Systemrichtlinien Editor

Informationen

Mit den Systemrichtlinien haben Sie die M÷glichkeit Einstellungen vorzunehmen ohne das ein Anwender eine Datei ausfⁿhren muss oder etwas davon mitbekommt. Bei Anmelden an einen Server, wird diese Datei automatisch von NT ausgefⁿhrt und die entsprechenden ─nderungen in der Registry vorgenommen. Meist handelt es sich dabei um Schlⁿssel die Rechte unter Windows beschrΣnken. Sie k÷nnen damit aber auch den Bildschrimschoner fⁿr die Anwender vorgeben.

Beim Windows NT Server wird automatisch der Systemrichtlinien Editor installiert. Bei der WS Version ist er nicht mit dabei, dort muss das Resource-Kit installiert werden damit Sie Zugriff auf den Systemrichtlinien Editor haben. Gestartet wird das Programm ⁿber "POLEDIT.EXE"

Mit den Systemrichtlinien k÷nnen fⁿr einzelne Anwender, Benutzergruppen und fⁿr bestimmte Computer Einstellungen vorgenommen werden. Diese Einstellungen k÷nnen auf den Server hinterlegt werden und gelten dann fⁿr alle Anwender die sich an diesen Server anmelden. Da diese Datei bei jedem Anmelden ⁿberprⁿft wird, kann man so leicht und ohne Probleme ─nderungen an Einstellungen vornehmen die dann fⁿr bestimmte Gruppen im Netzwerk gelten.

Es wird dabei zwischen Computer- und Anwenderrichtlinien unterschieden. Diese beiden Richtlinien werden automatisch zusammengefⁿhrt und ergΣnzen sich, wenn eine Richtlinie doppelt konfiguriert wurde, erhΣlt die Anwenderrichtlinie immer PrioritΣt vor der Computerrichtlinie. Das bedeutet also, wurde fⁿr alle Computer die Systemsteuerung deaktiviert aber es meldet sich ein Anwender an, wo die Systemsteuerung freigeschaltet wurde, hat er zugriff auf die Systemsteuerung.

Die Bearbeitung der Systemrichtlinien Dateien darf nur mit Versionsgleichen Systemrichtlinien Editoren erfolgen. Wenn unterschiedliche Versionen benutzt werden, kann das zu einer Inkonsistenz in den Systemrichtlinien fⁿhren.

Benutzer- und Computereinstellungen werden in den Standardvorlagen "COMMON.ADM" und "WINNT.ADM" eingestellt. Durch Erstellung von eigenen ADM - Dateien k÷nnen noch mehr Richtlinien hinzugefⁿgt oder geΣndert werden. Werden diese Richtlinien gespeichert wird die Datei "NTCONFIG.POL" erstellt.

Wenn Sie nur einen Server oder Workstation haben bzw. mit der Policy ausstatten wollen, mⁿssen Sie die Datei in das Verzeichnis: "%SystemRoot%\system32\Repl\import\scripts" kopieren. Wenn Sie ⁿber mehrere DomΣnen-Controller verfⁿgen, speichern Sie die Datei in das Verzeichnis: "%SystemRoot%\system32\Repl\export\scribts" und starten Sie auf allen Servern den Verzeichnisreplikations - Dienst.

Es ist unbedingt wichtig, dass die Datei im richtigen Verzeichnis liegt ansonsten wird die Datei beim Anmelden eines USERs nicht gefunden und somit auch nicht ausgefⁿhrt. Sollten also Einstellungen bei Ihnen nicht vorgenommen werden, ⁿberprⁿfen Sie erst mal das NETLOGON Verzeichnis ob da auch die Datei zu sehen ist.

Bei der Anmeldung am Server, wird die "NTCONFIG.POL" ausgelesen und auf der NT-WorkStation ausgefⁿhrt. Da die Datei zentral auf dem Server liegt, bekommt der Anwender immer die selben Desktop Einstellungen, unabhΣngig davon auf welchen Rechner er sich anmeldet.

