Что такое файл admx
Начиная с Windows 10 версии 1703, вы можете гнать ADMX-файлы (ADMX ingestion) и устанавливать эти политики ADMX для приложений Win32 и мост для классических приложений с помощью Windows 10 Mobile управления устройствами (MDM) на настольных skUs. Файлы ADMX, определяющие сведения о политике, можно ввести на ваше устройство с помощью URI политики ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall CSP. Гнойный ADMX-файл затем обрабатывается в политики MDM.
ПРИМЕЧАНИЕ. Начиная со следующей Windows 10 поддерживается команда Replace
- Windows 10 версии 1903 с установленными KB4512941 и KB4517211
- Windows 10, версия 1809 установлено KB4512534 и KB
- Windows 10 версии 1803 с установленными KB4512509 и KB
- Windows 10 версии 1709 с установленными KB4516071 и KB
При приеме политик ADMX проверяются ключи реестра, на которые написана каждая политика, чтобы не перезаписывать известные ключи реестра системы или ключи реестра, используемые существующими политиками или компонентами системы входящие. Эта мера предосторожности помогает избежать проблем с безопасностью при открытии всего реестра. В настоящее время политики, в которые вошел, не могут записываться в расположения в system, Software\Microsoftи Software\Policies\Microsoft keys, за исключением следующих местоположений:
- Software\Policies\Microsoft\Office\
- Software\Microsoft\Office\
- Software\Microsoft\Windows\CurrentVersion\Explorer\
- Software\Microsoft\Internet Explorer\
- software\policies\microsoft\shared tools\proofing tools\
- software\policies\microsoft\imejp\
- software\policies\microsoft\ime\shared\
- software\policies\microsoft\shared tools\graphics filters\
- software\policies\microsoft\windows\currentversion\explorer\
- software\policies\microsoft\softwareprotectionplatform\
- software\policies\microsoft\officesoftwareprotectionplatform\
- software\policies\microsoft\windows\windows search\preferences\
- software\policies\microsoft\exchange\
- software\microsoft\shared tools\proofing tools\
- software\microsoft\shared tools\graphics filters\
- software\microsoft\windows\windows search\preferences\
- software\microsoft\exchange\
- software\policies\microsoft\vba\security\
- software\microsoft\onedrive
- software\Microsoft\Edge
- Software\Microsoft\EdgeUpdate\
Некоторые компоненты операционной системы встроены в функциональные возможности для проверки устройств на предмет членства в домене. MDM обеспечивает соблюдение настроенных значений политики только в том случае, если устройства соединены с доменом, в противном случае это не так. Однако вы можете по-прежнему гнать ADMX-файлы и устанавливать политики ADMX независимо от того, присоединилось ли устройство к домену или не является доменным.
Параметры, которые невозможно настроить с помощью настраиваемого въехания политик, необходимо настроить путем непосредственного нажатия соответствующих ключей реестра (например, с помощью сценария PowerShell).
Примеры политики ADMX
В следующих примерах SyncML описывается, как задать политику MDM, определенную шаблоном ADMX, в частности описание Publishing_Server2_Policy групповая политика в ADMX-файле виртуализации приложения appv.admx. Функциональные возможности, групповая политика этой службой, не важны; они используются только для демонстрации того, как независимый поставщик программного обеспечения MDM может задать политику ADMX. В этих примерах SyncML показаны общие параметры и соответствующий код SyncML, который можно использовать для тестирования политик. Полезные данные SyncML должны быть закодированными в XML; Для этой кодировки XML можно использовать предпочитаемый онлайн-инструмент. Чтобы избежать кодирования полезных данных, можно использовать CData, если MDM поддерживает их. Дополнительные сведения см. в разделах CDATA.
Отключение политики
Полезной нагрузки
Запрос SyncML
Установка нового административного шаблона в домене Active Directory
Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.
Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).
Центральное хранилище
чтобы воспользоваться преимуществами файлов . admx и автоматически распространять параметры на весь парк виртуальных машин пула узлов AVD, необходимо создать центральное хранилище в папке Sysvol на Windows контроллере домена. Центральное хранилище — это расположение файлов, которое по умолчанию проверяется групповая политика инструментами.
