Einsatz von Gruppenrichtlinien auf einer Workstation ohne Server
Lösungsansätze:
a) gpedit.msc - Der Gruppenrichtlinien Editor ab Windows 2000
b) poledit.exe - Der
Systemrichtlinien-Editor seit NT
c)
Windows SteadyState, ersetzt das Microsoft Shared Computer Tool Kit
gpedit.msc - Der
Gruppenrichtlinien Editor ab Windows 2000
Diese Lösung ist in der Newsgroup schon einige Male veröffentlicht worden und
ist auf ein Windows 2000 System angepasst. Einige Dialoge werden bei Windows XP
nichts ganz hinhauen, aber das System an sich dürfte nicht großartig variieren.
Ein Test oder eine passende Beschreibung für den Einsatz unter Windows XP ist
sehr willkommen.
Das Problem: Verwendet man den GPEditor
gpedit.msc, dann gelten alle Einstellungen auch sofort für den Administrator und
man hat sich klassisch ausgesperrt.
Anleitung: Gruppenrichtlinien - Policies unter 2000 professional
| Wichtiges vorweg: | |
| - | Der Name Gruppenrichtlinien ist unglücklich gewählt. Wenn ich die "Gruppenrichtlinien" benutze betrifft es ALLE User. Auch den Administrator. Diese Wortproblematik ist ebnfalls in einen Active Directory wiederzufinden, da es nicht so einfach ist Gruppenrichtlinien für einen Sicherheitsgruppe vorzugeben. Ein HowTo für die Vorgehensweise im AD findet ihr im HowTo: Richtlinien für Benutzergruppen |
| - |
Alle Änderungen werden !! sofort !! in die Registry geschrieben UND sofort
aktiviert! Dabei werden die Einstellungen unter dem Knoten 'Benutzerkonfiguration\Administrative Vorlagen' in die Registry des aktuell angemeldeten Benutzers eingetragen (HKEY_ CURRENT_USER), die Einstellungen unter dem Knoten 'Computer-konfiguration\Administrative Vorlagen' werden im einen benutzerunabhängigen Teil der Registry (HKEY_LOCAL_MACHINE) gespeichert. |
| - | Nur Mitglieder der Gruppe Administratoren können die Gruppenrichtlinie mit
dem MMC-SnapIn 'gpedit.msc' konfigurieren. |
| Einrichtung: | |
| 1. |
Start -> Ausführen "gpedit.msc" Alternativ, Erstellung einer eigenen Konsole nur für Benutzer und Richtlinien, Start -> ausführen „MMC" -> Einbinden der Snap-Ins: Lokale Benutzer und Gruppen + Gruppenrichtlinie. Speichern der Console möglich, bei häufigerem Aufruf auch sinnvoll. |
| 2. | Erstellung eines Vorlagen-Benutzers ABER als Mitglied der Administratoren!
(Neuer User => "Vorlage" -> Administrator) |
| 3. |
Anmeldung als Vorlagenbenutzer und Richtlinien setzen wie man auch immer
möchte. Die Änderungen werden sofort durchgeführt und an zwei Stellen automatisch und direkt in zwei verschiedenen Dateien gespeichert: |
| a) als ntuser.pol im aktuellen Profilverzeichnis des Vorlagen-Users ( i.d.R. unter \Dokumente und Einstellungen\ %username% ) | |
|
b) als registry.pol unter
%systemroot%\system32\GroupPolicy\User, bzw. unter %systemroot%\system32\GroupPolicy\Machine,
wenn die Änderungen den PC betreffen |
|
| 4. |
Die letztgenannten registry.pol Dateien müssen gelöscht oder umbenannt werden,
oder dem Administrator per NTFS Berechtigungen das Leserecht verweigert werden.
Ansonsten importiert der Administrator automatisch die Einstellungen aus diesem
Verzeichnis in seine eigene ntuser.dat. Achtung: Es reicht nicht die gültige ntuser.pol
des Vorlagen- Benutzers in ein Profilverzeichnis eines anderen Benutzers
zu kopieren, um auch diesem User die Einschränkungen mitzugeben. Eine
Möglichkeit einem neuen Benutzer die Policies mitzugeben ist natürlich
die Kopie des Benutzerprofils per System -> Benutzerprofile kopieren (Rechte
bedenken). Da ja die Registry - Einträge mitgegeben werden. Siehe auch: Erstellung eines netzwerkweit gültigen DEFAULT USER Profils |
| "Group Policies for Windows 2000 Professional Clients in Windows NT 4.0 Domain
or Workgroups" http://support.microsoft.com/default.aspx?scid=kb;en-us;274478 |
|
| Verwendung dieser Einstellungen auf einem anderen System: | |
| 1. |
copy der registry.pol Dateien aus %systemroot%\system32\GroupPolicy auf
das Zielsystem. |
| 2. | evtl. Anpassung der %systemroot%\system32\grouppolicy\gpt.ini, Erhöhung des Versionszählers. Am einfachsten eine 0 ans Ende oder eine 1 an den Anfang stellen. |
| 3. |
gpupdate /force bei XP bzw. secedit /refreshpolicy ... unter W2K sollte
auch gehen. Siehe auch: Security Templates: secedit in der CMD |
poledit.exe - Der
Systemrichtlinien-Editor seit NT
Eine weitere Möglichkeit bietet immer noch "poledit.exe" wie schon unter NT.
