Poledit: Zentralisierte Benutzervorgaben im Netzwerk

(1700 Worte insgesamt im Text)
(20330 mal aufgerufen)  Druckerfreundliche Ansicht [1]

Einleitung

Während Linux-Clients aufgrund ihrer Abstammung vom "großen" Unix einfach das betreffende Homeverzeichnis eines Nutzers mounten, in diesem Homeverzeichnis alle benutzerrelevanten Daten ablegen und diese je nach Vorgaben (in bestimmten Konfigurationsdateien) vom lokalen Administrator mit allgemeinen Daten (z.B. zur Bildschirmauflösung) überschrieben werden können (so dass Linux-Nutzer eigentlich von je her im gesammten Netzwerk arbeiten können, wenn dies von den Administratoren so vorgesehen ist), ist bei Windows-Clients ? je nach Version ? ein wenig mehr Arbeit vonnöten, um denselben Komfort zu genießen.

Ich will Ihnen in diesem Kapitel einen kleinen Einblick in die Konfiguration von "serverbasierten Profilen" und "administrativen Vorgaben" für Windows-Clients geben.

Profile beinhalten hierbei alle für den Benutzer relevanten Einstellungen einer Windowsumgebung. Administrative Vorgaben beinhalten zumeist Einschränkungen auf die Konfiguration einer Windows-Workstation. In Windows-Netzen kann man im Server-Verzeichnis "Netlogon" eine Datei namens CONFIG.POL (für Windows 9x) oder NTCONFIG.POL (für Windows-Versionen ab NT) ablegen. In dieser Datei können für Rechner bzw. Benutzer Einstellungen festgelegt werden, die jene in den lokalen Konfigurationsdateinen SYSTEM.DAT und USER.DAT teilweise überschreiben. Die config.pol wird übrigens erst nach einem eventuellen Anmeldescript abgearbeitet. Je nachdem, wie Sie die Rechner konfiguriert haben, können Sie auch andere Namen als "Vorlagendateien" vergeben und so z.B. verschiedene Rechnerräume mit unterschiedlichen Vorlagen ausstatten.

Eine Kombination verschiedener Versionen von Windows-Clients im selben Netzwerk ist übrigens nur sehr schwer zu administrieren!

Am einfachsten sind noch Windows 98 und WindowsXP oder Windows 2000 zu einer vernünftigen Zusammenarbeit zu bewegen. WindowsXP- und Windows 2000-Clients gleichzeitig im Netz zu betreiben macht bislang kaum Sinn. (Tip: normalerweise können Sie einen WindowsXP-Rechner auf Windows 2000 "downgraden": fragen Sie dazu bei M$ nach.)

Zum Erstellen bzw. Verändern von Systemrichtlinien benötigt man den Systemrichtlinieneditor POLEDIT.EXE [2], den Sie sich direkt von der Microsoft Homepage [3] herunterladen können. Einige "Vorlagendateien" für Poledit können Sie auch vom Heise Server herunterladen [4].

Wenn Sie möchten, dann können Sie sich auch eine für Schulen angepasste Version [5] mit Vorlagen für das entsprechende Betriebssystem in der Download-Abteilung [6] herunterladen.

Ein Hinweis noch: Das Programm Poledit sollte nur dem Systemverwalter zur Verfügung stehen. Da das Programm später ohne weitere Installation direkt auf jedem Client startbar ist, bietet sich es sich an, das Programm (inkl. aller Dateien im Ordner) im Homeverzeichnis des Admins zu installieren - dazu braucht das Programm nach der Installation nur dorthin kopiert werden.

Grundlagen

Mit dem Programm POLEDIT.EXE kann man auf drei Ebenen arbeiten Zunächst am Interessantesten ist das Arbeiten mit Richtliniendateien, da man dann kaum an die einzelnen Rechner heran muss.

Anwendung

Der erste Start

Starten Sie das Programm POLEDIT.EXE. Sie werden nach einer Vorlagendatei gefragt - geben Sie entweder die vorgeschlagene Datei admin.adm aus dem Installationsverzeichnis von Poledit an oder laden Sie sich gleich eine angepasste "Schulversion [7] für Ihr Betriebssystem von unserem Server herunter.

