Zentrale Konfiguration über Windows-Systemrichtlinien

german

#1

Die Verwaltung von benutzer-, rechner- und gruppenbezogenen Einstellungen über Richtlinien stellt einen bewährten Mechanismus unter Microsoft Windows Betriebssystemen dar. In diesem Artikel wird beschrieben, wie Systemrichtlinien in UCS Umgebungen anstelle von Gruppenrichtlinien unter Active Directory Umgebungen eingesetzt werden können. Es soll gezeigt werden, dass sich auch über Systemrichtlinien komplexe Konfigurationen für Gruppenstrukturen abbilden.

In der Registrierungs-Datenbank eines Windows-Rechners sind Einstellungen für die verschiedensten Systembereiche enthalten. Es gibt Einstellungen, die sich auf das Betriebssystem selbst und installierte Anwendungen oder auf den gerade angemeldeten Benutzer beziehen und solche, die sich als Vorgaben für alle Benutzer gelten. In Systemrichtlinien sind Registrierungs-Einträge enthalten, die bei der Anmeldung eines Benutzers an einem Windows-Client in die lokale Registrierungs-Datenbank übernommen werden. Ein Administrator erstellt Richtlinien mit dem Systemrichtlinien-Editor und legt sie in der globalen NETLOGON-Freigabe auf UCS Domaincontroller Systemen mit installierter Komponente Services for Windows ab.

Windows kennt zwei Typen von Richtlinien. In Windows NT4-Domänen werden Systemrichtlinien verwendet. Diese werden mit dem Systemrichtlinien-Editor ‘poledit’ verwaltet. In Active-Directory Domänen werden Gruppenrichtlinien verwendet. Diese werden mit dem Gruppenrichtlinien-Editor verwaltet und können über einen Vererbungsmechanismus in Active-Directory Struktur eingebunden werden. Die Gruppenrichtlinien in Active Directory haben einen wesentlich größeren Umfang als die Systemrichtlinien in NT4.

Standardmäßig sind die umfangreichen Möglichkeiten der Gruppenrichtlinien nur in Active Directory Domänen verfügbar. Mit wenigen Anpassungen können diese allerdings in NT4-Domänen also auch in UCS Domänen genutzt werden.
Grundlage für das Erstellen von Richtlinien in der jeweiligen Editor-Version sind Richtlinien-Templates, auch ADM-Templates genannt. Ein Richtlinien-Template ist eine Text-Datei, in der alle zu verwaltenden Einstellungen den jeweiligen Abschnitten der Registriertungs-Datenbank zugeordnet sind. Für die unterschiedlichen Windows Versionen gibt es jeweils eigene Richtlinien-Templates, da auf den Windows-Versionen unterschiedliche Schlüsselwörter in der Registrierungs-Datenbank unterstützt werden. Der Aufbau der adm-Dateien bezieht sich stark auf die registry-Einträge einer Windows-Version. Neben den zahlreichen vorhandenen Richtlinien-Templates lassen sich zusätzlich eigene aus .reg-Dateien erstellen. Dazu gibt es Tools wie reg2adm, zu beziehen unter http://www.it-training-grote.de/downloads.php.

Evtl. müssen diese Dateien noch überarbeitet werden.

Grundsätzlich können auch mit dem Systemrichtlinien-Editor Richtlinien erstellt werden, die auf Gruppenrichtlinien-Templates basieren, die zugrunde liegende Technik ist die gleiche. Um zu verhindern, dass Einstellungen aus neueren Windows-Versionen auch in alten Versionen des Richtlinien-Editors angezeigt werden, sind in Template-Dateien Elemente enthalten, welche die Versionsnummer des Editors mit einer im Element enthaltenen Versionsnummer vergleichen. Ist die Versionsnummer des verwendeten Editors kleiner, werden die Einstellungen nicht angezeigt. Da der Gruppenrichtlinien-Editor eine höhere Versionsnummer als der Systemrichtlinien-Editor hat, können so im Systemrichtlinien-Editor Einstellungen unterdrückt werden. Darüber hinaus verwenden neuere Richtlinien-Templates teilweise syntaktische Elemente, die nur von aktuellen Versionen des Systemrichtlinien-Editors unterstützt werden.

