Но коммент, надо читать документацию и смотреть шаблоны. Первое что бросается в глаза --- ADMX Migrator работает под Windows XP SP2, Windows Server® 2003 SP1 и Windows Vista. Я так понимаю запускался не на этих системах.


    Печенкин Николай

    15 октября 2013 г. 4:22
  • 1. Да, действительно на win 7 работает нормально, получается если скачать шаблоны для win 2012 / 8 - они не подойдут для win 2008R2, и вообще не предусмотрено администрирование групповых политик домена на 2008 со станции win 8? Т.е. win 2008 будьте добры администрируйте с win7, а win 2012 с win 8?
    2. ADMX Migrator заработал на win 2008, нужно было сразу попробовать. 
    16 октября 2013 г. 8:31