共用方式為

管理組策略系統管理範本的建議 (.adm) 檔案

  • 發行項

本文說明 ADM 檔案的運作方式、可用來管理其作業的原則設定,以及如何處理常見 ADM 檔案管理案例的建議。

適用於: Windows Server(所有支援的版本)、Windows 用戶端(所有支援的版本)
原始 KB 編號: 816662

注意

建議您使用比 Windows Vista 更新版本的 Windows,使用中央存放區來管理組策略基礎結構。 即使環境混合了下層客戶端和伺服器,例如執行 Windows XP 或 Windows Server 2003 的電腦,這項建議仍成立。 Windows Vista 會使用採用 ADMX 和 ADML 檔案來管理組策略範本的新模型。

如需詳細資訊,請造訪下列網站:

如果您必須使用 Windows XP 型或 Windows Server 2003 型電腦來管理組策略基礎結構,請參閱本文中的建議。

ADM 檔案簡介

ADM 檔案是組策略用來描述登錄原則設定儲存在登錄中的範本檔案。 ADM 檔案也會描述系統管理員在組策略對象編輯器嵌入式管理單元中看到的使用者介面。 系統管理員建立或修改組策略物件 (GPO) 時,會使用組策略對象編輯器。

ADM 檔案記憶體和預設值

在每個域控制器的 Sysvol 資料夾中,每個網域 GPO 都會維護單一資料夾,而此資料夾名為組策略範本 (GPT)。 GPT 會儲存上次建立或編輯 GPO 時,組策略物件編輯器中使用的所有 ADM 檔案。

每個作業系統都包含一組標準 ADM 檔案。 這些標準檔案是組策略對象編輯器所載入的預設檔案。 例如,Windows Server 2003 包含下列 ADM 檔案:

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

自訂ADM檔案

程序開發人員或 IT 專業人員可以建立自訂 ADM 檔案,以將登錄型原則設定的使用延伸至新的程式和元件。

注意

程式與元件必須經過設計和編碼,才能辨識和回應ADM檔案中所述的原則設定。

若要在組策略物件編輯器中載入 ADM 檔案,請遵循下列步驟:

  1. 啟動組策略物件編輯器。

  2. 在 [系統管理範本] 上按一下滑鼠右鍵,然後按一下 [新增/移除範本]

    注意

    系統管理範本可在 [計算機] 或 [用戶設定] 下取得。 選取自定義範本的正確設定。

  3. 按一下新增

  4. 按兩下 ADM 檔案,然後按兩下 [ 開啟]。

  5. 按一下 [關閉] 。

  6. 自訂ADM檔案原則設定現在可在組策略物件編輯器中使用。

更新 ADM 檔案和時間戳

用來執行組策略物件編輯器的每個系統管理工作站都會將ADM檔案儲存在 %windir%\Inf 資料夾中。 建立並第一次編輯 GPO 時,此資料夾中的 ADM 檔案會複製到 GPT 中的 Adm 子資料夾。 這包括標準 ADM 檔案和系統管理員新增的任何自定義 ADM 檔案。

注意

建立 GPO 而不需要稍後編輯 GPO,該 GPO 會建立不含任何 ADM 檔案的 GPT。

根據預設,編輯 GPO 時,組策略對象編輯器會比較工作站 %windir%\Inf 資料夾中 ADM 檔案的時間戳,以及儲存在 GPTs Adm 資料夾中的時間戳。 如果工作站的檔案較新,組策略對象編輯器會將這些檔案複製到 GPT Adm 資料夾,並覆寫相同名稱的任何現有檔案。 不論系統管理員是否真的編輯 GPO,在組策略對象編輯器中選取 [系統管理範本] 節點(計算機或使用者設定)時,就會發生這項比較。

注意

您可以在組策略物件編輯器中檢視 GPO,以更新儲存在 GPT 中的 ADM 檔案。

由於 ADM 檔案管理上時間戳的重要性,因此不建議編輯系統提供的 ADM 檔案。 如果需要新的原則設定,Microsoft建議您建立自定義的 ADM 檔案。 這可防止在發行 Service Pack 時取代系統提供的 ADM 檔案。

