Vista Management Stations and the Central Store
285
As you’re reading this right now, Vista is pretty darned new. But let’s fast forward a bit and 
assume, oh, that we’re up to Windows Vista + SP3. Yep, Windows Vista Service Pack 3 has 
just been released and you need to control the new whiz-bang features that only come with 
Windows Vista + SP3 client computers. (Again, I’m dreaming a little into the future here; new 
whiz-bang features might or might not come in service packs or other delivery vehicles, but 
stay with me through this example anyway).
“No problem!” you say, “I’ll just create a Windows Vista management station.” And you’d 
be right! Except that you already have a Windows Vista management station. So you wouldn’t 
want to run out and create a whole new machine just for this. You’d want to leverage the Win-
dows Vista management station you already have, right?
Sure!
This is easy! You’re a diligent administrator (you bought this book, after all), and you 
know you have two ways to update your current management station:
Apply SP3 to your Windows Vista management station. That would update the ADMX 
files which live in c:\windows\PolicyDefinitions.
Or, you could forgo applying SP3 to your Windows Vista management station and simply 
copy the ADMX (and associated ADML files) from another Windows Vista + SP3 
machine to your management station. Again, you’ll plunk them in the c:\windows\
PolicyDefinitions directory.
So, the message again sounds simple: whenever Microsoft has new ADMX/ADML files, get 
them into your management station.
Simple, yes—until you realize you have 20 administrators in your company, each with their 
own Windows Vista management station. Or you remember those administrators who love to 
bounce from machine to machine because they have three sites to run. Yikes! How are you 
going to guarantee that all of these administrators will use the updated ADMX files?
Let’s assume you’ve successfully upgraded your Windows Vista management station to SP3, 
but only some of your 20 administrators successfully upgrade to Windows Vista + SP3 (or have 
created custom ADMX files) (or jam in the ADMX files into c:\windows\PolicyDefinitions).
This becomes a big problem—fast. Here’s why: If you create a new GPO, that GPO will 
have the definitions for all the whiz-bang stuff Windows Vista + SP3 has to offer. However, 
when another administrator (who doesn’t have the latest ADMX files) tries to edit or report 
on that GPO, they simply won’t see the policy settings for Windows Vista + SP3 available.
GPMC reports about this newly created GPO would show them as “Extra 
Registry Settings,” but actually trying to edit the GPO itself will not show the 
new whiz-bang features.
What you need is a way to ensure that all administrators who are using Windows Vista 
management stations have a one-stop-shop way to ensure they’re getting the latest ADMX 
files. That way, everyone will be on the same page, and there will be no challenges when one 
administrator creates a GPO and another tries to edit it.
Pdf security password - C# PDF Digital Signature Library: add, remove, update PDF digital signatures in C#.net, ASP.NET, MVC, WPF
Help to Improve the Security of Your PDF File by Adding Digital Signatures
decrypt pdf online; advanced pdf encryption remover
Pdf security password - VB.NET PDF Digital Signature Library: add, remove, update PDF digital signatures in vb.net, ASP.NET, MVC, WPF
Guide VB.NET Programmers to Improve the Security of Your PDF File by Adding Digital Signatures
change pdf security settings reader; can print pdf security
286
Chapter 5
ADM and ADMX Template Management
Windows Vista Central Store
Windows Vista management stations have a trick up their sleeve. That is, they can use a 
“central store” for ADMX and ADML files. Recall that the ADMX files are the definitions 
themselves, and the ADML files are the language-specific files for each ADMX file.
The idea is that the central store lives on every Domain Controller. So, after the central 
store is created, your Windows Vista management station simply looks for it—every time it 
tries to create or edit a GPO—and it will automatically use the definitions contained within the 
ADMX files inside the central store.
This means you don’t have to worry about running around to each of your 20 management 
stations to update them whenever new ADMX files come out. You simply plop them in the 
central store and you’re done. You don’t even have to tell the Windows Vista management 
stations you did anything; they’ll just automatically look and use the latest definitions!
Here’s the best part: it doesn’t matter what kind of Domain Controllers you have. Doesn’t 
matter if you have Windows 2000, Windows Server 2003, Longhorn Server or a mix of all 
three. It’s the Windows Vista management station which is doing the work to look for the 
central store in the place upon the Domain Controller.
Wait, I’m going to stop here, and take a big deep breath and say it one more time. Because 
I know you’re reading fast and want to get to the good stuff. So, say it out loud if you have 
to: It doesn’t matter if you have Windows 2000, Windows Server 2003, Longhorn Server, or 
a mix of all three. It’s the Windows Vista management station which is doing the work to look 
for the central store in the place upon the Domain Controller.
Got it? You don’t have to “sell” your boss into upgrading the whole server back-end just 
to get this cool Central Store stuff.