Средства групповая политика используют все файлы ADMX, которые находятся в центральном хранилище. Файлы, наявляющиеся в центральном хранилище, реплицируются на все контроллеры домена в домене. Чтобы создать центральное хранилище для файлов ADMX и ADML , создайте новую папку с именем PolicyDefinitions в следующем расположении (например,) на контроллере домена:
Теперь скопируйте файл Фслогикс фслогикс. ADMX только в это расположение.
папка PolicyDefinitions _ на контроллере домена Windows хранит все файлы _ . admx и . adml для всех языков, включенных на клиентских компьютерах. Файлы ADML хранятся в папке для конкретного языка. Например, файлы на английском языке (США) хранятся в папке с именем en-US. Если он отсутствует, необходимо создать папку для конкретного языка en-US, а затем добавить фслогикс. ADML в.
Дополнительные сведения о центральном хранилище можно найти в этой статье:
Настройка политики для ненастройки
Полезной нагрузки
Запрос SyncML
Элемент Text
Элемент text просто соответствует строке и соответствующим полем редактирования на панели политики, отображаемой gpedit.msc. Строка хранится в реестре типа REG_SZ.
Файл ADMX: inetres.admx
Соответствующий SyncML:
Шаблоны ADMX
административные шаблоны групповой политики, также известные как шаблоны ADMX, включают параметры, которые можно настроить для Windows компьютеров с помощью групповая политика объектов (GPO). Административные шаблоны файлы разделены на файлы ADMX и файлы с файлами ADML , зависящие от языка. Изменения, реализованные в этих файлах, позволяют администраторам настроить один и тот же набор политик с помощью двух языков. Администраторы могут настраивать политики с помощью файлов ADML , зависящих от языка, и файлов ADMX , не зависящих от языка.
Чтобы упростить создание объектов групповой политики, администраторы могут импортировать эти шаблоны и автоматически настроить пользовательский интерфейс редактора со всеми включенными параметрами.
После завершения разработки объекта GPO с учетом всех требуемых изменений результирующий объект объекта GPO может быть связан (связан) с подразделением (OU) в Active Directory.
Даже если объект GPO можно связать с разными областями в Active Directory (сайт, домен и подразделение), рекомендуется создать определенное подразделение для каждого пула узлов AVD и переместить все связанные учетные записи ВИРТУАЛЬНЫХ машин.
Если виртуальные машины пула узлов AVD будут созданы и присоединены к домену Active Directory, политики GPO будут автоматически применены и Фслогикс будут настроены.
Установка административных шаблонов GPO для Office 2019, 2016 и Microsoft 365 Apps
Распакуйте скачанный файл с шаблоном GPO. Архив содержит:
- Каталог admin – в нем хранится набор OPAX/OPAL файлов для настройки дистрибутива Office перед развертыванием с помощью Office Customization Tool (OCT). В нашем случае этот каталог не используется;
- Каталог admx — набор admx и adml файлов для редактора групповых политики;
- Файл office2016grouppolicyandoctsettings.xlsx — Excel файл с описанием всех групповых политик и соответствия между настройками GPO и ключей реестра для продуктов Office). Это XLSX файл можно использовать в качестве справочника по доступных групповым политикам Office.
Также информация о параметрах реестра позволит вам применять настройки приложений Office не через ADMX файлы административных шаблонов, а напрямую через реестр с помощью Group Policy Preferences.
Обратите внимание на структуру файлов в каталоге admx. В каталогах с названием языка содержатся adml файлы с языковыми настройками для административных шаблонов GPO. Например, в каталоге ru-ru есть файлы с описанием параметров настроек Office на русском языке.
В пакете содержатся отдельные ADMX файлы шаблонов для управления настройками следующих продуктов MS Office 2016:
- access16.admx — Microsoft Access;
- excel16.admx — Microsoft Excel;
- lync16.admx — Microsoft Lync (Skype for Business);
- office16.admx – общие настройки Microsoft Office;
- onent16.admx — OneNote;
- outlk16.admx – Outlook;
- ppt16.admx — PowerPoint;
- proj16.admx — Microsoft Project;
- pub16.admx — Microsoft Publisher;
- teams16.admx – Microsoft Teams;
- visio16.admx — Visio;
- word16.admx — Microsoft Word.
