CertBase Community
Die Lernplattform für Ihren Erfolg
Gruppenrichtlinien unter Windows Vista

Windows Vista bringt neues Konzept für Gruppenrichtlinien

Inhalt dieses Artikels:

  • Von ADM zu ADMX 
  • Erstellung von ADMX-Dateien 
  • Speichermethoden für ADMX-Dateien
  • Erstellen eines zentralen Speichers

Mit den administrativen Vorlagen eines Gruppenrichtlinienobjekts können Registrierungswerte auf Client- und Servercomputern konfiguriert werden. Die Syntax, in der administrative Vorlagen erstellt werden, war bislang kompliziert und proprietär. Das Erstellen eigener Vorlagen war in der Regel mit einem erheblichen Aufwand verbunden. Zudem wurden die ADM Dateien mit jedem Gruppenrichtlinienobjekt (GPO) separat und damit auch redundant in der Active Directory Umgebung, genauer im Sysvol Verzeichnis, gespeichert. Jedes Gruppenrichtlinienobjekt wurde wiederum mit allen zugehörigen ADM Dateien auf alle Domänencontroller in der Domäne repliziert.
Mit Windows Vista hat Microsoft in Bezug auf gruppenrichtlinienbasierte Registrierungsvorlagen ein neues Konzept eingeführt. Das Format, in dem Vorlagen erstellt und gespeichert werden, hat sich grundlegend verändert. So werden die Vorlagen nun in schematisierten XML Dateien organisiert. An die Dateiendung wurde entsprechend ein X angehangen (ADMX). Auch die Speichermethode dieser Dateien hat einige Änderungen erfahren.

Von ADM zu ADMX
Das alte ADM-Format wird bereits seit Windows NT 4.0 eingesetzt. Das neue ADMX-Format folgt dem XML-Standard und kann mit den zahlreich verfügbaren Programmen zur XML-Bearbeitung editiert werden. Ferner ermöglicht die Schematisierung das Programmieren von Anwendungen, die Administratoren das Erstellen und Bearbeiten von administrativen Vorlagen auch ohne detailierte Kenntnis der Dateistruktur ermöglicht.
Ein zweiter wesentlicher Entwicklungsschritt von ADM nach ADMX stellt die Abtrennung des Zeichenfolgenabschnitts aus der Haupt-ADMX-Datei in eine sprachspezifische ADML-Datei dar. Wer sich mit ADM-Dateien auskennt, weiß, dass es am Ende jeder Datei einen Abschnitt gibt, der durch ein [strings]-Tag abgegrenzt wird, in dem man Textzeichenfolgen Werte zuweisen kann, die angezeigt werden, wenn der Gruppenrichtlinien-Editor und administrative Vorlagen zum Einsatz kommen. Der Text, der beispielsweise nach dem Klicken auf die Registerkarte „Erklärung“ für eine bestimmte Richtlinie angezeigt wird, ist in diesem Zeichenfolgenabschnitt gespeichert. Das Problem dabei ist, dass die Zeichenfolgen in der ADM-Datei gespeichert wurden. Wenn Sie also ADM auf einem Windows-System verwenden wollen, auf dem eine andere Sprache ausgeführt wird, müssen Sie eine neue ADM-Datei mit einem Zeichenfolgenabschnitt für diese Sprache erstellen.

Die Anzeige der Beschreibungstexte kann zudem nicht an die Sprach des Betriebssystems gekoppelt werden. Wenn jemand beispielsweise die deutschsprachige Version von Windows benutzt und Richtlinien bearbeiten möchte, denen französische ADM-Dateien zugrunde liegen, werden alle Texte in französischer Sprache angezeigt.

Windows Vista umgeht dieses Problem durch die Abtrennung des [Strings]-Abschnitts in eine XML-basierten ADM Language- (oder ADML-) Datei. Die ADML-Datei kann in einer beliebigen unterstützten Sprache geliefert werden. Es können für eine ADMX Datei mehrere ADML Dateien erstellt werden, die in sprachabhängigen Globalisierungsverzeichnissen gespeichert werden. Der Gruppenrichtlinien-Editor erkennt die Sprache des Betriebssystems und lädt automatisch die passenden ADML-Dateien für die Richtlinien.

Die ADMX- und ADML-Dateien befinden sich nach der Installation von Windows Vista im Verzeichnis C:\Windows\PolicyDefinitions.

