文章出处:
[url]http://technet.microsoft.com/zh-cn/magazine/cc137719.aspx[/url]

概览:
  • 组策略模板类型
  • 正确与不正确的策略密钥
  • 查看 ADM 模板
  • 将 ADM 转换为 ADMX


ADM 文件。您或者喜爱它们,或者憎恨它们,也可能二者兼具。这是因为它们既是必需的,又令人困惑。现在有了 ADMX 文件这一新格式,看起来只是让事情更乱了。好吧,看我为您拨云见日。

我们为什么需要 ADM 文件?
组策略涵盖的范围很广。如果您深入研究“组策略对象编辑器”(GPOE),会发现多种可处理组策略的“资料”。例如,您将找到“软件限制策略”、“组策略软件安装”、“文件夹限制”,以及我们最常用的“管理模板”。“管理模板”节点出现在“用户”端和“计算机”端。如您所料,用户只能采用用户端策略设置,而计算机只能采用计算机端策略设置。
那么,“管理模板”中所有这些神奇的设置来自何处呢?当新的应用程序“诞生”时,您可以潜在地操控一些设置。ADM 文件即应运而生。它们描述那些已做好准备接受管理员所定义设置的应用程序区域。遗憾的是,ADM 文件会马上受限,因为它们只能在应用程序内处理注册表设置。但是,应用程序可将其设置保存在其他区域,例如 .ini 文件、.js 文件、.xml 文件和数据库。

自带 ADM 文件
计算机配置 | 管理模板和用户配置 | 管理模板的所有这些自带策略设置最初是如何到达此处的?如果您在 GPOE 中右键单击“管理模板”字样,然后选择“用户”端或“计算机”端的“添加/删除模板”,则会看到构成标准配置的默认模板,如 图 1 所示。
图 1  默认管理模板 (单击该图像获得较大视图)
这些文件的明细如下:
  • Conf.adm—NetMeeting® 设置。
  • Inetres.adm—Internet Explorer® 设置,包括连接、工具栏和工具栏设置。这些设置与您单击 Internet Explorer 内的“Internet 选项”菜单时可用的选项等效。
  • System.adm—操作系统更改和设置。大多数“计算机管理模板”和“用户管理模板”设置均在此 ADM 模板中。
  • Wmplayer.adm—Windows Media® Player 9 设置。
  • Wuau.adm—控制您的客户端对 Windows® Update 和/或 Windows Server® Update Services 服务器的访问。

添加新的 ADM 模板文件
通过 Microsoft 和第三方工具克服限制
ADM 和 ADMX 文件极其有用。使用它们,可将某些知识打包到您的定义文件中并控制您的目标应用程序。但 ADM 和 ADMX 文件均有限制。尤其是,这些文件无法执行以下操作:
  • 它们无法到达 HKEY_LOCAL_MACHINE 和 HKEY_Current_User 之外的注册表配置单元中。如果您必须在其他注册表配置单元中进行操作,则无法使用 ADM 或 ADMX 文件进行相应操作。
  • 这些文件无法向 REG_Binary 值中做出添加。
  • 它们无法专门设置为 "run only once"。
  • 您也无法将其专门设置为在组策略刷新期间 "always reapply"。
  • 写入不正确键值的 ADM 和 ADMX 文件会在注册表中留下记号。因此,即使用户超出管理范围 (SOM) 或 GPO 已删除,该值仍会存在。
为了克服这些限制,Microsoft 和某些第三方提供了对您有所帮助的解决方案。Microsoft 最近收购了 DesktopStandard,而且刚刚发布了 DesktopStandard Registry Extension 的重命名版本。有了此工具,您可以使用 GPOE 内的向导界面在目标计算机上规定希望管理的特定注册表值。
DesktopStandard PolicyMaker 技术(包括 Registry Extension 工具)现在称为“组策略首选项”,它们包含在 Windows Server 2008 中。使用“组策略首选项”,管理员可以配置那些通常无法通过组策略配置的应用程序或 Windows 组件,并根据一组非常丰富的目标规则将其应用于某些用户或计算机。“组策略首选项”与 Windows Server 2008 中的“组策略管理控制