Systemrichtlinien Editor

Gültig für: Alle Windows Versionen

---

Informationen

 

Mit den Systemrichtlinien können Sie Einstellungen vornehmen, ohne dass ein Anwender eine Datei ausführen muss oder etwas davon mitbekommt. Beim Anmelden an einen Server wird diese Datei automatisch von NT ausgeführt und die entsprechenden Änderungen in der Registry vorgenommen. Meist handelt es sich dabei um Schlüssel, die Rechte unter Windows beschränken. Sie können damit aber auch den Bildschirmschoner für die Anwender vorgeben.

 

Beim Windows NT Server wird automatisch der Systemrichtlinien Editor installiert. Bei der WS Version ist er nicht mit dabei, dort muss das Resource Kit installiert werden, damit Sie Zugriff auf den Systemrichtlinien Editor haben. Gestartet wird das Programm über "POLEDIT.EXE"

 

Mit den Systemrichtlinien können für einzelne Anwender, Benutzergruppen und für bestimmte Computer Einstellungen vorgenommen werden. Diese Einstellungen können auf dem Server hinterlegt werden und gelten dann für alle Anwender, die sich an diesem Server anmelden. Da diese Datei bei jedem Anmelden überprüft wird, kann man so leicht und ohne Probleme Änderungen an Einstellungen vornehmen, die dann für bestimmte Gruppen im Netzwerk gelten.

 

Es wird dabei zwischen Computer- und Anwenderrichtlinien unterschieden. Diese beiden Richtlinien werden automatisch zusammengeführt und ergänzen sich. Wenn eine Richtlinie doppelt konfiguriert wurde, erhält die Anwenderrichtlinie immer Priorität vor der Computerrichtlinie. Das bedeutet also, wurde für alle Computer die Systemsteuerung deaktiviert, aber es meldet sich ein Anwender an, wo die Systemsteuerung freigeschaltet wurde, hat er Zugriff auf die Systemsteuerung.

 

Die Bearbeitung der Systemrichtlinien Dateien darf nur mit versionsgleichen Systemrichtlinien-Editoren erfolgen. Wenn unterschiedliche Versionen benutzt werden, kann das zu einer Inkonsistenz in den Systemrichtlinien führen.

 

Benutzer- und Computereinstellungen werden in den Standardvorlagen "COMMON.ADM" und "WINNT.ADM" eingestellt. Durch Erstellung von eigenen ADM - Dateien können noch mehr Richtlinien hinzugefügt oder geändert werden (siehe "Erstellen einer eigenen ADM-Datei"). Werden diese Richtlinien gespeichert, wird die Datei "NTCONFIG.POL" erstellt.

 

Wenn Sie nur einen Server oder eine Workstation haben bzw. mit der Policy ausstatten wollen, müssen Sie die Datei in das Verzeichnis: "%SYSTEMROOT%\system32\Repl\import\scripts" kopieren. Wenn Sie über mehrere Domänen-Controller verfügen, speichern Sie die Datei in das Verzeichnis: "%SYSTEMROOT%\system32\Repl\export\scripts" und starten Sie auf allen Servern den Verzeichnisreplikationsdienst.

Es ist unbedingt wichtig, dass die Datei im richtigen Verzeichnis liegt, ansonsten wird die Datei beim Anmelden eines USERs nicht gefunden und somit auch nicht ausgeführt. Sollten also Einstellungen bei Ihnen nicht vorgenommen werden, überprüfen Sie erst einmal das NETLOGON Verzeichnis, ob die Datei vorhanden ist.

 

Bei der Anmeldung am Server wird die "NTCONFIG.POL" ausgelesen und auf der NT-WorkStation ausgeführt. Da die Datei zentral auf dem Server liegt, bekommt der Anwender immer die selben Desktop Einstellungen, unabhängig davon, auf welchem Rechner er sich anmeldet.

 

Die Benutzung des Systemrichtlinien - Editors und ein Zugriff auf die Dateien sollte nur Systemadministratoren erlaubt sein. Durch falschen Einsatz ist es auch möglich, allen Administratoren im Netz plötzlich alle Rechte zu entziehen.

Start des Systemrichtlinieneditors

Beim Start des Systemrichtlinieneditors werden als erstes die ADM-Files geladen. Wenn keine ADM-Datei gefunden wird, erscheint ein Fehlermeldung und Sie werden aufgefordert anzugeben, im welchen Verzeichnis sich die ADM-Dateien befinden. Hier können Sie jetzt nur eine Datei angeben die dann vom Policyeditor eingelesen wird. Weitere ADM-Dateien können Sie über das Menü: "Options" -> "Policy Template" hinzufügen.

 

Über "Datei" -> "Neue Richtlinie" können Sie eine neue Datei anlegen. Sie sehen dann nur die beiden Symbole "Standardbenutzer" und "Standard-Computer". Alle Änderungen die Sie an diesen beiden Gruppen vornehmen gelten jeweils für alle im Netz die sich an den jeweiligen Domänen anmelden auf der die ADM-Datei abgelegt wurde. Sie können noch weitere Gruppen oder einzelne USER anlegen. Auch können einzelne Computer angelegt werden (hier kann man leider keine Gruppen von Computern erstellen, für die die Einstellungen gelten sollen).

 

Die meisten Einstellungen werden durch setzen von Kontrollkästchen vorgenommen. Die Einstellungen haben folgende Bedeutung:

 

Aktiviert	der Wert wird in der Registrierung hinzugefügt
Leer	der Wert wird aus der Registrierung gelöscht
Schattiert	der Wert bleibt in der Registrierung unverändert

 

Beispiele für Konfigurationswerte, die in den ADM-Dateien geändert werden können:

 

1. Systemsteuerung
   Einstellen der Systemmöglichkeiten für die Anzeige (Grafikkarte)
2. Desktop
   Festlegen eines Hintergrundbildes
3. Shell
   Beschränken von Einstellungen auf dem Desktop (Suchen, Beenden, Ausführen usw.)
4. System
   Deaktivierung des Registry-Editors und erstellen einer Liste der erlaubten Windows Anwendungen
   Autostart von bestimmten Anwendungen, setzen von SNMP-Zielen
5. Windows NT Shell
   Anpassen des Startmenüs und der Desktopoberfläche. Festlegen von bestimmten Ordnern usw.
6. Windows NT System
   Anmeldevorgang (Einlesen der Autoexec.bat, Task-Manager und Anzeigen Meldungen)
7. Netzwerk
   Umgang mit den Systemrichtlinien
8. Windows NT Netzwerk
   Aktivieren bzw. deaktivieren der Laufwerksfreigabe
9. Windows NT-Drucker
   Deaktivieren des Drucker-Spoolers, dadurch wird die System- und Netzwerkleistung gesteigert
10. Windows NT-Remote-Zugriff
    Festlegung der Zeiten für wiederholte Versuche, eine Echtheitsbestätigung von Server zu bekommen
11. Windows NT-Benutzerprofile
    Löschen von zwischengespeicherten Server-Profilen
12. Profilgröße einschränken
    Damit wird die Größe für das persönliche Profilverzeichnis (C:\WINNT\PROFILES\ [USER-ID] festgelegt. Da dieses Verzeichnis bei jeder An- und Abmeldung über das Netzwerk kopiert wird, ist es sinnvoll, dieses auf eine bestimmte Größe zu beschränken. Wird die Größe überschritten, wird der Anwender darauf hingewiesen und kann sich erst abmelden, wenn er das Profilverzeichnis auf die eingestellte Größe anpasst, indem man z.B. Dateien in ein anderes Netzwerklaufwerk kopiert.

Nachdem Sie alle Einstellungen vorgenommen haben, speichern Sie die Datei wie oben angegeben in das entsprechende Verzeichnis ab.

Aufzählung fertiger ADM - Files von MS

ADM Dateien finden Sie bei MS schon für recht viele Programme. Für das OFFICE Paket finden Sie die ADM-Dateien im Resource Kit.

 

für IE 4.x:

Chat.adm

Conf.adm

Inetres.adm

Inetset.adm

Oe.adm

Shell.adm

Subs.adm

 

für Windows NT 4.x:

Common.adm (Einstellungen für Windows)

Windows.adm (spezielle Einstellungen für Windows 95/98)

Winnt.adm (spezielle Einstellungen für Windows NT)

 

für Office:

Access97.adm

Off97nt4.adm (für Windows NT 4.0)

Off97w95.adm (für Windows 95/98)

 

ADMIN.ADM (Windows 95/98)

Siehe auch "Erstellen einer eigene ADM-Datei" und "Systemrichtlinien und Gruppenrichtlinien"

---