我基本上对组策略一无所知,除了偶尔使用本地 Windows 计算机上的本地组策略编辑器编辑一些设置。我确实有通过 regedit 直接或通过合并文件应用注册表更改的经验。我想知道组策略管理模板(文件)在概念上与注册表文件.reg
有多相似。.admx
是否可以编写一个包含要调整的设置的管理模板文件,将该文件复制到另一台计算机,然后当有人双击它时,它实际上会“安装”该设置?这就是注册表文件的作用;我想知道组策略文件是否以相同的基本方式运行。
如果他们这样做,我该如何制作 ADMX 文件来编辑单个组策略设置?特别是,我试图将以下策略设置为“禁用”(以编程方式):
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Configure Automatic Updates
答案1
你的概念是错误的。ADM/ADMX 文件与注册表中的导出完全不同。
管理模板(旧式 ADM 和新式 ADMX 文件)用于驱动组策略编辑器中的用户界面。它们定义了能需要管理的是设置,而不是设置本身。这些设置相当于注册表值,当客户端计算机处理组策略时,管理模板客户端扩展 (CSE) 会自动将其添加到客户端计算机(或用户配置文件)的注册表中。
我认为您不想创建 ADMX 文件。相反,我认为您只想以与 CSE 设置相同的方式设置特定的注册表值。我倾向于认为您可能在没有组策略的环境中工作,并且希望将设置应用于独立计算机。(如果不是这种情况,您应该只使用组策略。)
对于你正在寻找的特定设置,你可能只需要研究使用注册表设置管理自动更新客户端创建一个可以完成您想要的操作的注册表合并。
对于更模糊的设置,你可以了解ADMX 文件架构以便您可以自己通读 ADMX 文件来了解特定 ADMX 设置实际上操纵的注册表值。
答案2
.admx 文件以 XML 格式编写,包含组策略管理控制台可以读取的设置。然后,组策略将这些设置转换为注册表项(在应用策略之前可能不存在)。
Windows 更新设置在 中生效HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
。当我在没有 AD 的环境中工作时,我曾经通过第三方配置工具手动部署这些密钥,尽管 XP 比 7 及更高版本更可靠。由于您尝试禁用更新,因此您不需要我通常关于 SusClientID 和 PingID 的免责声明。;) 您应该能够通过导入注册表文件或使用您选择的脚本语言来更改这些设置。
我将要不过,需要注意的是,我希望您打算通过其他方式修补系统。
答案3
正如前面提到的,ADMX 文件包含规则定义,而不是设置本身。但是,如果没有 AD,您可以将这些设置转移到另一台计算机:
- 启动组策略编辑器并配置所需设置
- 将 \Windows\System32\GroupPolicy 文件夹内容复制到另一台计算机(同一文件夹)
- 在目标计算机上运行 gpupdate /force
应应用组策略设置。