<html xmlns:MadCap="http://www.madcapsoftware.com/Schemas/MadCap.xsd" MadCap:tocPath="Windows Server 2003|Policy/Sicherheit|Systemrichtlinien und ADM">
<p>Mit den Systemrichtlinien k÷nnen Sie Einstellungen vornehmen, ohne dass ein Anwender eine Datei ausfⁿhren muss oder etwas davon mitbekommt. Beim Anmelden an einen Server wird diese Datei automatisch von NT ausgefⁿhrt und die entsprechenden ─nderungen in der Registry vorgenommen. Meist handelt es sich dabei um Schlⁿssel, die Rechte unter Windows beschrΣnken. Sie k÷nnen damit aber auch den Bildschirmschoner fⁿr die Anwender vorgeben.</p>
<p> </p>
<p>Beim Windows NT Server wird automatisch der Systemrichtlinien Editor installiert. Bei der WS Version ist er nicht mit dabei, dort muss das Resource Kit installiert werden, damit Sie Zugriff auf den Systemrichtlinien Editor haben. Gestartet wird das Programm ⁿber "<b><a name="kanchor3337"></a>POLEDIT.EXE</b>"</p>
<p> </p>
<p>Mit den Systemrichtlinien k÷nnen fⁿr einzelne Anwender, Benutzergruppen und fⁿr bestimmte Computer Einstellungen vorgenommen werden. Diese Einstellungen k÷nnen auf dem Server hinterlegt werden und gelten dann fⁿr alle Anwender, die sich an diesem Server anmelden. Da diese Datei bei jedem Anmelden ⁿberprⁿft wird, kann man so leicht und ohne Probleme ─nderungen an Einstellungen vornehmen, die dann fⁿr bestimmte Gruppen im Netzwerk gelten.</p>
<p> </p>
<p>Es wird dabei zwischen Computer- und Anwenderrichtlinien unterschieden. Diese beiden Richtlinien werden automatisch zusammengefⁿhrt und ergΣnzen sich. Wenn eine Richtlinie doppelt konfiguriert wurde, erhΣlt die Anwenderrichtlinie immer PrioritΣt vor der Computerrichtlinie. Das bedeutet also, wurde fⁿr alle Computer die Systemsteuerung deaktiviert, aber es meldet sich ein Anwender an, wo die Systemsteuerung freigeschaltet wurde, hat er Zugriff auf die Systemsteuerung.</p>
<p> </p>
<p class="htmlinfo">
<img src="../icons/hand.png" alt="Info" />Die Bearbeitung der Systemrichtlinien Dateien darf nur mit versionsgleichen Systemrichtlinien-Editoren erfolgen. Wenn unterschiedliche Versionen benutzt werden, kann das zu einer Inkonsistenz in den Systemrichtlinien fⁿhren.</p>
<p> </p>
<p>Benutzer- und Computereinstellungen werden in den Standardvorlagen "COMMON.ADM" und "WINNT.ADM" eingestellt. Durch Erstellung von eigenen ADM - Dateien k÷nnen noch mehr Richtlinien hinzugefⁿgt oder geΣndert werden (siehe "<a href="../tip1000/tip1176.htm">Erstellen einer eigenen ADM-Datei</a>"). Werden diese Richtlinien gespeichert, wird die Datei "NTCONFIG.POL" erstellt.</p>
<p> </p>
<p>Wenn Sie nur einen Server oder eine Workstation haben bzw. mit der Policy ausstatten wollen, mⁿssen Sie die Datei in das Verzeichnis: "<b>%SYSTEMROOT%\system32\Repl\import\scripts</b>" kopieren. Wenn Sie ⁿber mehrere DomΣnen-Controller verfⁿgen, speichern Sie die Datei in das Verzeichnis: "<b>%SYSTEMROOT%\system32\Repl\export\scripts</b>" und starten Sie auf allen Servern den Verzeichnisreplikationsdienst.</p>
<p class="htmlinfo">