Данные файлы шаблонов можно использовать для управления настройками Office 365 ProPlus (Microsoft 365 Apps for enterprise), Office 2021 LTSC и Office 2016. Во всех этих версиях Ofiice используются параметры из ветки реестра HKCU(HKLM)\SOFTWARE\Policies\Microsoft\Office\16.0.
Технически административный шаблон состоит из двух XML файлов:
- *.ADMX – файлы, не связанные с локализацией (языком)
- *.ADML — набор зависящих от языка файлов
Вы можете открыть любой ADMX файл с помощью текстового редактора и найти в нем название параметра GPO, поддерживаемые версии Windows, доступные параметры и соответствующие ключи реестра, в которые вносятся изменения при включении того или иного параметра.
Из ADMX файла видно, что эта политика (L_SharedComputerLicensing) задает значение (0 или 1) параметру реестра sharedcomputerlicensing в ветке software\policies\microsoft\office\16.0\common\licensing.
Подробное описание данного параметра GPO находится в ADML файле.
На отдельном компьютере вы можете подключить данные административные шаблоны в редактор локальных групповых политик gpedit.msc, скопировав содержимое каталога Admx в локальный каталог C:\Windows\PolicyDefinitions.
Если у вас используются локализованные версии Windows, нужно скопировать также каталоги языковых шаблонов. Например, если в домене есть русские и английские версии Windows, нужно скопировать в PolicyDefinitions каталоги en-us и ru-ru. Подробнее про установку и обновление административных шаблонов в Windows рассказано в этой статье.
Вы можете скопировать admx/adml файлы с шаблонами только для используемых у вас продуктов Office или сразу все файлы.
Перед любым внесением изменений в каталог PolicyDefinitions рекомендуется сделать его копию. Это позволит откатится к предыдущей версии файлов административных шаблонов.
Теперь, если открыть редактор локальной групповой политики (gpedit.msc) или редактор доменных политик Group Policy Management Console (gpmc.msc), вы увидите, что в консоли GPO в разделе административных шаблонов пользователя (User Configuration) и компьютера (Computer Configuration) появятся новые разделы для управления продуктами Microsoft Office 2016.
Для установки консоли gpmc.msc на рабочей станции с Windows 10 необходимо установить модуль Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 из состава RSAT для Windows .
Аналогичным образом вы можете скопировать в центральное хранилище PolicyDefinitions на контроллере домене административные шаблоны для Office 2010 и Office 2013 (если эти версии Office установлены на компьютерах в вашем домене). На скриншоте ниже видно, что в консоли редактора GPO присутствуют административные шаблоны для Office 2007, 2010, 2013 и 2016. Все эти шаблоны хранятся на контролере домена (об этом свидетельствует надпись Policy definitions (ADMX files) retrieved from the central store).
Включение политики
Полезной нагрузки
Запрос SyncML
Изменение локальной политики
Даже если можно создать и изменить локально объект GPO с помощью тех же файлов шаблонов, в рабочей среде рекомендуется использовать центральное хранилище. Для полноты ниже приведены шаги, необходимые для локального использования файлов шаблонов.
скопируйте файл ADMX (фслогикс. admx) в C:\ Windows \полицидефинитионс (и разблокируйте доступ к файлу в атрибуте file).
скопируйте файл ADML (фслогикс. ADML) в C:\ Windows \полицидефинитионс\ен-ус (и разблокируйте доступ к файлу в атрибуте file).
Запустите средство "редактор локальных групповых политик" (gpedit. MSC)
Перейдите к конфигурации компьютера , а затем Административные шаблоны найдите контейнер фслогикс .
Просмотрите и включите нужные параметры, а затем сохраните объект.
Только что созданный объект будет сохранен и применен только на этом компьютере и не будет применен к другим виртуальным машинам в пуле узлов AVD.