Das hat
aber den Nachteil, daß man die *.adm Dateien von W2K/XP umbauen muss und eine
aktuelle Version von poledit.exe braucht. 2K/XP bringen neue syntaktische Befehle
(EXPLAIN, CLIENTEXT und GPEditor Abfrage über #if) mit. Die können von der NT4
poledit.exe nicht verarbeitet werden und das Programm friert beim
Import/Einlesen der Dateien ein.
Eine aktuelle Poledit.exe findet ihr im adminpak.msi auf jeder Server CD. In den
von mir für poledit umgebauten ADM Templates ist sie ebenfalls enthalten.
| Kurzanleitung: Umbau der ADM Dateien für den Einsatz mit einer aktuellen poledit Version | |
| 1. | alle Zeilen/Einträge beginnend mit #if und #end löschen |
| 2. |
Datei "Speichern unter" -> Dateiname kann bleiben, aber als ANSI nicht
UNICODE ablegen. |
|
Längere Anleitung: ADM Templates - Poledit Umbau |
|
|
Download der angepassten ADM Dateien von meiner Seite: Microsoft ADM Temlates: Orginal und Poledit Umbauten |
|
| Einrichtung: | |
| 1. |
poledit.exe starten, direkt über Optionen -> Richtlinienvorlage die zu
verwendenden ADM Templates auswählen |
| 2. |
warten ... Ernst gemeint. Wer die XP ADMs unter poledit einliest braucht
Zeit. 19.000 Zeilen wollen Zeile für Zeile auf Syntax überprüft werden |
| 3. |
Datei -> Neu |
| 4. |
FINGER WEG von Datei ->
Registrierung öffnen, dieses editiert die Registry Online und man kann
sich wieder mal wunderbar selbst aussperren. |
| 5. |
FINGER WEG vom Standardbenutzer denn
der beinhaltet auch den Administrator |
| 6. |
Einfach über Bearbeiten -> Benutzer hinzufügen den gewünschten User
(oder die Gruppe) der eingeschränkt auswählen. Wer die Gruppe
"Benutzer" auswählt, ist selber schuld, denn ratet mal wer da auch
Mitglied drin ist ... |
| 7. | Nach Konfiguration aller Einstellungen über "Datei speichern unter" bleiben 2 Möglichkeiten: |
| a) als ntconfig.pol unter %systemroot%\system32\repl\import\scripts auf der lokalen Workstation hinterlegen, wobei der Pfad ab \repl erst noch erstellt werden muss | |
|
b) als selbstgewählter Dateiname in einem selbsgewählten Verzeichnis |
|
| 8. | Wer 7b als Lösunge verwendet hat, muss die Registry noch anpassen, damit der Rechner (die winlogon.exe) auch weiß, von wo sie welche Datei einlesen soll. |
| [HKLM\System\CurrentControlSet\Control\Update] | |
| "UpdateMode"=0x00000002 | |
| "NetworkPath"="x:\derpfad\diedatei.pol" | |
| Value “Updatemode” 0 No policies. System policies are not applied, because no source file is specified. 1 Automatic. System policies are read from the Net Logon share of the authenticating server. 2 Manual. The system policy file is specified in the value of NetworkPath. |
|
|
Viel mehr dazu, siehe auch: Implementing Policies and Profiles for Windows NT 4.0 http://www.microsoft.com/ntserver/techresources/management/prof_policies.asp http://www.microsoft.com/ntserver/docs/prof_policies.doc |
|
Windows SteadyState, ersetzt das Microsoft Shared Computer Tool Kit
Da ist nicht viel zu zu sagen, ausser, daß es nur die wichtigsten
Einschränkungen integriert hat und damit weniger kennt als gpedit/poledit, dafür
aber auf eine Weboberfläche für die Konfiguration zurückgreift und insgesamt
wesentlich leichter zu administrieren ist, als Gruppenrichtlinien ohne AD.
Ebenfalls nicht uninteressant ist, daß die Festplatte vor Veränderungen
geschützt werden kann, ähnlich der Lösungen, die sonst nur Hardware wie HDD
Sheriff oder PC Wächter bieten.
Windows Steady Sate
http://www.microsoft.com/downloads/details.aspx?FamilyID=d077a52d-93e9-4b02-bd95-9d770ccdb431&displaylang=en
Windows SteadyState Readme File
http://download.microsoft.com/download/7/8/C/78C3C3AA-A091-46BB-92A3-A74EBD2DC517/Readme.txt
Windows SteadyState Handbook
http://www.microsoft.com/downloads/details.aspx?FamilyId=D64AF114-336C-4418-BEB7-E074E813B498&displaylang=en
Windows SteadyState Technical FAQ
http://www.microsoft.com/downloads/details.aspx?FamilyId=3D91C4B1-0978-44C2-9014-07E0932384E5&displaylang=en
Windows SteadyState Worldwide page
http://www.microsoft.com/windows/products/winfamily/sharedaccess/worldwide.mspx
(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright