Benutzerrichtlinien erstellen mit Poledit

Aus ITwiki
Wechseln zu: Navigation, Suche

Jeder, der mit Windows Servern schon mal zu tun hatte, kennt sicher die Gruppenrichtlinien. Sie ermöglichen es, den Usern z. B. den Zugriff auf die Registry, die Eingabeaufforderung etc. zu verweigern. Auch unser Samba-Server bietet diese Möglichkeit – zwar etwas eingeschränkt, aber trotzdem brauchbar. Was benötigt wird findet man auf http://www.gruppenrichtlinien.de/index.html?/adm/Poledit_Umbau.htm – hier sollte der „Poledit-Umbau für Windows XP SP2“ heruntergeladen und entpackt werden. Schon kann's losgehen.

Starten mit Poledit[Bearbeiten]

Das Zip-Archiv von gruppenrichtlinien.de beinhaltet ADM-Dateien. Diese dienen als Vorlage für die zu erstellenden Richtlinien. Es sei vielleicht noch erwähnt, dass es sich eigentlich nur um Registry-Einträge handelt, die beim Login des Users gesetzt werden und sofort greifen. Beim Öffnen von Poledit erscheint gleich mal eine Fehlermeldung, dass eine common.adm nicht gefunden werden kann – einfach auf Abbrechen und auch das danach folgende Fenster ebenfalls schließen. Klicke jetzt auf Optionen und Richtlinienvorlage... Klicke auf Hinzufügen und wechsle in den Ordner, in dem sich die ADM-Dateien von gruppenrichtlinien.de befinden. Füge nacheinander alle Vorlagen hinzu und wähle am Ende OK:

Poledit optionen.gif


Neue Richtlinie anlegen[Bearbeiten]

Nun wählt man Datei/Neue Richtlinie. Es wird ein Standardbenutzer und Standardcomputer angezeigt. Will man Regelungen für eine Samba-Gruppe definieren, klickt man auf Bearbeiten/Gruppe hinzufügen oder auf das dementsprechende Symbol in der Symbolleiste. Gib nun den Namen der Samba-Gruppe oder des Samba-Users ein, für welche die Einstellungen konfiguriert werden soll (z. B. sambausers) und klicke anschließend auf OK.

Hinweis: in einer anderen Doku wurde davon gesprochen, dass man auf Durchsuchen klicken, den Domänencontroller auswählen und dann die Benutzer/Gruppen von dort auswählen soll, da die Richtlinien sonst nicht funktionieren. Bei mir funktionierte das Ganze auch durch Eingeben der Daten in das Textfeld! Wer Probleme haben sollte, der kann ja auch auf „Durchsuchen“ klicken und die Benutzer/Gruppen vom PDC wählen.


Mache einen Doppelklick auf die hinzugefügte Gruppe/User. Es wird ein Dialog geöffnet, in dem alle verfügbaren Richtlinien für diese Gruppe/den User festgelegt werden können. Beim Anhacken der jeweiligen Optionen gibt es 3 Zustände für diese Checkboxen:


Poledit chckbx1.gif Dies bedeutet, dass die aktuell am System hinterlegte Methode verwendet wird

Poledit chckbx2.gif Ein gesetztes Häkchen heißt: aktivieren

Poledit chckbx3.gif Die Einstellung ist deaktiviert


Das bedeutet: meldet sich ein User der Gruppe sambausers an einem Rechner PC01 an der Domäne an, werden in der Registry des PC01 (!!!) die Werte gesetzt, z. B. dass die Systemsteuerung nicht angezeigt wird. Meldet sich ein User der Gruppe admins am selben PC01 an UND wurde für die Gruppe die Einstellung für das Ausblenden der Systemsteuerung NICHT deaktiviert (weißes Feld also), dann wird auch für diesen User die Systemsteuerung NICHT zur Verfügung stehen! Grund: es werden ja Einstellungen lokal an der Registry vorgenommen. Um diese Einstellungen bei einem Admin-User zurückzusetzen, muss für ihn die Richtlinie deaktiviert werden. Das heißt also: um die verweigerten Einstellungen der „sambausers“ für die Admins zur Verfügung zu stellen, muss die Richtlinie für die Admins so angepasst werden, dass diese Felder als Weiß markiert wurden. Voreingestellte Systemwerte sollten beim Standardbenutzer ebenfalls eingerichtet werden!

Aktivieren der Richtlinie[Bearbeiten]

Damit die Richtlinie am Client beim Login geladen wird, müssen in der Registry der Client-Maschine folgende Einträge hinzugefügt werden: 

REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Update]
"NetworkPath"=""
"UpdateMode"=dword:00000001
"Verbose"=dword:00000001
"LoadBalance"=dword:00000001

Kopiere diese 6 Zeilen in eine *.reg-Datei (z. B. pol.reg) und führe sie am Client aus. Dies kann schon bei der Installation des Betriebssystems vorgenommen werden.

Nun haben wir es fast geschafft: bist du mit den Einstellungen in Poledit fertig, klicke auf Datei/Speichern unter und speichere die Datei als ntconfig.pol (der Dateiname ist zwingend so zu wählen, da alle Win2k und XP-Clients diese Datei beim Login lesen werden; bei Win9x lautet der Name config.pol). Kopiere die Datei auf den Samba-Server in das netlogon-Share. Stelle sicher, dass die User die Datei lesen können.

Bei der nächsten Anmeldung müssten die Richtlinien greifen.

Abgerufen von „http://wiki.butzhammer.de/index.php?title=Benutzerrichtlinien_erstellen_mit_Poledit&oldid=1233