Ingesting a app ADMX file
В следующем примере файла ADMX показано, как гнать файл Win32 или мост для классических приложений ADMX приложения и задать политики из файла. Файл ADMX определяет восемь политик.
Полезной нагрузки
Запрос Syncml
Файл ADMX избежится и отправляется в формате SyncML через URI политики ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/// CSP. Когда файл ADMX импортируется, состояния политик для каждой новой политики являются теми же, что и в обычной политике MDM: включена, отключена или не настроена.
В следующем примере показан ADMX-файл в формате SyncML:
Примеры политики приложений с помощью ADMX
В следующих примерах описано, как установить политику приложений с помощью ADMX-ingested.
Из-за повышенной простоты и простоты, с помощью которой устройства могут быть нацелены, корпоративные компании находят все больше преимуществ для перемещения управления компьютерами в облачное решение для управления устройствами. К сожалению, современные решения Windows управления устройствами пк не имеют важных возможностей конфигурации политик и параметров приложений, которые поддерживаются в традиционном решении для управления компьютерами.
Начиная с Windows 10 версии 1703 поддержка конфигурации политики мобильных Управление устройствами (MDM) расширена, чтобы разрешить доступ к выбранному набору административных шаблонов групповая политика (политики ADMX) для компьютеров Windows через поставщик служб конфигурации политик (CSP). Такой расширенный доступ гарантирует, что предприятия могут поддерживать соответствие своих устройств требованиям и предотвращать риск нарушения безопасности своих устройств, управляемых через облако.
Помимо стандартных политик MDM, поставщик служб конфигурации политики также может обрабатывать выбранный набор политик ADMX. В политике ADMX административный шаблон содержит метаданные Windows групповая политика и может быть изменен в редакторе локальных групповая политика на компьютере. Каждый административный шаблон указывает разделы реестра (и их значения), связанные с групповая политика и определяет параметры политики, которыми можно управлять. Административные шаблоны упорядочивают групповые политики в иерархии, в которой каждый сегмент иерархического пути определяется как категория. Каждый параметр в групповая политика административного шаблона соответствует определенному значению реестра. Эти групповая политика определяются в формате XML-файла на основе стандартов, известном как файл ADMX. Дополнительные сведения см. в групповая политика справочнике по синтаксису ADMX.
Файлы ADMX могут описывать групповые политики операционной системы (ОС), поставляемые вместе с Windows или параметры приложений, которые отделены от ОС и обычно можно скачать и установить на компьютере. В зависимости от конкретной категории параметров, которые они контролирует (ОС или приложения), параметры административных шаблонов находятся в следующих двух расположениях в редакторе локальных групповая политика:
- Параметры ОС: конфигурация компьютера или административные шаблоны
- Параметры приложения: конфигурация пользователя или административные шаблоны
В экосистеме контроллера домена или групповая политика групповые политики автоматически добавляются в реестр клиентского компьютера или профиля пользователя с помощью расширения на стороне клиента административных шаблонов (CSE) каждый раз, когда клиентский компьютер обрабатывает групповая политика. И наоборот, в клиенте, управляемом MDM, файлы ADMX применяются для определения политик, независимых от групповых политик. Поэтому в клиенте, управляемом MDM, инфраструктура групповая политика, включая службу групповая политика (gpsvc.exe), не требуется.
Windows сопоставляет имя и путь категории групповая политика с областью политики MDM и именем политики, анализируя связанный файл ADMX, найдите указанный групповая политика и сохраните определение (метаданные) в клиентском хранилище CSP политики MDM. Если на политику MDM ссылаются команда SyncML и URI CSP политики, .\[device|user]\vendor\msft\policy\[config|result]\\ на эти метаданные ссылаются и определяют, какие разделы реестра заданы или удалены. Список политик ADMX, поддерживаемых MDM, см. в разделе Policy CSP — ADMX policies.
Элемент MultiText
Соответствующий SyncML:
Сопоставление групповая политика и имени категории политики с областью MDM и именем политики
Ниже приведено внутреннее сопоставление ОС групповая политика с областью и именем MDM. Это сопоставление является частью набора манифеста Windows, который при компиляции анализирует связанный файл ADMX, находит указанную политику групповая политика и сохраняет это определение (метаданные) в клиентском хранилище CSP политики MDM. Политики на основе ADMX организованы иерархически. Их областью может быть компьютер, пользователь или область обоих типов. Если на политику MDM ссылается команда SyncML и URI CSP политики, как показано ниже, на эти метаданные ссылаются и определяют, какие разделы реестра заданы или удалены. На политики области компьютера ссылаются с помощью .\Device и политики области пользователя через .\User.
Полезные данные SyncML необходимо закодировать, чтобы они не конфликтовли со стандартными XML-тегами SyncML. Используйте это интерактивное средство для кодирования и кодирования панели элементов кодировщика данных политики.
Фрагмент манифеста для области AppVirtualization:
LocURI для приведенной выше политики групповой политики:
Чтобы создать SyncML для области или политики с помощью приведенных ниже примеров, **** необходимо обновить идентификатор данных и **** значение в разделе SyncML. Элементы с префиксом "&" являются необходимыми escape-символами и могут храниться, как показано ниже.
Элемент List (и его варианты)
Элемент list просто соответствует кусту строк REG_SZ реестра и соответственно сетке для ввода нескольких строк на панели политики, отображаемой gpedit.msc. Этот элемент представлен в SyncML в виде строки, содержащей пары строк. Каждая пара представляет собой REG_SZ имя/значение. Лучше всего применить политику с помощью gpedit.msc (запуск от имени администратора) и перейти к расположению куста реестра и увидеть, как хранятся значения списка. В этом расположении вы получите представление о том, как хранятся пары "имя-значение", чтобы выразить их с помощью SyncML.
Варианты элемента определяются list атрибутами. Эти атрибуты игнорируются средой выполнения Диспетчера политик. Предполагается, что сервер MDM управляет парами "имя-значение". См. ниже простую запись групповая политика списка.
Фслогикс использует набор разделов реестра, которые должны быть включены и правильно настроены на виртуальных машинах пула узлов AVD.
полный список разделов реестра, которые можно применить, приведен в следующих справочных статьях по контейнерам профилей и контейнерам Office .
Существует несколько способов применения этих разделов реестра в зависимости от сценария и масштаба среды.
создание разделов реестра вручную с помощью редактора реестра Windows: не рекомендуется, так как подвержены ошибки и потенциально высокий риск. Требуется ручная работа и масштабирование на многих узлах сложно. Следует использовать только для тестирования и создания прототипов на одном компьютере.
локальные политики. можно использовать механизм групповая политика объектов (GPO) в Windows, чтобы применить набор параметров конфигурации (разделов реестра), используя объект, хранящийся локально на одном компьютере. Следует использовать только для тестирования и разработки объекта GPO, который применяется к крупному масштабу с помощью центрального хранилища.
Центральное хранилище для политик. Этот подход является рекомендуемым механизмом для применения фслогикс и любым другим параметром конфигурации в масштабе на всех виртуальных машинах пула узлов Avd. Централизованный репозиторий, размещенный на контроллерах домен Active Directory, используется для репликации всего домена Active Directory.
Файлы ADMX и редактор групповая политика
Чтобы получить сквозную обработку MDM групповых политик ADMX, ИТ-администратор должен использовать пользовательский интерфейс, например редактор групповая политика (gpedit.msc), для сбора необходимых данных. Пользовательский интерфейс консоли MDM ISV определяет, как собирать необходимые данные групповая политика от ИТ-администратора. Групповые политики ADMX организованы в иерархию и могут иметь область действия компьютера, пользователя или и того, и другое. В групповая политика следующем разделе используется компьютерная групповая политика "Publishing Server 2 Параметры". Если этот групповая политика выбран, доступные состояния не настроены , включены и отключены.