Start von Poledit

Neue Richtlinien anlegen

Noch ist das Fenster leer. Wählen Sie Datei >> Neu
Nun befinden sich zwei Icons auf der Oberfläche:

Neue Richtlinien anlegen

Ein Icon steht für den Standardbenutzer das andere für den Standardcomputer. Als Standardbenutzer wird jeder Benutzer betrachtet, für den es hier kein eigenes Icon mit seinem Accountnamen gibt - als Standardcomputer werden ebenso alle Computer betrachtet, für die es keinen eigenen Eintrag mit ihrem NetBIOS-Namen gibt.

Angenommen, Sie möchten also dem Lehrer-PC andere Rechte verpassen: dann legen Sie einen neuen Computer mit dem NetBIOS-Namen des Lehrer-PCs an und nehmen dort die entsprechenden Einstellungen vor.

Wenn Sie z.B. Lehrern besondere Rechte verpassen möchten (was ja durchaus Sinn machen kann), dann müssen Sie für jeden Lehrer einen neuen Benutzer erstellen, der den Anmeldenamen des Lehrers hat.

Sie können sich die Arbeit ein wenig vereinfachen, indem Sie zuerst einen "Default-Lehrer" anlegen und diesen konfigurieren - anschließend legen Sie weitere Benutzer mit den richtigen Namen der Lehrer an. Nun markieren und kopieren Sie den "Default-Lehrer" (Bearbeiten >> Kopieren) und anschließend markieren Sie den neu angelegten Lehrer und weisen ihm mit Bearbeiten >> Einfügen die Werte des Default-Lehrers zu. Poledit stellt hier vorher noch eine Sicherheitsabfrage, die Sie bejahen können.

Benutzerrichtlinien

Systemrichlinien für den Administrator

Bitte fügen Sie zuerst einen neuen Benutzer hinzu, welcher später alle Rechte auf dem System bekommt. Bedenken Sie: wenn Sie diesen Benutzer nicht anlegen und dem Standardbenutzer später alle Rechte zum Bearbeiten der Registry nehmen, kommen Sie nicht mehr an das System heran!

In der Menüleiste wählen Sie: "Bearbeiten" >> "Benutzer hinzufügen" und geben dem Benutzer den Namen, der Ihrem Benutzernamen entspricht, mit welchem Sie sich am System angemeldet haben.
(Da der Name "admin" meist sowieso schon einige zusätzliche Rechte besitzt, bietet es sich an, ihn hier zu verwenden.) Natürlich können Sie wie weiter oben schon erwähnt zusätzlich noch einige Lehrer als Admins für die Clients eintragen...

Neuen Benutzer admin anlegen

Poledit lässt ihnen bei der Vergabe von Richtlinien die Wahl zwischen drei Möglichkeiten:

Poledit - Auswahl

Bei einem weißen Kästchen wird die betreffende Funktion nicht aktiviert. Bei einem Kästchen mit Haken wird die Funktion bzw. Beschränkung aktiviert und bei einem grauen Kästchen bleibt die lokale Einstellung erhalten. Wenn sich im letzten Fall zuerst ein Nutzer mit mehr Rechten angemeldet hat, bleiben diese erweiterten Rechte bei einem grau hinterlegten Kätchen also erhalten! Insofern sollten Sie - um später evtl. merkwürdige Effekte zu vermeiden - also die Kästchen entweder aktivieren oder deaktivieren - graue Kästchen sollten Sie vermeiden.

Geben Sie jetzt also dem Admin-Benutzer alle Rechte im System, indem Sie jede Richtlinie einzeln auswählen und anschließend alle Kästchen durch Mausklick deaktivieren.

Richtlinien zuweisen


Systemrichtlinien für den Standardnutzer

Für den Standardbenutzer sollten Sie sinnvolle Einschränkungen vornehmen. Was dabei genau eingeschränkt werden soll ist sicherlich Geschmackssache, deshalb sind die hier gezeigten Einstellungen nur Vorschläge.

Im Bereich Systemsteuerung habe ich alle Beschränkungen aktiviert. Man sollte dabei darauf achten, daß Teilweise noch Kästchen im unteren, grauen Bereich des Fenster auftauchen:

Richtlinien für den Standardnutzer

Im Bereich Desktop wird als Hintergundbild "none" vorgegeben - da diese Datei nicht existert, wird kein Hintergrundbild geladen. Sollte sich ein Benutzer über die Option "als Hintergrund speichern" in einem Programm ein Hintergrundbild erzeugen, so wird dies beim nächsten Anmelden wieder "gelöscht", d.h. nicht aufgerufen.