<img src="../icons/hand.png" alt="Info" />Es ist <u>unbedingt wichtig</u>, dass die Datei im richtigen Verzeichnis liegt, ansonsten wird die Datei beim Anmelden eines USERs nicht gefunden und somit auch nicht ausgefⁿhrt. Sollten also Einstellungen bei Ihnen nicht vorgenommen werden, ⁿberprⁿfen Sie erst einmal das NETLOGON Verzeichnis, ob die Datei vorhanden ist.</p>
<p> </p>
<p>Bei der Anmeldung am Server wird die "NTCONFIG.POL" ausgelesen und auf der NT-WorkStation ausgefⁿhrt. Da die Datei zentral auf dem Server liegt, bekommt der Anwender immer die selben Desktop Einstellungen, unabhΣngig davon, auf welchem Rechner er sich anmeldet.</p>
<p> </p>
<p class="htmlinfo">
<img src="../icons/hand.png" alt="Info" /><a name="kanchor3338"></a>Die Benutzung des Systemrichtlinien - Editors und ein Zugriff auf die Dateien sollte nur Systemadministratoren erlaubt sein. Durch falschen Einsatz ist es auch m÷glich, allen Administratoren im Netz pl÷tzlich alle Rechte zu entziehen.</p>
<p> </p>
<h2>Start des Systemrichtlinieneditors</h2>
<p> </p>
<p>Beim Start des Systemrichtlinieneditors werden als erstes die ADM-Files geladen. Wenn keine ADM-Datei gefunden wird, erscheint ein Fehlermeldung und Sie werden aufgefordert anzugeben, im welchen Verzeichnis sich die ADM-Dateien befinden. Hier k÷nnen Sie jetzt nur eine Datei angeben die dann vom Policyeditor eingelesen wird. Weitere ADM-Dateien k÷nnen Sie ⁿber das Menⁿ: "Options" -> "Policy Template" hinzufⁿgen.</p>
<p> </p>
<p>▄ber "Datei" -> "Neue Richtlinie" k÷nnen Sie eine neue Datei anlegen. Sie sehen dann nur die beiden Symbole "Standardbenutzer" und "Standard-Computer". Alle ─nderungen die Sie an diesen beiden Gruppen vornehmen gelten jeweils fⁿr alle im Netz die sich an den jeweiligen DomΣnen anmelden auf der die ADM-Datei abgelegt wurde. Sie k÷nnen noch weitere Gruppen oder einzelne USER anlegen. Auch k÷nnen einzelne Computer angelegt werden (hier kann man leider keine Gruppen von Computern erstellen, fⁿr die die Einstellungen gelten sollen).</p>
<p> </p>
<p>Die meisten Einstellungen werden durch setzen von KontrollkΣstchen vorgenommen. Die Einstellungen haben folgende Bedeutung:</p>
<p> </p>
<table border="2" cellpadding="2">
<col style="width: 76px;" />
<col />
<tr>
<td bgcolor="#c0c0c0">
<p>Aktiviert</p>
</td>
<td width="368">
<p>der Wert wird in der Registrierung hinzugefⁿgt</p>
</td>
</tr>
<tr>
<td bgcolor="#c0c0c0">
<p>Leer</p>
</td>
<td width="368">
<p>der Wert wird aus der Registrierung gel÷scht</p>
</td>
</tr>
<tr>
<td bgcolor="#c0c0c0">
<p>Schattiert</p>
</td>
<td width="368">
<p>der Wert bleibt in der Registrierung unverΣndert</p>
</td>
</tr>
</table>
<p> </p>
<p class="htmlfett">Beispiele fⁿr Konfigurationswerte, die in den ADM-Dateien geΣndert werden k÷nnen:</p>
<p> </p>
<ol>
<li value="1">
<p class="htmlaufz">Systemsteuerung <br />Einstellen der Systemm÷glichkeiten fⁿr die Anzeige (Grafikkarte)</p>
</li>
<li value="2">
<p class="htmlaufz">Desktop <br />Festlegen eines Hintergrundbildes</p>
</li>
<li value="3">