So, let’s read on and make it happen.
Creating the Central Store
Creating the central store must be done by a Domain Administrator, because only a Domain 
Administrator has the ability to write to the location we need in SYSVOL. You can do this 
operation on any Domain Controller, because all Domain Controllers will automatically rep-
licate the changes we do here to all other Domain Controllers via normal Active Directory/
SYSVOL replication. However, it’s likely best to perform this on the PDC Emulator, because 
that’s the default location the GPMC and Group Policy Object Editor use by default.
To create the central store:
1. On the PDC emulator, use explorer or the command line to create a directory within 
%systemroot%\sysvol\sysvol\domain name\policies. You want to create a directory 
called PolicyDefinitions as seen in Figure 5.8.
2. We need a location to store our language-specific ADML files. Within PolicyDefinitions 
you’ll create a directory for each locale. Again, U.S. English is US-EN. For other locales, visit 
http://tinyurl.com/qpomo.
Note that the directory name must be the same as specified in the locale 
reference page. If it’s not, the ADMX file will not find its corresponding 
ADML file for that language.
VB.NET PDF Password Library: add, remove, edit PDF file password
RasterEdge XDoc.PDF SDK provides some PDF security settings about password to help protect your PDF document in VB.NET project.
decrypt a pdf file online; secure pdf file
C# PDF Password Library: add, remove, edit PDF file password in C#
Permission Using C#.NET. Help C# Developers to Improve the Security of Your PDF Document by Setting Password in C# .NET Application.
secure pdf; creating secure pdf files
Vista Management Stations and the Central Store
287
FIG U RE 5.8
Create a new directory called PolicyDefinitions in the Policies folder 
of SYSVOL
Populating the Central Store
Now, you simply have to get the ADMX and ADML files from your Windows Vista machine 
into the central store. There are a zillion possible ways to copy the files there. But, the steps 
are most easily done with two xcopy commands. This will work if your Windows Vista man-
agement station has access to the Domain Controller and that you have write rights.
To copy in the ADMX files into the central store from your Windows Vista manage-
ment station:
xcopy %systemroot%\PolicyDefinitions\*  
%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions
To copy in the ADML files into, say, the U.S. English directory we created earlier:
xcopy %systemroot%\PolicyDefinitions\EN-US\* 
%logonserver%\sysvol\%userdnsdomain%\policies\POlicyDefinitions\EN-US\
You can also use a free graphical utility for creating and populating the central 
store automatically at www.gpoguy.com/tools.htm.
Online Remove password from protected PDF file
hlep protect your PDF document in C# project, XDoc.PDF provides some PDF security settings. On this page, we will talk about how to achieve this via password.
copy from locked pdf; convert secure pdf to word
VB.NET PDF Library SDK to view, edit, convert, process PDF file
XDoc.PDF SDK allows users to perform PDF document security settings in VB.NET program. Password, digital signature and PDF text, image and page redaction will
pdf file security; convert locked pdf to word
288
Chapter 5
ADM and ADMX Template Management
Verifying You’re Using the Central Store
Once you’ve created the central store directories in SYSVOL and copied the ADMX and 
ADML files to their proper location, you’re ready to try it out! Start out by closing the GPMC 
if already open on your Windows Vista management station then re-opening it. You can fire 
up the GPMC by clicking Start and in the Run box typing gpmc.msc.
And, then just create and edit a GPO.
However, can you be sure you’re really using the central store? Even if you miscopied the 
files or misnamed a directory, it would likely still look like it was working. That’s because 
you’ll simply “fall back” to using your local c:\windows\PolicyDefinitions directory 
which holds your ADMX files.
So, on one of your Windows Vista management stations, I suggest a little test. That is, rename 
the PolicyDefinitions directory within c:\windows. If you rename it to something like zzz_
PolicyDefinitions, and you can continue to use the GPMC to create and edit GPOs—you 
therefore must be using the central store to pull those ADMX and ADML files.
There is a secondary test as well to help you verify that you’re using the central store. That 
is, when you create and edit a GPO, then click the Settings tab inside the GPMC, you’ll see a 
line under either Computer Configuration or User Configuration which says “Policy defini-
tions (ADMX files) retrieved from the central store.” You can see this in Figure 5.9.
FIG U RE 5.9
Any time you click the Settings tab, the impromptu report will demonstrate 
if you are using the Central Store for your ADMX files.
