我遇到过这样的情况:2 个 DC 的 ADMX 模板指向其本地计算机。但是,我发现 1 个 ADMX 模板非常旧,例如 2013 年的,而其他 ADMX 模板非常新,例如 2017 年的。
那么,如果我使用较新的 ADMX 模板创建新的 GPO(使用仅在新模板中可用的功能),当 GPO 同步到具有较旧模板的其他 DC 时会发生什么?GPO 会在客户端 PC 上正常运行吗?
提前致谢。
答案1
组策略模板会影响您查看和管理组策略设置的方式。它们不会影响计算机或用户的组策略应用。如果您不使用组策略中央存储,则某些 DC 可能无法看到 GPO 中的所有设置,因此无法管理这些设置。
答案2
ADMX 模板仅由组策略编辑器使用,以友好的方式向您显示设置。
当您关闭组策略编辑器时,您在 GUI 中选择的选项将存储为注册表值(或根据插件的不同而采用的各种格式)。
因此,当策略同步时不会发生任何不好的事情(数据采用“独立”格式,客户端不需要 admx 模板来确定应应用哪些设置)。
但是,如果使用旧模板在 DC 上打开策略编辑器,则将无法在 GUI 中查看/编辑设置,此外,如果由此 DC 生成此警告,则该警告将显示在 GPO HTML 报告中:
我强烈建议创建一个GPO 管理模板的中央存储,使用中央存储,您无需使用组策略管理控制台更新每个 DC/计算机上的 ADMX 模板
中央存储是组策略工具默认检查的文件位置。组策略工具使用中央存储中的所有 .admx 文件。中央存储中的文件将复制到域中的所有域控制器。