Central Store - PolicyDefinitions

Central Store - PolicyDefinitions
Autor: Norbert Fehlauer

Seit Windows Vista gibt es für administrative Vorlagen das neue Dateiformat .admx und .adml. Dazu wird es auf www.gruppenrichtlinien.de in absehbarer Zeit sicher auch mehr Infos geben. ;)

Bis Windows XP bzw. 2003 wurden .adm Dateien genutzt, um die einzelnen Policy Vorlagen bereitzustellen. Diese Vorlagen gibt es von Seiten der Softwarehersteller, für deren Produkte sie die Einstellungen liefern. Für viele Administratoren inzwischen zum Allgemeinwissen geworden, dass sich mittels GPOs Einstellungen innerhalb der Registry schnell und zuverlässig auf die Computer verteilen lassen, und sie haben deshalb eine Vielzahl an individuellen adm-Vorlagen geschrieben.

Wurde also bisher ein neues Gruppenrichtlinienobjekt angelegt, kopierte der Gruppenrichtlinieneditor bei der ersten Bearbeitung die Standard-adms in einen Unterordner innerhalb des Sysvol-Verzeichnisses.

Abbildung 1: Standard adm-Dateien in einem neuangelegten Gruppenrichtlinienobjekt

Das führt dazu, dass der Sysvol-Ordner sich entsprechend aufblähte. Die Empfehlung lautete also, die nicht benötigten adm-Dateien manuell wieder zu entfernen.

How to minimize SYSVOL size by removing administrative templates (.adm files)
http://support.microsoft.com/kb/813338/en-us

oder auch
Recommendations for managing Group Policy administrative template (.adm) files
http://support.microsoft.com/kb/816662/en-us

Praktisch bedeutet dies, dass pro GPO ca. 4MB in das SYSVOL-Verzeichnis kopiert werden, und auf andere Domain Controller repliziert werden müssen.

Rechenbeispiel:
bisher 100 GPOs ≙ ca. 400MB nur für die Administrativen Vorlagen
jetzt 100 GPOs ≙ ca. 7 MB (Vista RTM .admx) mit einer Sprache (pro Sprache ca. 2MB zusätzlich)

Zusätzlich kam in multilingualen Domänenumgebungen oft das Problem hinzu, dass ein französischer Administrator die französischen Vorlagen nutzen wollte, bzw. der GP-Editor diese automatisch in das Gruppenrichtlinienobjekt kopierte, da das Dateidatum neuer war, als das der bereits vorhandenen adm-Dateien. Der deutsche Administrator bekommt dann eine Ansicht, wie sie in Abbildung 2 exemplarisch für ein deutsch/englisches System darstellt.

Abbildung 2: Sprachengemisch durch multilinguale Administrationsworkstations

Beide Probleme hat Microsoft mit Windows Vista und dem neuen Vorlagenformat gelöst.
Im sogenannten Central Store werden die Vorlagendateien (.admx) und die zu verwendenden Sprachdateien (.adml) gespeichert. Hierzu wird ein fest definierter Ordner (PolicyDefinitions) innerhalb des SYSVOL-Ordners (\\FQDN\SYSVOL\FQDN\policies) angelegt.

Abbildung 3: PolicyDefinitions-Ordner im SYSVOL

In diesen werden die admx-Dateien kopiert. Innerhalb des PolicyDefinitions-Ordners wird mindestens ein Ordner angelegt, der die entsprechenden Sprachdateien (.adml) enthält. Bspw. für die deutsche Sprache der Ordner „de-DE“ oder für Englisch der Ordner „en-US“.

Abbildung 4: Inhalt des PolicyDefinitions-Ordners

Vorteil dieser Trennung ist die Verwendung der durch den Administrator vorgegebenen Sprachen, unabhängig von der Systemsprache der Adminworkstation. Die Sprachen werden aus dem Central Store bezogen. Wird also nur der Ordner „de-DE“ angelegt, kann auch der französische Admin nur mit den deutschen Beschreibungen arbeiten, unabhängig davon, ob er ein französisches Vista benutzt oder nicht.

Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?

Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren

Oder man automatisiert es per Script:
Schönen Dank an Nils Kaczenski
http://www.kaczenski.de/2006/10/22/ix-112006-des-admins-diva/#more-40

----- createCentralStore.bat -----
if not exist %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\. md %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions
if not exist %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE\. md %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE
copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions
copy %systemroot%\PolicyDefinitions\de-DE\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE
----- createCentralStore.bat -----

Die Windows Vista (RTM) GPMC oder die zusätzlich für Vista SP1 installierbare GPMC aus dem RSAT, liest die vorher in den Central Store kopierten .admx und .adml Dateien und stellt diese dar.

Abbildung 5: Vista GPMC mit aus dem Central Store bezogenen Einstellungen

ACHTUNG:
Der Central Store unterstützt keine .adm Dateien, sondern diese werden wie bisher im jeweiligen Adm Unterordner pro GPO gespeichert. In Enterpriseumgebungen kann dies ein Grund sein, seine selbstgeschriebenen Vorlagen in das neue admx Format zu übersetzen. Hierbei hilft das von MS bereitgestellte Tool:

ADMX Migrator
http://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-4B5F-9625-97C2F731090C&displaylang=en

Sicherlich werden über kurz oder lang auch einige .admx Dateien inklusive der deutschen .adml Dateien ihren Weg auf www.gruppenrichtlinien.de finden.

Das Service Pack 1 für Windows Vista deinstalliert die integrierte GPMC. Um trotzdem Gruppenrichtlinien administrieren zu können ist das Microsoft Remote Server Administration Tools for Windows Vista SP1, kurz RSAT, notwendig. Dieses kann unter folgendem Link heruntergeladen werden.

Microsoft Remoteserver-Verwaltungstools für Windows Vista SP1 32-Bit Edition (KB941314)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=9ff6e897-23ce-4a36-b7fc-d52065de9960

Microsoft Remoteserver-Verwaltungstools für Windows Vista SP1 64-Bit Edition (KB941314)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=d647a60b-63fd-4ac5-9243-bd3c497d2bc5

Grundlage für diesen Beitrag war der MSKB Artikel
How to create a Central Store for Group Policy Administrative Templates in Window Vista
http://support.microsoft.com/kb/929841/en-us