Im Bereich Netzwerk wird wieder alles beschränkt.

Im Bereich Shell >> Benutzerdefinierte Ordner markieren wir die Reiter entsprechend. Hier können Sie z.B. den Startordner (wie bei TweakUI beschrieben) auch auf dem Server platzieren.

Hintergrundbild und benutzerdefinierte Pfade

Im Bereich Shell >> Zugriffsbeschränkungen sollten ein paar Kästchen abgehakt werden. Diese sind aber weitgehend selbsterklärend.

Zugriffsbeschränkungen

Im Bereich System >> Zugriffsbeschränkungen sollte Sie die Programme zum Bearbeiten der Registrierung deaktivieren. Außerdem verbieten wir hier den Zugang zur Eingabeaufforderung von MS-DOS, die sämtliche Sicherheitseinstellungen umgehen würde. Das Kästchen "Nur zugelassen Andwendungen für Windows ausführen" sollte man mit sehr viel Bedacht auswählen: sonst geht nachher nichts mehr, wenn man ein Programm vergessen hat. Da wir ab und an doch einmal Software installieren, haben wir dieses Kästchen deaktiviert. Ansonsten läßt sich hier aber sehr genau einstellen, welche Programme die Schäler überhaupt starten dürfen.

Zugriffsbeschränkungen - Programme

Damit haben Sie einen kurzen Einblick in die entsprechenden Möglichkeiten gewonnen. Spielen Sie mit den Einstellungen für den Standardnutzer ruhig ein wenig herum - beachten Sie dabei, dass Sie trotz gegenteiliger Behauptungen oft den Rechner neu starten müssen, damit die geänderten Einstellungen für Ihren Testnutzer auch angewendet werden.

Wollen Sie - wie oben schon erwähnt - einzelnen Lehrern besondere Rechte zuweisen, empfehle ich eine entsprechende "Vorlage": erstellen Sie einen Benutzer "Lehrer", welcher auf Ihrem System normalerweise nicht vorkommt. Geben Sie diesem Benutzer die entsprechenden Rechte. Anschließend können Sie dann neue Benutzer mit Ihrem entsprechenden Loginnamen erstellen und dann über die Menüpunkte Bearbeiten >> Kopieren und Einfügen diesen neuen Benutzern die Rechte dieses "Lehrers" geben, ohne Sie jedesmal neu definieren zu müssen.

Systemrichtlinien für den Standardcomputer

Wie weiter oben schon erwähnt, können Sie hier einen speziellen Computer mit besonderen Richtlinien ausstatten. Dieser Computer wird über seinen NetBIOS-Namen angesprochen. Ich belasse es zunächst einmal beim Standardcomputer...

Zugriffssteuerung

Die Zugriffssteuerung sollten hier komplett deaktiviert werden - dann sind überhaupt keine weiteren Freigaben - ausser den bisher eingerichteten - mehr möglich. Durch den Haken hinter "Netzwerkbestätigung für Windows-Zugriff fordern" lassen Sie nur Nutzer zu, die sich auch am Server angemeldet haben - ein Drücken auf "Abbrechen" ist dann nicht mehr möglich. Da ich hier keinen NetWare-Server habe, bleiben die entsprechenden Felder leer.

Computerrichtlinien - Netzwerk

Unter Netzwerk >> Microsoft-Client für Windows-Netzwerke habe ich die Windows NT-Anmeldung aktiviert und auch die Arbeitsgruppe "WORKGROUP" vorgegeben. Die Eingabe der Kennwörter wird durch ein "*" maskiert und die verschlüsselte Übertragung zum Server wird deaktiviert - informieren Sie sich hier, ob Ihr Samba-Server schon auf verschlüsselte Passwörter umgestellt ist. Außerdem ist es durchaus sinnvoll, eine Mindestlänge von zumindest 4 Buchstaben für ein Kennwort zu verlangen. Kennwortverschlüsselung beim Abschnitt "Kennwörter" deaktivieren bedeutet hierbei, daß keine Passwortlisten lokal im Verzeichnis C:\windows\ abgelegt werden. Wenn Sie dies aktivieren, müssen Sie noch ein wenig trixen, wenn Sie unter Windows 9x die Nachfrage direkt nach der Anmeldung eines Nutzers vermeiden möchten, ob das Passwort richtig ist und gespeichert werden soll und ob ein neues Profil angelegt werden soll. Aber dazu mehr in einem anderen Artikel.

Computerrichtlinien - Kennwörter

Wichtig ist der Eintrag unter Netzwerk >> Remote-Update. Nur wenn die Schaltfläche hier aktiviert ist, wird die CONFIG.POL überhaupt ausgewertet.

Computerrichtlinien - Remote-Update

Nachdem Sie nun Ihre Vorlagen soweit fertiggestellt haben, kommen wir zur Aktivierung der Richtlinien auf allen Computern im Netzwerk.

Systemrichtlinien aktivieren

Speichern Sie zunächst einmal die neu erstellte Datei auf dem Server ab - nehmen Sie hierfür ruhig zunächst das Homeverzeichnis des Administrators. Sie können Sie - entsprechende Schreibberechtigung vorausgesetzt - aber auch gleich an die richtige Stelle kopieren: \\<servername>\netlogon ist das richtige Verzeichnis, wobei <servername> für den Namen Ihres Samba-Servers steht.

Jetzt muss an den einzelnen Clients noch ein Registry-Patch dafür sorgen, dass zukünftig die Richtlinien auch geladen werden. Sie finden die entsprechenden Patches im Download-Abschnitt [8] bei der jeweiligen Windows-Version. </servername></servername>


  

[ zurück zu Windows [9] | Index [10] ]

Kommentare

efell
08.06.05, 21:32
Offene Fragen

1. Ist es wirklich notwendig, jeden Lehrer einzeln in der Pol-Datei anzulegen? Kann man nicht die Gruppe teachers stattdessen konfigurieren?

2. Kann man auch Einstellungen wie Tastatur (deutsch/englisch) etc. hier manipulieren? Ist in der Vorlage offenbar nicht vorgesehen.

3. Kann man hier auch Einstellungen für Programme (Office 2000) vornehmen?

Lars
09.06.05, 09:58
Offene Fragen

Zu 1: Leider gibt es derzeit noch keine Möglichkeit, Gruppen zu verwalten. Das Samba-Team arbeitet fieberhaft an einer Lösung - aber die wird wohl erst mit Samba 4.x kommen.

Also hilft derzeit nur einen default-User einzurichten und dann dessen Profil auf die anderen zu kopieren.

Zu 2: Sollte funktionieren. Alles, was dazu benötigt wird sind die entsprechenden Registry-Einstellungen. Diese können dann in die Vorlage eingefügt werden.

Zu 3: Ja. Beim Heise-Verlage gibt es die "Tip-Datenbank": http://www.heise.de/ct/tipps/tipps.shtml

Da findet man schon einige adm-Dateien, die man einfach zu den vorhandenen Vorlagen hinzufügt. Zu beachten ist: sind Einstellungen mehrfach vorhanden, dann Überschreibt die letzte Einstellung alle vorherigen.

In diesem Zusammenhang noch ein Hinweis: Die adm-Dateien sind reine Textdateien! Wer sich ein wenig mit "Programmierung" auskennt, der wird sich schnell darin zurechtfinden und kann sich so seine eigenen Vorlagen basteln.

Einen Kommentar hinzufügen


Links
  [1] http://www.linux-schulserver.de/index.php?name=Sections&req=viewarticle&artid=8&allpages=1&theme=Printer
  [2] http://www.microsoft.com/office/ork/xp/appndx/appa18.htm
  [3] http://www.microsoft.com/office/ork/xp/appndx/appa18.htm
  [4] http://www.heise.de/ct/tipps/adms.shtml
  [5] http://www.linux-schulserver.de/Downloads-index-req-viewdownload-cid-1.phtml
  [6] http://www.linux-schulserver.de/Downloads-index-req-viewdownload-cid-1.phtml
  [7] http://www.linux-schulserver.de/Downloads-index-req-viewdownload-cid-1.phtml
  [8] http://www.linux-schulserver.de/Downloads-index-req-viewdownload-cid-1.phtml
  [9] http://www.linux-schulserver.de/index.php?name=Sections&req=listarticles&secid=3
  [10] http://www.linux-schulserver.de/index.php?name=Sections