ADMX-файл, который isV MDM использует для определения пользовательского интерфейса, отображаемого ИТ-администратору, — это тот же ADMX-файл, который клиент использует для определения политики. Файл ADMX обрабатывается операционной системой во время сборки или задается клиентом во время выполнения ОС. В любом случае клиент и независимый поставщик программного обеспечения MDM должны быть синхронизированы с определениями политики ADMX. Каждый файл ADMX соответствует категории групповая политика и обычно содержит несколько определений политик, каждое из которых представляет один групповая политика. Например, определение политики для сервера публикации 2 Параметры содержится в файле appv.admx, который содержит определения политик для категории Microsoft Application Virtualization (App-V) групповая политика.
групповая политика параметра кнопки:
Если выбран параметр "Включено", для пользователя в пользовательском интерфейсе отображаются необходимые элементы управления записью данных. Когда ИТ-администратор вводит данные и нажимает кнопку " Применить", происходят следующие события:
- Сервер MDM ISV настраивает команду Replace SyncML с полезными данными, содержащего введенные пользователем данные.
- Клиентский стек MDM получает эти данные, что приводит к тому, что поставщик служб конфигурации политики обновляет реестр устройства в соответствии с определением политики ADMX.
Если выбран параметр " Отключено" и вы нажимаете кнопку "Применить", происходят следующие события:
- Сервер MDM ISV настраивает команду Replace SyncML с полезными данными.
- Стек клиента MDM получает эту команду, из-за которой поставщик служб конфигурации политики удаляет параметры реестра устройства, задает разделы реестра или и то, и другое в соответствии с изменением состояния, которое было задано определением политики ADMX.
Если выбран параметр "Не настроено " и вы нажимаете кнопку " Применить", происходят следующие события:
- Сервер MDM ISV настраивает команду Delete SyncML.
- Стек клиента MDM получает эту команду, из-за которой поставщик служб конфигурации политики удаляет параметры реестра устройства в соответствии с определением политики ADMX.
На следующей схеме показан основной экран редактора групповая политика.
На следующей схеме показаны параметры для сервера публикации Параметры 2 групповая политика в редакторе групповая политика.
Большинство групповых политик — это простой логический тип. Если для логического групповая политика выбран параметр " Включено", панель параметров не содержит полей ввода данных, а полезные данные SyncML — это просто . Однако если на панели параметров есть поля ввода данных, сервер MDM должен предоставить эти данные. Ниже приведен пример включения групповая политика иллюстрирует эту сложность. В этом примере 10 пар "имя-значение" описываются тегами в полезных данных, которые соответствуют 10 полям ввода данных на панели параметров редактора групповая политика для параметра "Publishing Server 2 Параметры" групповая политика. Файл ADMX, который определяет групповые политики, используется сервером MDM так же, как редактор групповая политика использует его. Редактор групповая политика отображает пользовательский интерфейс для получения полных данных групповая политика экземпляра, которые также должна выполнять консоль ИТ-администратора сервера MDM. Для каждого элемента и атрибута идентификатора в определении политики ADMX в полезных данных должен быть соответствующий элемент и атрибут идентификатора. Файл ADMX определяет определение политики и требуется серверу MDM по протоколу SyncML.
Любое поле ввода данных, отображаемое на странице групповая политика редактора групповая политика, должно быть указано в кодировке XML полезных данных SyncML. Полезные данные SyncML эквивалентны предоставленным пользователем групповая политика через GPEdit.msc.
Дополнительные сведения о формате групповая политика описании см. в формате файла административного шаблона (ADMX). Элементы могут быть text, MultiText, Boolean, Enum, Decimal или List (дополнительные сведения см. в элементах политики).
Например, при поиске строки "Publishing_Server2_Name_Prompt" в примере включения политики и соответствующего определения ** политики ADMX в файле appv.admx вы увидите следующие вхождения:
Пример включения политики:
Настройка программ Microsoft Office с помощью параметров групповых полити
Предположим, нам нужно на всех компьютерах домена изменить настройки некоторых программ из пакета Office. Если вы не знаете, в каком разделе дерева GPO настраивается конкретный параметр программы Office, вы можете найти его в файле office2016grouppolicyandoctsettings.xlsx.