群組原則管理主控台

根據預設,組策略管理主控台 (GPMC) 一律會使用本機 ADM 檔案,不論其時間戳為何,而且永遠不會將 ADM 檔案複製到 Sysvol。 如果找不到 ADM 檔案,GPMC 會在 GPT 中尋找 ADM 檔案。 此外,GPMC 使用者可以指定 ADM 檔案的替代位置。 如果指定了替代位置,則此替代位置優先。

GPO 複寫

檔案復寫服務 (FRS) 會在整個網域中複寫 GPO 的 GPO。 在 GPT 中,Adm 子資料夾會復寫到網域中的所有域控制器。 因為每個 GPO 都會儲存多個 ADM 檔案,而且有些檔案可能相當大,因此您必須了解當您使用組策略對象編輯器時新增或更新的 ADM 檔案如何影響復寫流量。

使用原則設定來控制ADM檔案更新

可用來協助管理 ADM 檔案的兩個原則設定區域。 這些設定可讓系統管理員微調特定環境 ADM 檔案的使用方式。 這些是「關閉 ADM 檔案的自動更新」和「一律針對組策略編輯器使用本機 ADM 檔案」設定。

關閉 ADM 檔案的自動更新

此原則設定可在 Windows Server 2003、Windows XP 和 Windows 2000 的使用者設定\系統\組策略下取得。 此設定可套用至任何已啟用組策略的用戶端。

一律使用組策略編輯器的本機 ADM 檔案

此原則設定可在 [計算機設定\系統管理範本\系統\組策略] 下取得。 這是新的原則設定。 它可能只成功套用至 Windows Server 2003 用戶端。 此設定可能會部署到較舊的用戶端,但不會影響其行為。 如果啟用此設定,當您編輯組策略物件時,組策略對象編輯器一律會在本機系統 %windir%\Inf 資料夾中使用本機 ADM 檔案。

注意

如果啟用此原則設定,則會隱含關閉 ADM 檔案原則設定的自動更新。

多語言管理問題的常見案例和建議

在某些環境中,原則設定可能必須以不同語言呈現給使用者介面。 例如,美國 中的系統管理員可能想要以英文檢視特定 GPO 的原則設定,而法國的系統管理員可能會想要使用法文作為慣用語言來檢視相同的 GPO。 因為 GPT 只能儲存一組 ADM 檔案,所以您無法使用 GPT 來儲存這兩種語言的 ADM 檔案。

針對 Windows 2000,不支援使用組策略物件編輯器的本機 ADM 檔案。 若要解決此問題,請使用「關閉 ADM 檔案的自動更新」原則設定。 由於此原則設定不會影響新 GPO 的建立,因此本機 ADM 檔案將會上傳至 Windows 2000 中的 GPT,並在 Windows 2000 中建立 GPO 有效地定義「GPO 的語言」。 如果 「關閉 ADM 檔案的自動更新」原則設定在所有 Windows 2000 工作站上生效,GPT 中的 ADM 檔案語言將會由用來建立 GPO 的電腦語言定義。

對於使用 Windows XP 和 Windows Server 2003 的系統管理員,可以使用「一律使用組策略編輯器的本機 ADM 檔案」原則設定。 無論儲存在 GPT 中的 ADM 檔案為何,法國系統管理員都能使用本機安裝於其工作站上的 ADM 檔案來檢視原則設定。 當您使用此原則設定時,表示已啟用「關閉 ADM 檔案自動更新」原則設定,以避免對 GPT 進行不必要的 ADM 檔案更新。

此外,請考慮在多語言系統管理環境中,針對系統管理工作站Microsoft的最新操作系統進行標準化。 然後設定「一律使用組策略編輯器的本機 ADM 檔案」和「關閉 ADM 檔案的自動更新」原則設定。

如果使用 Windows 2000 工作站,請使用系統管理員的「關閉 ADM 檔案的自動更新」原則設定,並將 GPT 中的 ADM 檔案視為所有 Windows 2000 工作站的有效語言。

注意

Windows XP 工作站可能仍會使用其本機語言特定版本。

操作系統和 Service Pack 發行問題的常見案例和建議

每個操作系統或 Service Pack 版本都包含舊版所提供的 ADM 檔案超集,包括與新版本不同之作業系統特有的原則設定。 例如,隨附於 Windows Server 2003 的 ADM 檔案包含所有作業系統的所有原則設定,包括僅與 Windows 2000 或 Windows XP Professional 相關的原則設定。 這表示只有從具有新版本操作系統或 Service Pack 的電腦檢視 GPO,才能有效地升級 ADM 檔案。 由於較新版本通常是先前 ADM 檔案的超集,這通常不會造成問題,因為假設使用的 ADM 檔案尚未編輯。