Um in einer UCS Domäne Richtlinien zu verwenden, die Einstellungen aus Gruppenrichtlinien enthalten, müssen daher angepasste Richtlinien-Templates im Systemrichtlinien-Editor verwendet werden. Die erforderlichen Anpassungen sind unter gruppenrichtlinien.de/index. … _Umbau.htm beschrieben. Auf dieser Web-Seite werden bereits angepasste Richtlinien-Templates inklusive passender Version des Systemrichtlinien-Editors zum Herunterladen angeboten, so dass das zeitintensive Editieren der Original-Dateien ausbleiben kann.
Im folgenden Beispiel soll festgelegt werden, dass in einer Umgebung mit Windows-XP Rechnern nur Benutzer der Gruppe ‘Adminusers’ auf lokale Laufwerke (Festplatten, CD-Laufwerke, Wechselmedien) zugreifen dürfen:

[ul] 1. Von gruppenrichtlinien.de/index. … _Umbau.htm werden die für Poledit angepassten Richtlinien-Templates für Windows XP heruntergeladen.

  1. Das Zip-Archiv wird in einen Ordner extrahiert. In diesem befindet sich neben den angepassten Richtlinien-Templates auch eine Poledit-Version für Windows-XP.

  2. Der Administrator startet die mitgelieferte Poledit-Version. Über ‘Optionen’ -> ‘Richtlinienvorlagen’ wird der Dialog zum Einbinden von Richtlinien-Templates geöffnet. Die heruntergeladenen Templates werden in die Liste aufgenommen und der Dialog durch Klicken auf ‘Ok’ verlassen. Die Richtlinien-Vorlagen werden umgehend geladen. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

  3. Über ‘Datei’ -> ‘Neue Richtlinie’ wird eine neue Richtlinie angelegt. Die einzigen enthaltenen Elemente sind ‘Standardbenutzer’ und ‘Standardcomputer’. Über die Schaltfläche ‘Gruppe hinzufügen’ wird der entsprechende Dialog geöffnet. Es sollen Gruppen-Objekte für ‘Domain Users’ und für ‘Adminusers’ angelegt werden. Die Gruppennamen sollten dabei nicht über die Tastatur eingegeben werden, sondern über ‘Durchsuchen’ aus der Liste der Gruppen der Domäne ausgewählt werden.

  1. Über Doppelklick auf das Icon ‘Domain Users’ wird der Einstellungsdialog geöffnet. In der Liste der Einstellungen findet sich unter ‘Windows-Komponenten’ -> ‘Windows-Explorer’ der Eintrag ‘Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen’. Standardmäßig ist das Auswahlkästchen grau schattiert. Die graue Schattierung bedeutet, dass die lokale Einstellung Vorrang hat. Durch Klick in das Auswahlkästchen wird die Option aktiviert (Haken ist gesetzt). Danach kann auf den Dialog zur Auswahl der Kombination zugegriffen werden. Es soll ‘Alle Laufwerke einschränken’ ausgewählt werden. (An dieser Stelle lassen sich unterschiedliche Kombinationen auswählen, z.B. ‘Zugriff auf Laufwerke A: und B: einschränken’, ‘Zugriff auf Laufwerke A:, B: und C: einschränken’.)

  1. Danach wird per Doppelklick die Gruppe ‘Adminusers’ geöffnet. Bei dieser Gruppe wird mehrmals in das Auswahlkästchen der Einstellung ‘Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen’ geklickt, bis es leer (nicht grau schattiert) ist. Diese Einstellung bedeutet, dass bei Mitgliedern dieser Gruppe der Zugriff nicht beschränkt sein soll.

  2. Als letzte Anpasung wird vorgegeben, welche Einstellung aus einer Gruppenrichtlinie Vorrang hat, wenn ein Benutzer in mehreren Gruppen mit konkurrierenden Einstellungen Mitglied ist. Im Systemrichtlinien-Editor wird über ‘Optionen’ -> ‘Gruppenpriorität’ der entsprechende Dialog geöffnet. Nachdem ein Gruppenname markiert ist, kann über die Schaltflächen ‘nach oben’ und ‘nach unten’ die Reihenfolge angepasst werden.