- Откройте консоль редактирования доменных политик GPMC.msc и создайте новый объект GPO;
- Перейдите в режим редактирования созданного объекта GPO;
- Включите следующие параметры групповой политики:
- Включите режим кэширования Exchange для Outlook – политика Use Cached Exchange Mode for new and existing Outlook profiles в разделе User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Account Settings–> Exchange–> Cached Exchange Mode;
- Запретите предварительный просмотр вложений в Outlook — политика Do not allow attachment previewing in Outlook (раздел User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Preferences –> E-Mail Options);
- Отключите возможность запуска макросов в Word– политика VBA Macro Notification Settings со значением Disable All With Notification (раздел … Microsoft Word 2016 –> Word Options –> Security –> Trust Center); : Prevent Microsoft Teams from starting automatically after installation = Enabled в (User Configuration -> Policies -> Administrative Templates -> Microsoft Teams);
- Осталось назначить данную политику на OU с пользователями или компьютерами (LinkanExistingGPO) и после обновления настроек GPO на клиентах, новые настройки применяться к Outlook, Word и Teams.
Если настройки групповой политики не применяются к компьютерам или пользователям, вы можете проверить результирующие политики клиента с помощью утилиты gpresult и rsop.msc .
В этой статье мы рассмотрели, как управлять настройками программ Word, Access, Excel, Outlook и т.д. на компьютерах домена с помощью ADMX шаблонов групповых политик.
03.02.2021
itpro
Active Directory, Windows 10, Windows Server 2016, Групповые политики
комментариев 14
В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.
Административные шаблоны (Administrative templates) – это специальные ADMX (и ADML ) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. По сути в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.
Изменение шаблона
В предыдущем разделе вы завершили подготовку шаблона ADMX, относящегося к Фслогикс для домена Active Directory. Теперь вы готовы использовать этот шаблон для создания объекта групповой политики для пула узлов AVD.
средства администрирования, которые вы будете использовать, — это редактор объектов групповой политики и консоль управления групповыми политиками: эти средства уже установлены на сервере Windows, вместо этого потребуется вручную установить дополнительный пакет на клиенте Windows.
Войдите с учетной записью администратора домена на компьютер или виртуальную машину в домен Active Directory.
в Windows клиентской ос при необходимости установите средство "RSAT: групповая политика Management tools":
- откройте приложение Параметры приложения > приложения > дополнительные функции > добавить функцию.
- Выберите RSAT: групповая политика средства управления > установить.
- Подождите, пока Windows установит компонент.
На компьютере администратора откройте приложение управления групповая политика .
Найдите подразделение (OU), где находятся учетные записи компьютера пула узлов AVD, в контекстном меню выберите "создать объект GPO в этом домене и свяжите его здесь. ". Введите имя для нового объекта групповой политики и нажмите кнопку "ОК".
Щелкните правой кнопкой мыши созданную политику и выберите "изменить", после чего откроется приложение редактор "Управление групповыми политиками".
Разверните узел Конфигурация компьютера политики > > административные шаблоны > фслогикс и включите необходимые параметры для конфигурации. в родительской папке фслогикс есть выделенные разделы для облачного кэша, контейнера Office 365 контейнере и контейнера профиля.
Для каждого параметра дважды щелкните его, включите и в конечном итоге заполните необходимые значения. В конце щелкните "Применить", чтобы сохранить и выйти из диалогового окна:
23.03.2022
itpro
Active Directory, Office, Групповые политики
комментария 24
Для централизованного управления настройками программ из пакета офисных приложений Microsoft Office (Word, Excel. Outlook, Visio, PowerPoint и т.д.) с помощью групповых политик в домене можно использовать специальные административные ADMX/ADML шаблоны. Данные административные шаблоны позволяют задать одинаковые настройки приложений Office на всех компьютерах домена.
В этой статье мы покажем, как установить и настроить административные шаблоны групповых политик для управления программами из пакета Office 2019. Эти шаблоны политик можно использовать для настройки параметров Office 365 ProPlus, Office 2021, Office 2016 (см. отличия между Office 2016 и Office 365) на Windows 11/10/8.1 и Windows Server 2022/2019/2016/2012R2.