<p class="htmlaufz">Shell <br />BeschrΣnken von Einstellungen auf dem Desktop (Suchen, Beenden, Ausfⁿhren usw.)</p>
</li>
<li value="4">
<p class="htmlaufz">System <br />Deaktivierung des Registry-Editors und erstellen einer Liste der erlaubten Windows Anwendungen <br />Autostart von bestimmten Anwendungen, setzen von SNMP-Zielen</p>
</li>
<li value="5">
<p class="htmlaufz">Windows NT Shell <br />Anpassen des Startmenⁿs und der DesktopoberflΣche. Festlegen von bestimmten Ordnern usw.</p>
</li>
<li value="6">
<p class="htmlaufz">Windows NT System <br />Anmeldevorgang (Einlesen der Autoexec.bat, Task-Manager und Anzeigen Meldungen)</p>
</li>
<li value="7">
<p class="htmlaufz">Netzwerk <br />Umgang mit den Systemrichtlinien</p>
</li>
<li value="8">
<p class="htmlaufz">Windows NT Netzwerk <br />Aktivieren bzw. deaktivieren der Laufwerksfreigabe</p>
</li>
<li value="9">
<p class="htmlaufz">Windows NT-Drucker <br />Deaktivieren des Drucker-Spoolers, dadurch wird die System- und Netzwerkleistung gesteigert</p>
</li>
<li value="10">
<p class="htmlaufz">Windows NT-Remote-Zugriff <br />Festlegung der Zeiten fⁿr wiederholte Versuche, eine EchtheitsbestΣtigung von Server zu bekommen</p>
</li>
<li value="11">
<p class="htmlaufz">Windows NT-Benutzerprofile <br />L÷schen von zwischengespeicherten Server-Profilen</p>
</li>
<li value="12">
<p class="htmlaufz">Profilgr÷▀e einschrΣnken <br />Damit wird die Gr÷▀e fⁿr das pers÷nliche Profilverzeichnis (C:\WINNT\PROFILES\ [USER-ID] festgelegt. Da dieses Verzeichnis bei jeder An- und Abmeldung ⁿber das Netzwerk kopiert wird, ist es sinnvoll, dieses auf eine bestimmte Gr÷▀e zu beschrΣnken. Wird die Gr÷▀e ⁿberschritten, wird der Anwender darauf hingewiesen und kann sich erst abmelden, wenn er das Profilverzeichnis auf die eingestellte Gr÷▀e anpasst, indem man z.B. Dateien in ein anderes Netzwerklaufwerk kopiert.</p>
</li>
</ol>
<p>Nachdem Sie alle Einstellungen vorgenommen haben, speichern Sie die Datei wie oben angegeben in das entsprechende Verzeichnis ab.</p>
<p> </p>
<h2>AufzΣhlung fertiger ADM - Files von MS</h2>
<p> </p>
<p>ADM Dateien finden Sie bei MS schon fⁿr recht viele Programme. Fⁿr das OFFICE Paket finden Sie die ADM-Dateien im Resource Kit.</p>
<p> </p>
<p class="htmlfett">fⁿr IE 4.x:</p>
<p>Chat.adm</p>
<p>Conf.adm</p>
<p>Inetres.adm</p>
<p>Inetset.adm</p>
<p>Oe.adm</p>
<p>Shell.adm</p>
<p>Subs.adm</p>
<p> </p>
<p class="htmlfett">fⁿr Windows NT 4.x:</p>
<p>Common.adm (Einstellungen fⁿr Windows)</p>
<p>Windows.adm (spezielle Einstellungen fⁿr Windows 95/98)</p>
<p>Winnt.adm (spezielle Einstellungen fⁿr Windows NT)</p>
<p> </p>
<p class="htmlfett">fⁿr Office:</p>
<p>Access97.adm</p>
<p>Off97nt4.adm (fⁿr Windows NT 4.0)</p>
<p>Off97w95.adm (fⁿr Windows 95/98)</p>
<p> </p>
<p>ADMIN.ADM (Windows 95/98)</p>
<p class="htmlinfo">
<img src="../icons/hand.png" alt="Info" />Siehe auch "<a href="../tip1000/tip1176.htm">Erstellen einer eigene ADM-Datei</a>" und "<a href="../tip1000/tip1146.htm">Systemrichtlinien und Gruppenrichtlinien</a>"</p>
