Central Store für Administrative Vorlagen

Aktualisierung, Textänderungen durch Mark Heitbrink

Historisches

Bis Windows XP bzw. 2003 wurden .adm Dateien genutzt, um die einzelnen Policy Vorlagen bereitzustellen. Diese Vorlagen gibt es von Seiten der Softwarehersteller, für deren Produkte sie die Einstellungen liefern. Für viele Administratoren inzwischen zum Allgemeinwissen geworden, dass sich mittels GPOs Einstellungen innerhalb der Registry schnell und zuverlässig auf die Computer verteilen lassen, und sie haben deshalb eine Vielzahl an individuellen adm-Vorlagen geschrieben.

Wurde also bisher ein neues Gruppenrichtlinienobjekt angelegt, kopierte der Gruppenrichtlinieneditor bei der ersten Bearbeitung die Standard-adms in einen Unterordner innerhalb des Sysvol-Verzeichnisses:

• conf.adm
• inetres.adm
• system.adm
• wuau.adm
• wmplayer.adm

Diese 5 Dateien liegen in jeder Gruppenrichtlinie im SYSVOL, mehr Redundanz gegen Verlust kann man kaum erreichen ;-) Das führt dazu, dass der Sysvol-Ordner sich entsprechend aufbläht. Die Empfehlung lautet also, die nicht benötigten adm-Dateien manuell wieder zu entfernen. Am Beispiel der system.adm und inetres.adm kann man erkennen, das Microsoft selbst mit so einem Wachstum nicht gerechnet hat. War die system.adm in Windows 2000 noch ca. 600 KB groß, ist sie nun bei 1900KB. Die inetres.adm ist mittlerweile auf 2900KB angewachsen.

How to minimize SYSVOL size by removing administrative templates (.adm files)
oder auch
Recommendations for managing Group Policy administrative template (.adm) files

Praktisch bedeutet dies, dass pro GPO fast. 5MB in das SYSVOL-Verzeichnis kopiert werden, und auf andere Domain Controller repliziert werden müssen.

Rechenbeispiel:

• bisher 100 GPOs ? ca. 500MB nur für die Administrativen Vorlagen
• jetzt 100 GPOs ? ca. 8 MB (Vista RTM .admx) mit einer Sprache (pro Sprache ca. 2MB zusätzlich)

Der alte GP Editor (GPMC bis 2003) kennt ein automatisches Update Verhalten, das beim Start prüft, ob die 5 Standard ADM Dateien, die im lokalen %systemroot%\inf liegen neuer sind, als die, die schon in der GPO integriert sein. Sind sie neuer, werden sie automatisch hochgeladen. In multilingualen Domänenumgebungen hat man nun oft das Problem, dass ein französischer Administrator die französischen Vorlagen nutzen wollte, bzw. der GP-Editor diese automatisch in das Gruppenrichtlinienobjekt kopierte, da das Dateidatum neuer war, als das der bereits vorhandenen adm-Dateien. Der deutsche Administrator bekommt dann eine Ansicht, die die Administrativen Vorlagen in verschiedensten Sprachen darstellt.

Heute (seit Vista)

Diese Probleme hat Microsoft mit der Einführung von Windows Vista und dem neuen Vorlagenformat gelöst. Zum einen werden keine ADMx Dateien mehr PRO GPO verwaltet, sondern entweder nur die lokalen auf dem Computer vorhandenen oder die in einem zentral definierten Speicherort (Central Store). Es wird immer die Sprache des GPeditors verwendet, solange die notwendigen ADMl (ADM Language) Dateien vorliegen.

Im sogenannten Central Store werden die Vorlagendateien (.admx) und die zu verwendenden Sprachdateien (.adml) gespeichert. Hierzu wird ein fest definierter Ordner namens PolicyDefinitions unterhalb des SYSVOL-Ordners (\\FQDN\SYSVOL\FQDN\policies) angelegt. Der Name und Pfad sind hardcodiert. In diesen werden die admx/adml-Dateien kopiert.

Innerhalb des PolicyDefinitions-Ordners wird mindestens ein Ordner angelegt, der die entsprechenden Sprachdateien (.adml) enthält. Bspw. für die deutsche Sprache der Ordner „de-DE“ oder für Englisch der Ordner „en-US“.

Vorrteil dieser Trennung ist die Verwendung der durch den Administrator vorgegebenen Sprachen, unabhängig von der Systemsprache der Adminworkstation. Die Sprachen werden aus dem Central Store bezogen. Wird also nur der Ordner „de-DE“ angelegt, kann auch der französische Admin nur mit den deutschen Beschreibungen arbeiten, unabhängig davon, ob er ein französisches Vista benutzt oder nicht.

Trotz Central store, die lokalen PolicyDefinitions verwenden:
An update is available to enable the use of Local ADMX files for Group Policy Editor

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy
EnableLocalStoreOverride=1 (Reg_Dword)

Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?

Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren

Oder man automatisiert es per Script:
Schönen Dank an Nils Kaczenski

----- createCentralStore.bat -----
if not exist %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\. md %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions
if not exist %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE\. md %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE
copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions
copy %systemroot%\PolicyDefinitions\de-DE\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\de-DE
----- createCentralStore.bat -----

Die Windows Vista (RTM) GPMC oder die zusätzlich für Vista SP1 installierbare GPMC aus dem RSAT, liest die vorher in den Central Store kopierten .admx und .adml Dateien und stellt diese dar.

ACHTUNG:
Der Central Store unterstützt keine .adm Dateien, sondern diese werden wie bisher im jeweiligen Adm Unterordner pro GPO gespeichert. In Enterpriseumgebungen kann dies ein Grund sein, seine selbstgeschriebenen Vorlagen in das neue admx Format zu übersetzen.

How to create a Central Store for Group Policy Administrative Templates in Window Vista