C# HTML5 Viewer: Deployment on AzureCloudService
RasterEdge.XDoc.PDF.HTML5Editor.dll. system.webServer> <validation validateIntegratedModeConfiguration="false"/> <security> <requestFiltering
change security settings pdf; copy locked pdf
C# HTML5 Viewer: Deployment on ASP.NET MVC
RasterEdge.XDoc.PDF.HTML5Editor.dll. system.webServer> <validation validateIntegratedModeConfiguration="false"/> <security> <requestFiltering
create pdf the security level is set to high; create secure pdf
ADM and ADMX Templates from Other Sources
289
Updating the Central Store
ADMX and ADML files will be updated. When Longhorn Server comes out, they’ll be newer 
than the ones in the “out of the box” Windows Vista. Likewise, when Windows Vista’s SP1, 
SP2, and so on comes out, those will be newer still, and so on.
When this happens, you’ll need to update the central store, which couldn’t be easier. Simply 
copy the latest and greatest ADMX files to the PolicyDefinitions directory you created in 
SYSVOL, and copy the latest and greatest ADML files to the language-specific directory 
within PolicyDefinitions.
Then you’re done.
Additionally, other products, like Office 2007 will have ADMX and ADML files. If you 
wish to make those available to all administrators, just do the same thing. Drop them into the 
central store and you’re done. (More about Office 2007 ADMX files a bit later.)
Office 2007 has, confusingly, both ADM templates and ADMX templates. As of 
this writing, ADMX templates are not available for download, but the ADM tem-
plates are. You can find the ADM templates here, www.tinyurl.com/hzfcr, but 
don’t bother putting them in the Central Store, because ADM templates and the 
Central Store don’t mix.
ADM and ADMX Templates from 
Other Sources
The templates Microsoft provides with Windows are just the beginning of possibilities when 
it comes to Administrative Templates. The idea behind additional templates is that you or 
third-party software vendors can create them to restrict or enhance features of either the 
operating system or applications.
If you know what to control, you’re in business. Just code it up in an ADM or ADMX 
file and utilize it. If you’re starting from scratch and have a choice, of course you’ll want to 
use ADMX files instead of ADM files. That’s because you can leverage the central store for 
ADMX files instead of remembering to copy ADM files to every management station.
However, it should be noted that you might already be using an ADM file or three. If you are, 
how do you get them to the ADMX “promised land”? A free tool, of course. Before we get into 
that, I will say that’s the best option: get those custom and additional ADM files into ADMX for-
mat and leverage the central store. However, for completeness, I do want to explain what hap-
pens if you try to introduce an ADM file directly into a Windows Vista management station.
VB.NET PDF Page Extract Library: copy, paste, cut PDF pages in vb.
DNN (DotNetNuke), SharePoint. Security PDF component download. Online source codes for quick evaluation in VB.NET class. A good external
pdf secure; change pdf document security
.NET PDF SDK - Description of All PDF Processing Control Feastures
Easy to change PDF original password; Options for setting PDF security level; PDF text content, image and pages redact options. PDF Digital Signature.
pdf security options; change pdf security settings
290
Chapter 5
ADM and ADMX Template Management
Using ADM Templates from Other Sources
Recall that ADM templates are the pre-Vista way to make definitions of what we can control. 
And, recall that there are both true policies and preferences which can be defined within an 
ADM file (or, ADMX file too).
Policies write to the “correct” place in the target computer’s Registry. And, when the user 
or computer falls out of the “scope of management” of the GPO (that is, it doesn’t apply to 
them anymore), the setting should revert back to the default.
Preferences write anywhere in the Registry that the application might be looking for it. Pref-
erences tattoo the Registry. So, when the user or computer falls out of the scope of manage-
ment of the GPO, the setting just sticks around.
You have the ability to get some ADM files from various sources. These ADM files some-
times have definitions for true policies. Other ADM files have definitions for preferences. How 
do you know which are which? The good news is, the Group Policy Object Editor interface 
shows you a difference between the two.
In Windows XP (and earlier) it shows blue for policies and red for preferences. In Windows 
Vista, it shows a little paper icon for Policies and a paper icon with a down arrow for prefer-
ences. That way, you can make an informed decision on whether or not you want to imple-
ment a preference.
Indeed, on GPanswers.com (http://www.gpanswers.com/faq/ in the “Tips and Tricks” 
section halfway down the page), we have a gaggle of downloadable ADM templates that people 
have created to control various aspects of applications and of their systems.
Leveraging ADM Templates from Your Windows Vista 
Management Station
If you want to leverage and load one of these ADM templates into an existing GPO, simply 
edit it using the GPMC and bringing up the Group Policy Object Editor as seen in Figure 5.10. 
Then, choose either User Configuration  Administrative Templates or Computer Configu-
ration  Administrative Templates, right-click over either instance of Administrative Tem-
plates, and choose Add/Remove Templates to open the Add/Remove Templates dialog box.
Click the Add button to open up the file requester, and select to load the ADM template you 
want. I’ll show you in the next section or two where to track down more ADM files, but I 
wanted to show you this first so you’d know how to use them.