在某些情況下,操作系統或 Service Pack 版本可能包含先前版本所提供的 ADM 檔案子集。 這可能會呈現先前的 ADM 檔案子集,導致系統管理員在使用組策略對象編輯器時不再看到原則設定。 不過,原則設定將會保留在 GPO 中。 只有組策略對象編輯器中原則設定的可見度會受到影響。 組策略物件編輯器中看不到任何作用中 (啟用或停用) 原則設定,但仍保持作用中。 因為看不到這些設定,所以系統管理員無法檢視或編輯這些原則設定。 若要解決此問題,系統管理員必須先熟悉每個操作系統或 Service Pack 版本隨附的 ADM 檔案,才能在該操作系統上使用組策略對象編輯器,請記住檢視 GPO 的行為足以在 GPT 中更新 ADM 檔案,當時間戳比較判斷更新是否適當時。

若要在您的環境中規劃此專案,Microsoft建議您:

  • 定義標準操作系統/Service Pack,所有 GPO 的檢視和編輯都會從中執行,確定所使用的 ADM 檔案包含所有平台的原則設定。

  • 使用所有組策略系統管理員的「關閉 ADM 檔案自動更新」原則設定,以確定任何組策略對象編輯器會話都不會覆寫 GPT 中的 ADM 檔案,並確定您使用可從Microsoft取得的最新 ADM 檔案。

注意

組策略編輯器的「一律使用本機 ADM 檔案」原則通常用於此原則,當組策略對象編輯器執行所在的操作系統支援此原則時。

從 Sysvol 資料夾移除 ADM 檔案

根據預設,ADM 檔案會儲存在 GPT 中,這可大幅增加 Sysvol 資料夾大小。 此外,經常編輯 GPO 可能會導致大量的復寫流量。 使用「關閉 ADM 檔案的自動更新」和「一律針對組策略編輯器使用本機 ADM 檔案」原則設定的組合,可大幅減少 Sysvol 資料夾的大小,並減少發生大量原則編輯的原則相關復寫流量。

如果 Sysvol 磁碟區或組策略相關複寫流量的大小變得有問題,請考慮實作 Sysvol 不會儲存任何 ADM 檔案的環境。 或者考慮在系統管理工作站上維護ADM檔案。 下一節將說明此程式。

若要清除 ADM 檔案的 Sysvol 資料夾,請遵循下列步驟:

  1. 為所有將編輯 GPO 的組策略系統管理員啟用「關閉 ADM 檔案自動更新」原則設定。
  2. 請確定已套用此原則。
  3. 將任何自定義 ADM 範本複製到 %windir%\Inf 資料夾。
  4. 編輯現有的 GPO,然後從 GPT 移除所有 ADM 檔案。 若要這樣做,請以滑鼠右鍵按兩下 [系統管理範本],然後按兩下 [ 新增/移除範本]。
  5. 為系統管理工作站啟用 [一律使用本機 ADM 檔案進行組策略對象編輯] 原則設定。

在系統管理工作站上維護ADM檔案

當您針對組策略編輯器使用[一律使用本機 ADM 檔案] 原則設定時,請確定每個工作站都有最新版的默認和自定義 ADM 檔案。 如果所有 ADM 檔案都無法在本機使用,系統管理員將無法看見 GPO 中包含的某些原則設定。 為所有系統管理員實作標準操作系統和 Service Pack 版本來避免這種情況。 如果您無法使用標準操作系統和 Service Pack,請實作程式,將最新的 ADM 檔案散發至所有系統管理工作站。

注意

  • 由於工作站 ADM 檔案會儲存在 %windir%\Inf 資料夾中,因此任何用來散發這些檔案的程式都必須在工作站上具有系統管理認證的帳戶內容中執行。
  • 當 Sysvol 資料夾中沒有 ADM 檔案時,Windows XP 不支援編輯 GPO。 在即時環境中,您必須考慮此設計限制。