Starter GPO 与模板 - 爱依航 Windows Server 教程

1. Starter GPO

Starter GPO 是 GPO 的模板，包含预定义的管理模板设置，可基于它快速创建新 GPO。

1.1 创建 Starter GPO

GPMC → Starter GPO → 右键 → 新建

名称：Starter-Server-Baseline → 输入注释 → 确定

右键新建的 Starter GPO → 编辑 → 配置管理模板设置

基于 Starter GPO 创建新 GPO：右键 组策略对象 → 新建 → 选择 Starter GPO

PowerShell - Starter GPO 管理

# 查看所有 Starter GPO
Get-GPOStarter | Select-Object DisplayName, Description

# 基于 Starter GPO 创建新 GPO
New-GPO -Name "GPO-Server-Security" -StarterGPOName "Starter-Server-Baseline"

1.2 导入/导出 Starter GPO

CMD - 备份与还原 Starter GPO

REM 备份 Starter GPO
c:\> wbadmin start backup -backuptarget:E:\Backup -include:C:\Windows\SYSVOL\domain\Policies\StarterGPOs

REM 或使用 GPMC 图形界面导出 CAB 文件

2. ADMX 中央存储

ADMX 中央存储将管理模板集中存放在 SYSVOL 中，所有管理员共享同一套模板。

2.1 为什么需要中央存储

本地管理模板仅在当前机器可用
不同管理员的 GPMC 可能显示不同的策略项
中央存储确保 所有管理员看到一致的策略选项

2.2 部署中央存储

PowerShell - 部署 ADMX 中央存储

# 创建中央存储目录
New-Item -Path "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions" `
    -ItemType Directory -Force

# 复制 Windows 自带 ADMX 文件
Copy-Item "C:\Windows\PolicyDefinitions\*.admx" `
    "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions\" -Force

# 复制中文语言文件
New-Item -Path "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions\zh-CN" `
    -ItemType Directory -Force
Copy-Item "C:\Windows\PolicyDefinitions\zh-CN\*.adml" `
    "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions\zh-CN\" -Force

# 复制英文语言文件（部分模板需要）
New-Item -Path "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions\en-US" `
    -ItemType Directory -Force
Copy-Item "C:\Windows\PolicyDefinitions\en-US\*.adml" `
    "\\iehang.cn\SYSVOL\iehang.cn\Policies\PolicyDefinitions\en-US\" -Force

2.3 添加第三方 ADMX 模板

PowerShell - 添加 Office/Chrome 等模板

# 下载并添加 Microsoft Edge 管理模板
Invoke-WebRequest -Uri "https://www.microsoft.com/edge/business/download" -OutFile "C:\Temp\edge-policy.cab"

# 添加 Google Chrome 管理模板
# 从 https://support.google.com/chrome/a/answer/9037717 下载
# 解压后将 chrome.admx 复制到中央存储
# 将 chrome.adml 复制到 zh-CN 子目录

# 添加 Microsoft Office 管理模板
# 从 Microsoft 365 Apps 管理模板下载页获取
# 解压后复制 ADMX 和 ADML 到中央存储对应目录

3. 自定义 ADMX 模板

当需要管理第三方应用或自定义设置时，可以编写自己的 ADMX 模板。

3.1 ADMX 文件结构

XML - 自定义 ADMX 示例

<?xml version="1.0" encoding="utf-8"?>
<policyDefinitions revision="1.0" schemaVersion="1.0">
  <policies>
    <policy name="DisableUSBStorage" class="Machine"
            displayName="$(string.DisableUSBStorage)"
            explainText="$(string.DisableUSBStorage_Help)"
            key="SYSTEM\CurrentControlSet\Services\USBSTOR"
            valueName="Start">
      <parentCategory ref="CustomSettings" />
      <supportedOn ref="windows:SUPPORTED_Windows8" />
      <enabledValue>
        <decimal value="4" />
      </enabledValue>
      <disabledValue>
        <decimal value="3" />
      </disabledValue>
    </policy>
  </policies>
</policyDefinitions>

4. 多语言 ADML 管理

ADML 文件是 ADMX 的语言资源文件，每种语言一个 ADML。

目录结构

PolicyDefinitions/
├── custom.admx          # 策略定义（语言无关）
├── zh-CN/
│   └── custom.adml      # 中文显示字符串
├── en-US/
│   └── custom.adml      # 英文显示字符串
└── ...

5. 常见问题

Q1：GPMC 中看不到新添加的 ADMX 策略

① 确认 ADMX 已放入中央存储 SYSVOL\domain\Policies\PolicyDefinitions\ ② 确认对应的 ADML 已放入语言子目录 ③ 关闭 GPMC 重新打开（会重新加载模板） ④ 检查 ADMX XML 语法是否正确

Q2：中央存储和本地模板冲突怎么办

中央存储优先。一旦创建中央存储，GPMC 将忽略本地 C:\Windows\PolicyDefinitions 中的模板。确保中央存储包含所有需要的模板。

📚 Starter GPO 与模板

📑 目录