Bei den Verzeichnissen de-DE und en-US handelt es sich um die erwähnten sprachspezifischen Unterverzeichnisse für die ADML-Dateien. Zurzeit sind 132 ADMX-Dateien enthalten, die ihrerseits eine oder mehrere Richtlinien enthalten können. Unter Windows XP erstellte GPOs enthielten normalerweise fünf ADM-Dateien, von denen die größte die Datei System.adm war, und in der sich die Richtlinienelemente für die meisten Windows-Komponenten befanden. Bei Windows Vista hat Microsoft entschieden, die ADMX-Dateien nach Funktion zu trennen. Daher rührt die viel größere Anzahl der ADMX-Dateien. Jede ADMX-Datei deckt in der Regel eine Windows-Komponente (wie z. B. Systemsteuerung, DNS-Client, Windows-Explorer usw.) ab.

Erstellung von ADMX-Dateien
Im Grunde können ADMX- und ADML-Dateien mit einem beliebigen Texteditor oder einem XML-Editor erstellt werden. Microsoft bietet zusammen mit der Firma FullArmor Corp. Aber auch ein kostenloses Tool (ADMX Migrator) an, dass die Erstellung von ADMX-Vorlagen und auch die Konvertierung bereits bestehender, selbsterstellter ADM-Vorlagen deutlich vereinfacht.

Der FullArmor ADMX Migrator kann nach einer WGA Prüfung kostenfrei unter der Adresse http://go.microsoft.com/fwlink/?LinkID=77409 heruntergeladen werden.

Speichermethoden für ADMX-Dateien
Auch die Methode für das Speichern und Laden der administrativen Vorlagen hat eine bedeutende Änderung erfahren. Vor Windows Vista wurden die ADM-Dateien beim Bearbeiten eines GPOs automatisch aus dem zugehörigen Teil des Sysvol-Verzeichnisses von einem Domänencontroller geladen. Mit jedem neuen Gruppenrichtlinienobjekt wurden auch die ADM-Dateien erneut gespeichert und auf alle Domänencontroller innerhalb der Active Directory Domäne repliziert. In Domänen mit vielen Domänencontrollern und zahlreichen GPOs, wirkt sich dieses Verfahren negativ auf Netzwerkbandbreite und Festplattenspeicher aus.

Wenn Sie nun auf einem Windows Vista Computer ein domänenbasiertes GPO erstellen oder bearbeiten werden die Richtlinien für administrative Vorlagen, die im Gruppenrichtlinien-Editor zu sehen sind, standardmäßig aus dem lokalen Verzeichnis C:\Windows\PolicyDefinitions geladen. Die ADMX- und ADML-Dateien selber werden nicht in das SYSVOL-Verzeichnis kopiert. Um Missverständnissen vorzubeugen: Die Einstellungen werden selbstverständlich nach wie vor im Sysvol-Verzeichnis bzw. im Active Directory gespeichert. Auf diese Weise werden die Anforderungen an Speicher- und Netzwerkkapazitäten deutlich reduziert.

Probleme birgt dieses Verfahren jedoch, wenn Sie eigene, selbsterstellte ADMX-Dateien verwenden möchten. Kopieren Sie diese in Ihr lokales Verzeichnis, können die Einstellungen auch nur auf Ihrem Computer bearbeitet werden. Abhilfe schafft hier die Einrichtung eines sogenannten zentralen Speichers. Existiert ein solcher zentraler Speicher, werden die Vorlagen künftig nicht mehr vom lokalen Computer, sondern von allen Windows Vista Computern aus einem zentralem Verzeichnis geladen.

Erstellen eines zentralen Speichers
Um einen zentralen Speicher für die Ablage von ADMX- und ADML-Dateien zu erstellen, können Sie auf einem Domänencontroller unterhalb der SYSVOL-Freigabe einen neuen Ordner mit der Bezeichnung PolicyDefinitions (%systemroot%\sysvol\domain\policies\PolicyDefinitions) erstellen. Sie können den Ordner auf einem beliebigen Domänencontroller erstellen, sollten aber Vorzugsweise den Domänencontroller mit der PDC-Emulator Betriebsmasterrolle verwenden. Ist der Ordner erstellt, kopieren Sie den gesamten Inhalt aus Ihrem lokalen Windows Vista Verzeichnis C:\Windows\PolicyDefinitions in das neue Verzeichnis.


Nachdem die ADMX- und die ADML-Dateien in den zentralen Speicherordner kopiert worden sind, beginnt der Gruppenrichtlinienobjekt-Editor von Windows Vista damit, Verweise auf die dort befindlichen Dateien zu erstellen, und ignoriert solche, die lokal gespeichert sind. Die ADMX-Vorlagen können nach wie vor nur mit dem Gruppenrichtlinienobjekt-Editor von Windows Vista (später natürlich auch mit der Version von Windows Server 2008) eingesehen und bearbeitet werden.


Eingetragen Mi, 12. Nov 2008 15:09 von Maik
Abgelegt unter: , ,
CertBase - IT-Prüfungsvorbereitung Online