  1. Die Richtlinie wird über ‘Datei’ -> ‘Speichern unter’ in eine POL-Datei mit Namen ntconfig.pol geschrieben.

  2. Diese Datei wird auf die NETLOGON-Freigabe des UCS Domaincontroller Systems kopiert, der als Primary Domain Controller konfiguriert ist, kopiert. (In der Regel der UCS Domaincontroller Master). Melden sich Benutzer an einem Windows-Client an der Domäne an, wird die Einstellung aus der Richtlinie übernommen.
    [/ul]

Hinweis: Durch die regelmäßige Synchronisierung der NETLOGON-Freigabe auf weitere UCS Domaincontroller Systeme mit installierter Komponente ‘Services for Windows’ kann es bis zu 60 Minuten dauern, bis die Richtlinie auf allen Logon-Servern verfügbar ist.


Pfad des lokalen benutzerprofils ist "falsch"
#2

Hallo,

bin nach o.g Schema vorgegangen. Sowohl für xp, als auch für w2k clients wurde ein *.pol erstellt und ins netlogon Verzeichnis kopiert. Die Beschränkungen werden aber von keinem der Clients übernommen.

Der verwendete Master steht im gleichen Netzsegment. Es ist der von ihnen zur Verfügung gestellte aus dem Downloadbereich(Demo VMWare Image).

Wo ist die Fehlerursache zu suchen? Danke.

MfG


#3

Guten Tag!

Die mit dem Systemrichtlinien-Editor erstellte Datei muß den Dateinamen ntconfig.pol erhalten, damit sie von den Clients übernommen wird.

Mit freundlichem Gruß,

Sönke Schwardt

#4

O.K danke, aber wie löst man dann das Problem, XP- und W2k Clients unterschiedliche Einstellungen zuzuweisen, wenn die Bennenung statisch ist? Auserdem besteht die Möglichkeit, unterschiedliche Templates in poledit zu laden, die ja jeweils neu abgespeichert werden müssten oder lassen sich alle Templates in poledit zu einer ntconfig.pol migrieren?

MfG


#5

Die ntconfig.pol wird jetzt ausgeführt, jedoch öffnet sich nach der Anmeldung am Client ein Editofenster mit folgendem Inhalt

[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


#6

Guten Tag,

Eine Betriebssystem-abhängige Unterscheidung ist derzeit nicht möglich. Die Verwendung von dynamischen netlogon-Freigaben ist theoretisch denkbar. Die Freigaben könnten z.B. abhängig vom Rechnernamen unterschiedliche Verzeichnisse verwenden und von dort speziell angepasste Versionen der ntconfig.pol verwenden.

Wie unter Punkt 3) beschrieben, können mehrere Richtlinien-Templates geladen werden. Mit jedem geladenen Template stehen zusätzliche Optionen zur Verfügung, welche beim Speichern der ntconfig.pol ebenfalls enthalten sind.

Hierbei handelt es sich nicht um ein UCS-spezifisches Problem. Informationen zur Behebung des Problems erhalten Sie in der Microsoft Knowledge Base:
support.microsoft.com/default.as … ;de;330132
bzw.
support.microsoft.com/kb/330132/EN-US/

Mit freundlichen Grüßen,

Sönke Schwardt


#7

Danke für die Info. Hatte nur bedenken, dass die einzelnen Templates miteinander kollidieren könnten.


#8

Ich habe diverse User angelegt und diese den Gruppen “Domain Users” und “Domain Admins” zugewiesen.
Allerdings hat eine Richtlinie für keine dieser Gruppen Auswirkungen, ntconfig.pol-Dateien werden nur abgearbeitet, wenn ich direkt den Usernamen Richtlinien zuweise. Was mache ich falsch?


#9

Hallo,

generell sollten Richtlinien, die nach dieser Anleitung erstellt wurden, auch an Gruppen funktionieren.
Welche UCS Version setzen Sie ein und welche Windowsversionen werden verwendet ?

Mit freundlichen Grüßen
Tobias Scherer


#10

UCS 2.2 in Verbindung mit Windows-XP-SP2-Clients.
Ich habe die “umgebauten” Richtlinien-Vorlagen von gruppenrichtlinien.de/index. … _Umbau.htm benutzt.


#11

Hallo,

um das Problem noch weiter eingrenzen zu können, wäre es hilfreich wenn Sie einmal überprüfen ob Richtlinien für die Gruppe “Domain Admins” greifen bzw. angewendet werden? Überprüfen Sie bitte auch einmal ob Richtlinien die für den Standardbenutzer (im Systemrichtlinien-Editor Standarmäßig vorhanden) gesetzt werden, für Mitglieder der Gruppe “Domain Users” gelten?

Mit freundlichen Grüßen
Murat Odabas