Univention Support Database

Problem:

Wie können Systemrichtlinien in UCS Umgebungen anstelle von Gruppenrichtlinien unter Active Directory Umgebungen eingesetzt werden?

Lösung:

Die Verwaltung von benutzer-, rechner- und gruppenbezogenen Einstellungen über Richtlinien stellt einen bewährten Mechanismus unter Microsoft Windows Betriebssystemen dar. Im folgenden wird gezeigt, dass sich auch über Systemrichtlinien komplexe Konfigurationen für Gruppenstrukturen abbilden.

In der Registrierungs-Datenbank eines Windows-Rechners sind Einstellungen für die verschiedensten Systembereiche enthalten. Es gibt Einstellungen, die sich auf das Betriebssystem selbst und installierte Anwendungen oder auf den gerade angemeldeten Benutzer beziehen und solche, die sich als Vorgaben für alle Benutzer gelten. In Systemrichtlinien sind Registrierungs-Einträge enthalten, die bei der Anmeldung eines Benutzers an einem Windows-Client in die lokale Registrierungs-Datenbank übernommen werden. Ein Administrator erstellt Richtlinien mit dem Systemrichtlinien-Editor und legt sie in der globalen NETLOGON-Freigabe auf UCS Domaincontroller Systemen mit installierter Komponente Services for Windows ab.

Windows kennt zwei Typen von Richtlinien. In Windows NT4-Domänen werden Systemrichtlinien verwendet. Diese werden mit dem Systemrichtlinien-Editor 'poledit' verwaltet. In Active-Directory Domänen werden Gruppenrichtlinien verwendet. Diese werden mit dem Gruppenrichtlinien-Editor verwaltet und können über einen Vererbungsmechanismus in Active-Directory Struktur eingebunden werden. Die Gruppenrichtlinien in Active Directory haben einen wesentlich größeren Umfang als die Systemrichtlinien in NT4.

Standardmäßig sind die umfangreichen Möglichkeiten der Gruppenrichtlinien nur in Active Directory Domänen verfügbar. Mit wenigen Anpassungen können diese allerdings in NT4-Domänen also auch in UCS Domänen genutzt werden.
Grundlage für das Erstellen von Richtlinien in der jeweiligen Editor-Version sind Richtlinien-Templates, auch ADM-Templates genannt. Ein Richtlinien-Template ist eine Text-Datei, in der alle zu verwaltenden Einstellungen den jeweiligen Abschnitten der Registriertungs-Datenbank zugeordnet sind. Für die unterschiedlichen Windows Versionen gibt es jeweils eigene Richtlinien-Templates, da auf den Windows-Versionen unterschiedliche Schlüsselwörter in der Registrierungs-Datenbank unterstützt werden. Der Aufbau der adm-Dateien bezieht sich stark auf die registry-Einträge einer Windows-Version. Neben den zahlreichen vorhandenen Richtlinien-Templates lassen sich zusätzlich eigene aus .reg-Dateien erstellen. Dazu gibt es Tools wie reg2adm, zu beziehen unter http://www.it-training-grote.de/downloads.php.

Evtl. müssen diese Dateien noch überarbeitet werden.

Grundsätzlich können auch mit dem Systemrichtlinien-Editor Richtlinien erstellt werden, die auf Gruppenrichtlinien-Templates basieren, die zugrunde liegende Technik ist die gleiche. Um zu verhindern, dass Einstellungen aus neueren Windows-Versionen auch in alten Versionen des Richtlinien-Editors angezeigt werden, sind in Template-Dateien Elemente enthalten, welche die Versionsnummer des Editors mit einer im Element enthaltenen Versionsnummer vergleichen. Ist die Versionsnummer des verwendeten Editors kleiner, werden die Einstellungen nicht angezeigt. Da der Gruppenrichtlinien-Editor eine höhere Versionsnummer als der Systemrichtlinien-Editor hat, können so im Systemrichtlinien-Editor Einstellungen unterdrückt werden. Darüber hinaus verwenden neuere Richtlinien-Templates teilweise syntaktische Elemente, die nur von aktuellen Versionen des Systemrichtlinien-Editors unterstützt werden.

Um in einer UCS Domäne Richtlinien zu verwenden, die Einstellungen aus Gruppenrichtlinien enthalten, müssen daher angepasste Richtlinien-Templates im Systemrichtlinien-Editor verwendet werden. Die erforderlichen Anpassungen sind unter http://www.gruppenrichtlinien.de/index. ... _Umbau.htm beschrieben. Auf dieser Web-Seite werden bereits angepasste Richtlinien-Templates inklusive passender Version des Systemrichtlinien-Editors zum Herunterladen angeboten, so dass das zeitintensive Editieren der Original-Dateien ausbleiben kann.
Im folgenden Beispiel soll festgelegt werden, dass in einer Umgebung mit Windows-XP Rechnern nur Benutzer der Gruppe 'Adminusers' auf lokale Laufwerke (Festplatten, CD-Laufwerke, Wechselmedien) zugreifen dürfen:

1. Von http://www.gruppenrichtlinien.de/index. ... _Umbau.htm werden die für Poledit angepassten Richtlinien-Templates für Windows XP heruntergeladen.

2. Das Zip-Archiv wird in einen Ordner extrahiert. In diesem befindet sich neben den angepassten Richtlinien-Templates auch eine Poledit-Version für Windows-XP.

3. Der Administrator startet die mitgelieferte Poledit-Version. Über 'Optionen' -> 'Richtlinienvorlagen' wird der Dialog zum Einbinden von Richtlinien-Templates geöffnet. Die heruntergeladenen Templates werden in die Liste aufgenommen und der Dialog durch Klicken auf 'Ok' verlassen. Die Richtlinien-Vorlagen werden umgehend geladen. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

4. Über 'Datei' -> 'Neue Richtlinie' wird eine neue Richtlinie angelegt. Die einzigen enthaltenen Elemente sind 'Standardbenutzer' und 'Standardcomputer'. Über die Schaltfläche 'Gruppe hinzufügen' wird der entsprechende Dialog geöffnet. Es sollen Gruppen-Objekte für 'Domain Users' und für 'Adminusers' angelegt werden. Die Gruppennamen sollten dabei nicht über die Tastatur eingegeben werden, sondern über 'Durchsuchen' aus der Liste der Gruppen der Domäne ausgewählt werden.




5. Über Doppelklick auf das Icon 'Domain Users' wird der Einstellungsdialog geöffnet. In der Liste der Einstellungen findet sich unter 'Windows-Komponenten' -> 'Windows-Explorer' der Eintrag 'Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen'. Standardmäßig ist das Auswahlkästchen grau schattiert. Die graue Schattierung bedeutet, dass die lokale Einstellung Vorrang hat. Durch Klick in das Auswahlkästchen wird die Option aktiviert (Haken ist gesetzt). Danach kann auf den Dialog zur Auswahl der Kombination zugegriffen werden. Es soll 'Alle Laufwerke einschränken' ausgewählt werden. (An dieser Stelle lassen sich unterschiedliche Kombinationen auswählen, z.B. 'Zugriff auf Laufwerke A: und B: einschränken', 'Zugriff auf Laufwerke A:, B: und C: einschränken'.)



6. Danach wird per Doppelklick die Gruppe 'Adminusers' geöffnet. Bei dieser Gruppe wird mehrmals in das Auswahlkästchen der Einstellung 'Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen' geklickt, bis es leer (nicht grau schattiert) ist. Diese Einstellung bedeutet, dass bei Mitgliedern dieser Gruppe der Zugriff nicht beschränkt sein soll.

7. Als letzte Anpasung wird vorgegeben, welche Einstellung aus einer Gruppenrichtlinie Vorrang hat, wenn ein Benutzer in mehreren Gruppen mit konkurrierenden Einstellungen Mitglied ist. Im Systemrichtlinien-Editor wird über 'Optionen' -> 'Gruppenpriorität' der entsprechende Dialog geöffnet. Nachdem ein Gruppenname markiert ist, kann über die Schaltflächen 'nach oben' und 'nach unten' die Reihenfolge angepasst werden.



8. Die Richtlinie wird über 'Datei' -> 'Speichern unter' in eine POL-Datei mit Namen ntconfig.pol geschrieben.

9. Diese Datei wird auf die NETLOGON-Freigabe des UCS Domaincontroller Systems kopiert, der als Primary Domain Controller konfiguriert ist, kopiert. (In der Regel der UCS Domaincontroller Master). Melden sich Benutzer an einem Windows-Client an der Domäne an, wird die Einstellung aus der Richtlinie übernommen.

Hinweis: Durch die regelmäßige Synchronisierung der NETLOGON-Freigabe auf weitere UCS Domaincontroller Systeme mit installierter Komponente 'Services for Windows' kann es bis zu 60 Minuten dauern, bis die Richtlinie auf allen Logon-Servern verfügbar ist.