Die Benutzung des Systemrichtlinien - Editors und ein Zugriff auf die Dateien sollte nur Systemadministratoren erlaubt sein. Durch falschen Einsatz ist es auch m÷glich allen Administratoren im Netz pl÷tzlich alle Rechte zu entziehen.

Start des Systemrichtlinieneditors

Beim Start des Systemrichtlinieneditors werden als erstes die ADM-Files geladen. Wenn keine ADM-Datei gefunden wird, erscheint ein Fehlermeldung und Sie werden aufgefordert anzugeben im welchen Verzeichnis sich die ADM-Dateien befinden.

Hier k÷nnen Sie jetzt nur eine Datei angeben die dann vom Policyeditor eingelesen wird. Weitere ADM-Dateien k÷nnen Sie ⁿber das Menⁿ: "Options" -> "Policy Template" hinzufⁿgen.

▄ber "Datei" -> "Neue Richtlinie" k÷nnen Sie eine neue Datei anlegen. Sie sehen dann nur die beiden Symbole "Standardbenutzer" und "Standard-Computer". Alle ─nderungen die Sie an diesen beiden Gruppen vornehmen gelten jeweils fⁿr alle im Netz die sich an den jeweiligen DomΣnen anmelden auf der die ADM-Datei abgelegt wurde. Sie k÷nnen noch weitere Gruppen oder einzelne USER anlegen. Auch k÷nnen einzelne Computer angelegt werden (hier kann man leider keine Gruppen von Computern erstellen fⁿr der die Einstellungen gelten sollen).

Die meisten Einstellungen werden durch Setzen von KontrollkΣstchen vorgenommen. Die Einstellungen haben folgende Bedeutung:

Aktiviert	der Wert wird in der Registrierung hinzugefⁿgt
Leer	der Wert wird aus der Registrierung gel÷scht
Schattiert	der Wert bleibt in der Registrierung unverΣndert

Beispiele welche Konfigurationswerte in den ADM-Dateien geΣndert werden k÷nnen:

Systemsteuerung
Einstellen der Systemm÷glichkeiten fⁿr die Anzeige (Grafikkarte)
Desktop
Festlegen eines Hintergrundbildes
Shell
BeschrΣnken von Einstellungen auf dem Desktop (Suchen, Beenden, Ausfⁿhren usw.)
System
Deaktivierung des Registrierungseditors und erstellen einer Liste der erlaubten Windows Anwendungen
Autostart von bestimmten Anwendungen, setzen von SNMP-Zielen
Windows NT Shell
Anpassen des Startmenⁿs und der DesktopoberflΣche. Festlegen von bestimmten Ordner usw.
Windows NT System
Anmeldevorgang (Einlesen der Autoexec.bat, Task-Manager und Anzeigen Meldungen)
Netzwerk
Umgang mit den Systemrichtlinien
Windows NT Netzwerk
Aktivieren bzw. deaktivieren der Laufwerksfreigabe
Windows NT-Drucker
Deaktivieren des Drucker-Spoolers, dadurch wird die System- und Netzwerkleistung gesteigert.
Windows NT-Remote-Zugriff
Festlegung der Zeiten fⁿr wiederholte Versuche eine EchtheitsbestΣtigung von Server zu bekommen durchzufⁿhren.
Windows NT-Benutzerprofile
L÷schen von zwischengespeichterten Server-Profilen
Profilgr÷▀e einschrΣnken
Damit wird die Gr÷▀e fⁿr das pers÷nliche Profilverzeichnis (C:\WINNT\PROFILES\ [USER-ID] festgelegt. Da dieses Verzeichnis bei jeder An- und Abmeldung ⁿber das Netzwerk kopiert wird, ist es sinnvoll, diese auf eine Gr÷▀e zu beschrΣnken. Wird eine bestimmt Gr÷▀e ⁿberschritten, wird der Anwender darauf hingewiesen und kann sich erst abmelden, wenn er das Profilverzeichnis auf die eingestellte Gr÷▀e anpa▀t, indem man z.B. Dateien in ein anderes Netzwerklaufwerk kopiert.