The original (pre-Vista) default location to start looking for ADM files is from \windows\inf; 
however, in practice you could store your ADM files anywhere. Just remember that every time you 
use an ADM template, you’re copying that file directly into the GPO within SYSVOL.
When adding an Administrative Template, the interface suggests that you 
can choose to add it from either the Computer Configuration or the User Con-
figuration node. In actuality, you can add the ADM template from either sec-
tion, and the appropriate policy settings appear under whichever node the 
ADM template was designed for.
ADM and ADMX Templates from Other Sources
291
FIG U RE 5.10
You can still Add/Remove Templates from a GPO you create with 
Windows Vista.
Once ADM templates are added using a Windows Vista management station, ADM tem-
plates show up under a special node within the Group Policy Object Editor, called “Classic 
Administrative Templates (ADM)” as seen in Figure 5.11. In Figure 5.11, I’ve loaded an ADM 
template for Word 2003 (again, I’ll show you where to get these templates in a minute so you 
can experiment, too).
Viewing Old-Style Preferences
Again, ADM files can have definitions for true policies or for old-style preferences. If you load 
additional ADM templates into the Group Policy Object Editor (as shown in Figures 5.12), 
that contain old-style preferences, you simply won’t see them as available in the Group Policy 
Object Editor.
A little later, I’ll show you how to “create your own” ADM file which controls the Win-
dows XP start sound. However, that trick won’t produce a proper policy; rather, it produces 
an old-style preference.
Once you have the ADM file in hand, you’ll load it into the GPO the same way. Choose 
either User Configuration  Administrative Templates or Computer Configuration  Admin-
istrative Templates, right-click over either instance of Administrative Templates, and choose 
Add/Remove Templates (see Figure 5.10) to open the Add/Remove Templates dialog box.
292
Chapter 5
ADM and ADMX Template Management
FIG U RE 5.11
ADM templates are permitted in GPOs created from Windows Vista 
management stations. True policy settings are automatically available for use.
Click the Add button to open up the file requester, and select to load the ADM template you 
want. I’ll show you in the next section or two where to track down more ADM files, but I 
wanted to show you this first so you’d know how to use them.
Once loaded, you’ll see the same Classic Administrative Templates (ADM) node and the list 
of categories contained within the ADM file containing preferences (as seen in Figure 5.12). But, 
you won’t see any settings. Again, that’s because the Group Policy Object Editor automatically 
prevents you from seeing preferences—you need to turn on that ability inside the GPO.
To see the preference settings contained within the ADM file, use the menu at the top and 
select View  Filtering to open the Filtering dialog box, as shown in Figure 5.13.
By default, the “Only show policy settings that can be fully managed” check box is 
checked. This is a safety mechanism that prevents old-style tattooing policies from being 
visible. Uncheck the check box, and you’ll be in business.
After you turn on the ability to see the preferences within the interface, you’ll notice that 
icons for old-style preferences have paper icon with a down arrow on them. This is to indicate 
that this is a preference and not a true policy, and these values will stick around even after the 
policy no longer applies to the user or computer.
Indeed, the Windows Vista Group Policy Object Editor is nice enough to even tell you 
this fact, as seen in Figure 5.14. You can see the little “down arrow” icon for any tattooing 
“preference.”
ADM and ADMX Templates from Other Sources
293
FIG U RE 5.12
ADM files containing preferences will show the categories available, but 
not the actual preferences until you enable that feature for the GPO.
FIG U RE 5.13
To see old-style preferences, clear the “Only show policy settings that 
can be fully managed” check box. This check box is checked by default to prevent you from 
seeing old-school preferences.
294
Chapter 5
ADM and ADMX Template Management
FIG U RE 5.14
Windows Vista’s Group Policy Object Editor warns you about the issues 
when leveraging preferences and not policies.
Microsoft Office ADM Templates
If you are also interested in deploying Office 2000, Office XP, or Office 2003, you’ll be happy 
to know that they each come with a slew of customized ADM templates for you to import and 
use to your advantage.
For Office 2000, download the Office 2000 Resource Kit tools at www.microsoft.com/
office/ork/2000/appndx/toolbox.htm.
For Office XP, download the Office XP Resource Kit tools at www.microsoft.com/
office/ork/xp/appndx/appa18.htm.
Office 2003 templates are located in the Office 2003 Resource Kit. Check www.microsoft
.com/office. At last check, some even newer templates are available in the Office 2003/
SP2 Resource Kit at http://tinyurl.com/4wxxn.
Office 2007 templates are located at http://tinyurl.com/2w9qs7. However, Office 2007 
is the first to also ship with ADMX templates (discussed a little later).
For information on how to automatically deploy Office 2000, XP, or 2003 (with 
patches and personalized customizations) to your users, see Chapter 10.
Documents you may be interested
Documents you may be interested