Con Windows Vista è stato introdotto il supporto per un nuovo formato di template amministrativi che prende il nome di ADMX il cui scopo è quello di sostituire il vecchio ADM, vediamo di capire perché è stata fatta questa scelta e cosa sia necessario conoscere per utilizzarlo.
Perché ADMX?
I motivi che hanno spinto Microsoft ad introdurre ADMX sono principalmente due:
- Risolvere una problematica definita "SYSVOL bloat", cioè l'eccessivo aumento in dimensioni della cartella SYSVOL (replicata tra tutti i Domain Controller) causato proprio dal modo in cui vengono interpretati e memorizzati i template ADM all'interno delle Group Policy. Essi infatti, quando utilizzati in Windows 2003, vengono prelevati dalla cartella "%WINDIR%\Inf" per poi essere memorizzati all'interno della cartella SYSVOL dei Domain Controller, in particolare nel percorso "%LOGONSERVER%\SYSVOL\%USERDNSDOMAIN%\Policies\*GPO GUID*\ADM\". Ogni policy creata contiene almeno una copia dei 5 template base per una dimensione totale di quasi 4 MB, questa particolarità può rappresentare un grosso problema per quelle realtà che fanno largo uso di Group Policy e che vedono così sprecare inutilmente il proprio spazio disco ed aumentare il carico di replica. Con il nuovo formato ADMX tutti i template amministrativi non vengono più copiati automaticamente in SYSVOL ma possono invece essere ospitati in una singola cartella definita "Central Store" la quale viene replicata tra i Domain Controller ed utilizzata come base per tutti gli oggetti Group Policy creati mediante le versioni più recenti di GPMC (Group Policy Management Console) introdotte con Windows Vista.
- Gestire in maniera più intelligente le traduzioni/localizzazioni dei template amministrativi. Nel formato ADM le strighe di testo che compongono i template sono "hardcoded", per questo motivo ne risulta praticamente impossibile la localizzazione che risulterebbe molto utile alle realtà multinazionali che hanno bisogno di applicare e modificare gli stessi oggetti Group Policy utilizzando sistemi operativi in diverse lingue. Come vedremo ADMX risolve questo problema estraendo/referenziando queste stringhe di testo ed inserendole all'interno di appositi file, con estensione ADML, che risultano così essere specifici per la lingua del sistema operativo.
Le principali differenze tra ADM e ADMX
Escludendo le ovvie differenze sintattiche in quanto ADMX è completamente basato sul linguaggio XML, i punti di cui sopra sono proprio alla base della diversità dei due formati, per cercare di comprendere meglio ciò di cui stiamo parlando mettiamo ora a confronto un Domain Controller Windows 2003, che utilizza una versione di GPMC precedente a quella introdotta con Windows Vista (solo ADM - senza supporto ADMX), ed un Domain controller Windows 2008 che utilizza invece la nuova versione di GPMC (con supporto ADMX).
Nelle seguenti immagini vediamo come in Windows 2003 le Group Policy contenute in "%LOGONSERVER%\SYSVOL\%USERDNSDOMAIN%\Policies\" comprendano una cartella denominata "ADM" all'interno della quale sono presenti tutti i template amministrativi che le compongono
[1]
[2]Nelle Group Policy create con Windows 2008 la cartella "ADM" invece non esiste
[3]
[4]In questo secondo caso i file ADMX sono infatti contenuti nella cartella "%WINDIR%\PolicyDefinitions" e non vengono copiati nella cartella SYSVOL, dagli screenshot si nota anche la presenza di una sottocartella "it-IT" nella quale troviamo i file ADML necessari per la localizzazione italiana dei template amministrativi.
[5]
[6]Gli ADML non contengono altro che la traduzione in lingua delle stringhe di testo referenziate in un file ADMX attraverso una variabile/puntatore; in un sistema operativo in lingua inglese questi sarebbero contenuti nella cartella "en-US", in spagnolo "es-ES", in francese "fr-FR", ecc... in questo modo ogni sistema operativo può modificare un oggetto Group Policy visualizzandone le varie opzioni nella propria lingua.
Dal sito Microsoft è possibile scaricare un pacchetto di tutti gli ADML (in varie lingue) relativi ai template amministrativi predefiniti: Administrative Templates (ADMX) for Windows Server 2008 [7]
A questo punto potrebbe sembrare che se volessimo utilizzare alcuni template amministrativi "Personalizzati" (come ad esempio questo [8]) saremmo costretti a copiarli manualmente nella cartella "%WINDIR"\PolicyDefinitions" di tutti i computer che potenzialmente potrebbero modificare la relativa Group Policy. In passato, con il formato ADM, il problema non si è mai presentato proprio grazie al fatto che i file ADM "Personalizzati" venivano automaticamente copiati nella cartella SYSVOL e per questo motivo erano disponibili ed utilizzabili, se pur con le suddette problematiche legate alla loro localizzazione, da qualsiasi computer del dominio. In realtà anche i file ADMX e ADML possono essere ospitati nella cartella SYSVOL, più precisamente in un percorso che prende il nome di "Central Store", tale cartella va creata manualmente ed il suo percorso è: "%LOGONSERVER%\SYSVOL\%USERDNSDOMAIN%\Policies\PolicyDefinitions"; al suo interno possiamo copiare tutti i file ADMX ed ADML (anche quelli "Personalizzati") necessari ai sistemi operativi dell'intero dominio. Nelle due immagini seguenti vediamo come potrebbe essere il "Central Store" di un dominio in cui gli oggetti Group Policy vengono modificati da sistemi in lingua italiana ed inglese, notate le cartelle "it-IT" ed "en-US" nelle quali sono stati copiati i file ADML delle rispettive localizzazioni.
[9]
[10]Da questo momento in poi ogni GPMC compatibile con il formato ADMX utilizzerà in modo preferenziale i template amministrativi contenuti in questa cartella "Central Store". Vediamo qui di seguito due immagini della GPMC prima e dopo la creazione del "Central Store", notate la scritta nel tooltip giallo
[11]
[12]Riassumendo potremmo dire che:
- ADMX è basato su XML ma in ogni caso la sintassi assomiglia ancora molto ad ADM
- I template ADM si trovano nel percorso "%WINDIR%\INF"; I template ADMX si trovano nel percorso "%WINDIR%\PolicyDefinitions"
- I template ADM vengono memorizzati automaticamente in SYSVOL occupando spazio disco nelle singole cartelle di Group Policy (GPT); I template ADMX non vengono memorizzati automaticamente in SYSVOL, è possibile creare un "Central Store" ma in ogni caso non viene occpuato spazio disco nelle singole cartelle di Group Policy (GPT)
- ADM non supporta le traduzioni/localizzazioni in diverse lingue; ADMX supporta le traduzioni/localizzazioni in diverse lingue grazie ai file ADML
- Un template amministrativo ADM è composto da un singolo file; un template amministrativo ADMX è composto da almeno due file (ADMX+ADML)
- ADM è compatibile con tutte le versioni di GPMC; ADMX è compatibile soltanto con le nuove versioni di GPMC a partire da quella introdotta da Windows Vista
- Gli oggetti Group Policy creati utilizzando template ADMX sono perfettamente compatibili con tutti i sistemi operativi a partire da Windows 2000, per questo motivo è possibile abbandonare l'uso di ADM anche in ambienti basati su Windows XP/Windows 2003
Compatibilità di ADMX con XP e 2003
Group Policy è di fatto una tecnologia lato client, tutti gli aspetti descritti in questo articolo non influiscono assolutamente sul modo in cui i computer membri del dominio scaricano ed applicano gli oggetti Group Policy; ADM, ADMX e ADML sono infatti formati utilizzati esclusivamente dallo strumento GPMC al fine di generare il file "registry.pol", quest'ultimo è l'elemento chiave nel processo di applicazione delle Group Policy e la sua sintassi resta invariata. Questo significa che sarebbe possibile creare un "Central Store" ed utilizzare ADMX anche in quelle realtà che possiedono soltanto sistemi Windows XP e Windows Server 2003, l'unico requisito è quello di avere a disposizione almeno un client Windows Vista o Windows 7 (ovviamente anche Windows 2008 Server è adatto) dal quale gestire le Group Policy mediante RSAT (il quale contiene la nuova versione di GPMC per Vista [13] e per 7 [14]). Sarebbe addirittura possibile cancellare tutti i file ADM presenti nella cartella SYSVOL, ovviamente in questo caso non si riusciranno più ad utilizzare le vecchie versioni di GPMC per creare o modificare oggetti Group Policy.
Convertire gli ADM "Personalizzati" in formato ADMX
Un buon punto di partenza per iniziare a convertire i propri file ADM "personalizzati" è ADMX Migrator [15], un utilissimo strumento purtroppo ancora molto lontano dall'essere perfetto. Non vi nascondo che spesso è necessario intervenire manualmente per sistemare qualche aspetto dei file ADMX da generati.