我的客户域名有各种2012R2、2016 和 2019 Windows Server版本。四个域控制器中有两个运行 Windows 2012R2,并且 ADMX 文件多年没有更新了。另外两个域控制器是 Windows 2019,并且已分配 FSMO 角色。
我希望所有 2012 实例(包括 DC)都能很快退役。由于 ADMX 文件多年未更新,我无法将某些 GPO 应用于 2016 和 2019 实例,这很快就会成为一个安全问题。由于我的环境将包括 2016 年和 2019 年的服务器, 是什么我应该使用的最佳策略或方法来更新 ADMX 文件?
据我所知,大多数人建议中央策略定义存储但我不确定这是否是个好主意,因为我正在运行多个操作系统版本在我的环境中。是否有任何其他方法更新 ADMX 文件时我应该考虑我的环境的组成吗?
如果我不使用中央商店选项,我是否需要将 ADMX 文件下载到C:\Windows\PolicyDefinitions文件夹本地在各个域控制器以便将最新设置应用于 GPO,或者我必须将 ADMX 文件下载到 C:\Windows\PolicyDefinitions所有域成员/服务器为了让服务器接收更新的 gpo 设置?
我从来没有更新过 ADMX 文件,因此非常感谢任何建议,谢谢!
答案1
关于管理模板 (ADMX),有一个关键点需要理解:
更新管理模板不会更改您部署的 GPO 中的任何内容:组策略管理会读取 ADMX安慰(或者在生成报告时使用 gpresult)向人类显示设置(显示设置列表、描述……)。就是这样!
示例:考虑以下场景:
您使用 2011 年的 ADMX 模板创建新的 GPO,并部署此 GPO。
现在,假设您将 ADMX 模板更新为较新的版本,并且假设 Microsoft 从较新的 ADMX 文件中删除了您之前使用较旧的 ADMX 模板文件设置的一些较旧的 2011 年设置:
计算机/服务器不会注意到这一点,因为它们不需要 ADMX 来应用策略。
但是,下次您打开组策略管理控制台并想要编辑 GPO 时,您将看不到之前设置的设置,但它们将显示在“额外注册表设置”下(也在 HTML 报告中)
因此,对您来说最糟糕的情况是:您最终会使用组策略部署 Microsoft 从 ADMX 中删除的“较旧”的设置,并且您将无法使用组策略控制台编辑这些设置。
=> 如果您正在使用中央存储:备份当前的 ADMX 文件,并更新 ADMX 模板。如果需要,您可以恢复较旧的 ADMX 文件。
=> 如果您不使用中央存储:请注意,从 Server 2019 编辑组策略将使用 Server 2019 ADMX 文件(本地),因此,如果您配置了 Microsoft 使用 Server 2019 删除的“较旧”设置,则从 2019 服务器查看时,它们将显示为“额外注册表设置”,因为策略编辑器不知道如何向您显示这些设置。从 Server 2012R2 打开组策略控制台将使用 2012R2 ADMX 文件(本地)。(顺便说一句,这就是推荐使用中央存储的原因,因为您不想根据您编辑策略的“位置”在 GPO 控制台中看到不同的行为……)
你可以看看我的回答也有类似的情况。