По умолчанию ADMX шаблоны для MS Office не устанавливаются при развертывании домена Active Directory или установке программ пакета MS Office. Администраторы должны скачать и установить административные шаблоны GPO для Office вручную.
Для каждой версии MS Office доступна свой версия административных шаблонов. Ниже перечислены списки для загрузки административных шаблонов для разных версий Office.
Перейдите на страницу загрузки ADMX шаблонов GPO для Office 2019. Доступны x64 и x86 версии административных шаблонов. Это не означает, что если на компьютерах пользователей установлена 32 битная версия Office 2019, то вам нужно качать файл admintemplates_x86_5287-1000_en-us.exe , а если используется MS Office x64 — admintemplates_x64 . В обоих архивах находятся одинаковые версии ADMX и ADML файлов. Разрядность относится только к версии утилиты Office Customization Tool, (в нашей статье этот функционал не затрагивается). Поэтому вы можете скачать любую версию файла.
Пример SyncML для различных элементов ADMX
В этом разделе описывается пример SyncML для различных элементов ADMX, таких как Text, Multi-Text, Decimal, Boolean и List.
Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах
В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.
Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.
Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.
Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).
Если вы установили консоли управления RSAT на компьютер с новым билдом Windows 10, то новые параметры политик будут доступны в редакторе gpmc.msc .
В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:
-
Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;
- Обязательно создайте резервную копию каталога PolicyDefinitions на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
- Не обязательно копировать каталоги с adml файлами для разных языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
- Если у вас уже есть под рукой компьютер с новым билдом Windows 10, то можно скопировать административные шаблоны из каталога %WinDir%\PolicyDefinitions без установки MSI файла.
Если вы хотите, чтобы определенная GPO с новыми параметрами применялась только для определенных билдов Windows 10, можно использовать WMI фильтры GPO.
Предварительные требования
локальные политики и центральное хранилище для политик основываются на Windows функции, называемой административными шаблонами групповой политики, также известными как шаблоны ADMX. В оставшейся части этой статьи будет описана эта функция.
Прежде чем продолжать, необходимо скачать пакет установки Фслогикс, расположенный здесь, а затем распаковать файл и проверить содержимое:
Чтобы создать шаблон ADMX, необходимо скопировать два файла: фслогикс. ADML и фслогикс. ADMX.
в предыдущих версиях пакета установки фслогикс были предоставлены два дополнительных и отдельных файла для настройки шаблона ADMX для Office Container: фслогиксодфк. ADMX и фслогиксодфк. adml. Эти файлы больше не предоставляются, так как все вложенные параметры теперь находятся в одном наборе файлов, то есть фслогикс. ADML и фслогикс. ADMX. Эти файлы также содержат необходимые разделы реестра для компонента Фслогикс клаудкаче .
Формат URI для настройки политики приложения
В следующем примере показано, как получить имя политики win32 или мост для классических приложений и имя области политики:
Как описано в CSPполитики, формат URI для настройки политики с помощью CSP политики: ".//Vendor/MSFT/Policy/Config//".
Политика пользователя или устройства
В классе политики атрибут определяется как "Пользователь", а URI — с префиксом ./user . Если значение атрибута "Machine", URI префиксировали ./device с . Если значение атрибута "Оба", политика может быть настроена как пользователь, так и политика устройства.
Формат политики — ~~. и получены из URI, используемого для импорта файла ADMX. В этом примере URI: ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/ContosoCompanyApp/Policy/AppAdmxFile01 .
является производным путем обхода параметра parentCategory. В этом примере — parentCategoryArea~Category2~Category3. Таким образом, — это ContosoCompanyApp~ Policy~ ParentCategoryArea~Category2~Category3.
Поэтому из примера:
- Класс: Пользователь
- Имя политики: L_PolicyPreventRun_1
- Имя области политики: ContosoCompanyApp~Policy~ParentCategoryArea~Category2~Category3
- URI: ./user/Vendor/MSFT/Policy/Config/ContosoCompanyApp~Policy~ParentCategoryArea~Category2~Category3/L_PolicyPreventRun_1
Читайте также: