Cách cập nhật tệp ADMX - Các phiên bản hệ điều hành máy chủ khác nhau trong miền

Miền khách hàng của tôi có nhiều Máy chủ Windows 2012R2, 2016 và 2019 các phiên bản.Hai trong số bốn bộ điều khiển miền đang chạy Windows 2012R2 và các tệp ADMX đã không được cập nhật trong nhiều năm. Hai bộ điều khiển miền khác là Windows 2019 và chúng được gán các vai trò FSMO.

Tôi hy vọng tất cả các phiên bản 2012 sẽ sớm ngừng hoạt động, bao gồm cả phiên bản của DC. Vì các tệp ADMX chưa được cập nhật trong nhiều năm nên tôi không thể áp dụng một số GPO nhất định cho các phiên bản 2016 và 2019. Điều này sẽ sớm trở thành sự cố bảo mật. Vì môi trường của tôi sẽ bao gồm các máy chủ 2016 và 2019, cái gì chính sách hoặc phương pháp tốt nhất tôi nên sử dụng để cập nhật các tệp ADMX?

Từ những gì tôi đã đọc, hầu hết mọi người đề nghị Cửa hàng Central PolicyDefinitions tùy chọn nhưng tôi không chắc liệu đây có phải là ý tưởng hay không vì tôi đang chạy nhiều phiên bản hệ điều hành trong môi trường của tôi. có ở đó không bất kỳ cách tiếp cận nào khác để cập nhật các tệp ADMX, tôi có nên xem xét việc tạo nên môi trường của mình không?

Nếu tôi đừng sử dụng cửa hàng trung tâm tùy chọn, tôi có cần tải các tệp ADMX xuống C:\Windows\PolicyDefinitions thư mục tại địa phương trên mỗi bộ điều khiển miền để áp dụng cài đặt mới nhất cho GPO, hoặc tôi phải tải tệp ADMX xuống C:\Windows\PolicyDefinitions trên tất cả các thành viên miền/máy chủ để máy chủ nhận được cài đặt gpo được cập nhật?

Tôi chưa bao giờ phải cập nhật các tệp ADMX nên mọi lời khuyên sẽ được đánh giá cao, cảm ơn!

Có một điều quan trọng cần hiểu về Khuôn mẫu quản trị (ADMX):

Cập nhật Mẫu quản trị sẽ KHÔNG thay đổi bất kỳ điều gì trong GPO mà bạn đã triển khai: ADMX được đọc bởi Quản lý chính sách nhóm Bảng điều khiển (hoặc gpresult khi bạn tạo báo cáo) để hiển thị cài đặt cho con người (hiển thị danh sách cài đặt, mô tả,...). Đó là nó!

Ví dụ: xem xét tình huống sau:

Bạn tạo một GPO mới với các mẫu ADMX từ năm 2011 và bạn triển khai GPO này.
Bây giờ, hãy tưởng tượng bạn cập nhật các mẫu ADMX lên phiên bản mới hơn và giả sử Microsoft đã xóa khỏi các tệp ADMX mới hơn một số cài đặt cũ hơn từ năm 2011 mà bạn đã đặt trước đó với các tệp mẫu ADMX cũ hơn:
Máy tính/máy chủ sẽ không nhận thấy điều này vì chúng không cần ADMX để áp dụng chính sách.

Tuy nhiên, lần tới khi bạn mở Bảng điều khiển quản lý chính sách nhóm và muốn chỉnh sửa GPO của mình, bạn sẽ KHÔNG thấy các cài đặt bạn đã đặt trước đó, NHƯNG chúng sẽ được hiển thị trong "Cài đặt đăng ký bổ sung" (trong báo cáo HTML cũng vậy )

Vì vậy, trường hợp xấu nhất đối với bạn: Bạn sẽ kết thúc với việc Chính sách nhóm triển khai các cài đặt "cũ hơn" mà Microsoft đã xóa khỏi ADMX và bạn sẽ không thể chỉnh sửa các cài đặt này bằng Bảng điều khiển chính sách nhóm.

=> Nếu bạn đang sử dụng Central Store: Sao lưu các tệp ADMX hiện tại và cập nhật các mẫu ADMX. Nếu cần, bạn có thể khôi phục các tệp ADMX cũ hơn.

=> Nếu bạn không sử dụng Central Store: Lưu ý rằng việc chỉnh sửa Chính sách nhóm từ Máy chủ 2019 sẽ sử dụng các tệp ADMX của Máy chủ 2019 (cục bộ), vì vậy, nếu bạn đã định cấu hình cài đặt "cũ hơn" mà Microsoft đã xóa với Máy chủ 2019, chúng sẽ hiển thị dưới dạng "Cài đặt đăng ký bổ sung" khi được xem từ máy chủ năm 2019 vì trình chỉnh sửa chính sách không biết cách hiển thị cho bạn các cài đặt này. Mở Bảng điều khiển chính sách nhóm từ Máy chủ 2012R2 sẽ sử dụng các tệp ADMX 2012R2 (cục bộ). (Nhân tiện, đó là lý do tại sao Cửa hàng Trung tâm được khuyến nghị vì bạn không muốn thấy các hành vi khác nhau trong bảng điều khiển GPO dựa trên "nơi" bạn đang chỉnh sửa chính sách...)

Bạn có thể hãy xem câu trả lời của tôi ở đây cũng vậy, về một tình huống tương tự.