Nachdem Sie alle Einstellungen vorgenommen haben, speichern Sie die Datei wie oben angegeben in das entsprechende Verzeichnis ab.

AufzΣhlung fertiger ADM - Files von MS

ADM Dateien finden Sie bei MS schon fⁿr recht viele Programme. Fⁿr das OFFICE Paket finden Sie die ADM- Dateien im Resource-Kit.

fⁿr den IE 4.x:

Chat.adm

Conf.adm

Inetres.adm

Inetset.adm

Oe.adm

Shell.adm

Subs.adm

fⁿr Windows NT 4.x:

Common.adm (Einstellungen fⁿr Windows )

Windows.adm (Spezielle Einstellungen fⁿr Windows 95/98)

Winnt.adm (Spezielle Einstellungen fⁿr Windows NT)

fⁿr Office:

Access97.adm

Off97nt4.adm (fⁿr Windows NT 4.0)

Off97w95.adm (fⁿr Windows 95/98)

ADMIN.ADM (Windows 95/98)

Erstellen einer eigenen ADM - Datei

Die ADM - Files werden durch den Systemrichtlinieneditor eingelesen der dann die jeweiligen Einstellungen zu Verfⁿgung stellt. Es gibt von MS schon einige solcher ADM - Files, wenn Sie aber Einstellungen verΣndern wollen die in den ADM- Files noch nicht vorhanden sind, mⁿssen Sie sich eine eigene Datei erstellen.

Die ADM - Files sind einfache ASCII Dateien die mit einem Texteditor erstellt werden k÷nnen und als ASCII-Datei mit der Endung ".ADM" abgespeichert werden mⁿssen.

Befehle einer ADM - Datei

CLASS MASCHINE bzw. CLASS USER	Hiermit wird festgelegt ob die Einstellungen fⁿr die Maschine (Rechner oder dem Anwender (USER) gelten sollen. Einstellungen fⁿr eine Maschine gelten dann fⁿr alle Anwender die sich dort anmelden
CATEGORY "[Name]" .. END CATEGORY	Jeder neue Eintrag muss in so einer Anweisung eingeschlossen sein. Als [NAME] geben Sie eine Beschreibung ein die im Richtlineneditor im Auswahlbaum angezeigt werden soll.
POLICY "[NAME]" .. END POLICY	Jeden unterschiedlichen Registryschlⁿssel mⁿssen Sie wiederum in so eine Anweisung einbinden. Hier ist der Name auch wieder fⁿr die Anzeige im POLICY Editor gedacht.
KEYNAME "....."	Hier mⁿssen Sie den Registryschlⁿssel angeben wo Sie eine Einstellung verΣndern wollen. Dabei mⁿssen die den ersten Schlⁿsselnamen HKEY_LOCAL_MACHINE bzw. HKEY_CURRENT_USER weglassen. NT trΣgt das je nach zugeordneter CLASS (MASCHINE oder USER) selbstΣndig ein.
VALUENAME "..."	Hier wird der Wert angegeben der unter den Schlⁿssel verΣndert bzw. angelegt werden soll. Danach muss die Angabe erfolgen um was fⁿr ein TYP es sich handelt und wie er im Systemrichtlinieneditor angezeigt werden soll.
VALUEON NUMERIC 1 VALUEOFF NUMERIC 0	Datentyp welcher nur 0 oder 1 enthalten kann: Durch diese EintrΣge erzeugt der Policyeditor eine BOX zum Ein/Ausschalten
PART !![Variablenname] [Boxart] VALUENAME [NAME] END PART	Verschiedene Eingabe/Auswahlboxen. Mit dieser Anweisung erstellen Sie eine Eingabe bzw. Auswahlbox. Als Variblenname mⁿssen Sie einen Namen angeben, den Sie im unteren Teil definiert haben. Den Wert Boxart k÷nnen Sie durch folgende Werte ersetzen:

	PART !!Info TEXT END PART	Nur als Ausgabe eines Infotextes im Systemrichtlinieneditor. Hier muss der Wert VALUENNAME weggelassen werden
	PART !!Test NUMERIC VALUENAME Test END PART	Erstellt einen Registry Key als Datentyp: REG_DWORD
	PART !!Test DROPDOWNLIST VALUENAME Test ITEMLIST NAME "Auswahl1" VALUE NUMERIC NAME "Auswahl2" VALUE NUMERIC NAME "Auswahl3" VALUE NUMERIC END ITEMLIST END PART	Zum Erstellen einer Auswahlbox
	PART !!Test EDITTEXT VALUENAME Test END PART	Erstellt einen Registry Key als Datentyp: REG_SZ. Wenn Sie hinter EDITTEXT noch REQUIRED angeben, wird einer Fehlermeldung ausgegeben, wenn kein Eintrag bei diesen Wert erfolgt.
	PART !!Test EXPANDABLETEXT VALUENAME Test END PART	Erstellt einen Registry Key als Datentyp: REG_EXPAND_SZ
	PART !!Test EDITTEXT VALUENAME Test MAXLEN 5 END PART	Gibt die maximale LΣnge fⁿr das Eingabefeld an.
	PART !!Test NUMERIC DEFAULT 5 VALUENAME Test END PART	Legt einen Vorgabewert fest fⁿr Text oder Zahlen.
	PART !!Test NUMERIC MIN 5 MAX 100 DEFAULT 10 VALUENAME Test END PART	Legt den gr÷▀ten und kleinsten Wert fⁿr die Eingabe fest

Variablen anlegen:

[strings]

[NAME]=[Wert]

Nach dieser Angabe k÷nnen Sie Variablen festlegen

Beispiel einer ADM - Datei

CLASS MACHINE

CATEGORY "NetBIOS ⁿber TCP/IP"

POLICY "DNS fⁿr Windows-Aufl÷sung aktivieren"

KEYNAME "System\CurrentControlSet\Services\NetBT\Parameters"

VALUENAME "EnableDNS"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

CATEGORY "Sicherheit"

POLICY "L÷schen der Auslagerungsdatei beim Systemabschlu▀"

KEYNAME "System\CurrentControlSet\Control\Session Manager\Memory Management"

VALUENAME "ClearPageFileAtShutdown"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

POLICY "Anzeigen der WS im Netz ausschalten"

KEYNAME "System\CurrentControlSet\Services\LanmanServer\Parameters"

VALUENAME "Hidden"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

POLICY "Adminrechte - Behebung der Sicherheitslⁿcke: Q218473"

KEYNAME "SYSTEM\CurrentControlSet\Control\Session Manager"

VALUENAME "ProtectionMode"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

CLASS USER

CATEGORY "Bildschrimschoner"

KEYNAME "Control Panel\Desktop"

POLICY "Bildschirmschoner einstellen"

PART !!BildschirmS EDITTEXT

VALUENAME "SCRNSAVE.EXE"

END PART

END POLICY

POLICY "Bildschirmschoner Aktivieren"

VALUENAME "ScreenSaveActive"

VALUEON "1"

VALUEOFF "0"

END POLICY

POLICY "Bildschirmschonerpa▀wort"

VALUENAME "ScreenSaverIsSecure"

VALUEON "1" VALUEOFF "0"

END POLICY

POLICY "Bildschirmschoner Zeit"

PART !!ZeitInterval EDITTEXT

VALUENAME "ScreenSaveTimeOut"

END PART

END POLICY

END CATEGORY

[strings]

BildschirmS="Dateiname"

ZeitInterval="Zeit in sec."

$d:\programm\forehelp\htmlgifs\home.gif$

Zeit fⁿr Hinwei▀ auf Pa▀wortΣnderung einstellen

Standard Benutzergruppen unter Windows NT

http://www.winfaq.de