Poledit
Autor: froemken
Inhaltsverzeichnis
Bedienungsanleitung Poledit Windows 2000/XP
Einleitung Wichtig!!! Das Programm gpedit.msc ist NUR für die lokalen Benutzerkonten zu gebrauchen! Veränderungen am System durch gpedit.msc betreffen NICHT nur die Benutzer, sondern auch die Administratoren. Folglich kann es auch mal ganz schnell passieren, dass man sich als Administrator selbst aus dem System schmeißt und sich selbst nicht mehr anmelden kann. Es gibt eine Bedienungsanleitung von Microsoft, die genaustens erklärt wie man mit gpedit.msc LOKAL auf dem PC Einstellungen vornehmen kann, die den Administrator hinter her nicht berühren bzw. mit verändern. Sollte man wirklich vorhaben sein Netzwerk mit dem Programm gpedit.msc aufzubauen, wünsche ich demjenigen viel Spaß und Erfolg bei seiner Arbeit. Dieser Mensch darf dann bei jeder kleinsten Änderung in den Gruppenrichtlinien von PC zu PC rennen, um sich dort als Administrator anzumelden, um dann dort in den LOKALEN Gruppenrichtlinien die Änderungen nachzuholen. Ich denke genau diese Vorgehensweise wollen wir hier im Netzwerk vermeiden und ich schlage deshalb die Lösung per Poledit vor.
Poledit
Poledit kommt noch aus der NT-Zeit, um dort servergesteuerte Gruppenrichtlinien zu vergeben. Natürlich dürfen wir hier nicht vergessen, was der Samba-Server in der Version 3 eigentlich wiederspiegelt. Ganz genau: Einen Windows NT Server. Wie auch auf http://www.gruppenrichtlinien.de nachzulesen ist, ist das beste Programm für unsere Zwecke Poledit. Es gibt dort eine ganz genaue Auflistung an Programmen, die zu verwenden sind, wenn bestimmte Konstellationen in einem Netzwerk zusammenkommen. Auch gpedit.msc wird dort genannt, aber nur wenn der Server mindestens Windows 2000 Server beherbergt.
Vorgehensweise von Poledit
Wie auch gpedit.msc greift Poledit auf ADM-Vorlagen zurück, die für bestimmte Bereiche im System verantwortlich sind. Zum Beispiel gibt es die wuau.adm. Diese Vorlage beinhaltet sämtliche Einstellungen bzgl. der Windows Update-Funktion. Oder die system.adm. Mit ihr kann man das komplette Aussehen von Windows verändern. Angefangen von der Startleiste über den Windows internen Windows-Explorer bis hin zu Einstellung in der Systemsteuerung. Alles kein Problem.
Mit Poledit lassen sich also diese Vorlagen laden, verändern und als eine POL-Datei wieder abspeichern. Alle getätigten Einstellungen lassen sich in Poledit verschiedenen Benutzern und Gruppen zuordnen. Sehr schön ist hier die Funktion, um auf die Domänenkonten zugreifen zu können. Sobald alle Einstellungen getätigt sind, wird beim Speichern eine POL-Datei erzeugt, die in das NETLOGON-Verzeichnis von unserem Samba-Server kopiert werden muss. Der Name für diese Datei muss im Endeffekt: Ntconfig.pol sein. Nach genau diesem Dateinamen suchen ALLE Windows PCs größer Windows NT und versuchen diese Datei in Ihre lokalen Gruppenrichtlinien zu übernehmen. Eigentlich sprechen wir statt Gruppenrichtlinien von einem wahnsinnig großen Haufen an Registrierungsschlüsseln mit denen man bestimmte Bereiche in einem System eingrenzen/sperren kann.
Der erste Start
Genau...Der erste Start dieses Windows-Programms beginnt wie mit vielen anderen Programmen von Microsoft auch mit...genau...mit einer Fehlermeldung ;-)
Diese können wir beherzt wegklicken und hangeln uns direkt durch zu Optionen --> Richtlinienvorlage: http://www.noreasontodie-music.com/samba/poledit_bilder/richtlinienvorlage.jpg
Es öffnen sich ein kleines neues Fenster das leer sein sollte. Sollte es wiedererwartend voll sein, möchte ich ALLE vorhandenen Einträge mit „Entfernen“ aus der Liste löschen:
http://www.noreasontodie-music.com/samba/poledit_bilder/optionen.jpg
Natürlich bietet auch Windows entsprechende adm-Dateien an. Wir könnten diese auch benutzen, aber wir dürfen nicht vergessen, dass unser Poledit-Programm aus der Zeit von Windows NT stammt. Folglich wird es Probleme haben beim Einlesen unserer Original Windows XP-Vorlagendateien. Nach einer Bedienungsanleitung die ich im Internet gefunden habe, kann man händisch sämtliche „#if irgendwas < 3“ und „#if irgendwas < 4“ mit den entsprechenden Endbefehlen „#endif“ aus der Windows XP-Vorlage rauslöschen, aber spätestens bei der system.adm wird man nach 2 Stunden feststellen, dass man erst ein Drittel geschafft hat. Vielen Dank an http://www.gruppenrichtlinien.de, die eine ZIP-Datei bereitstellen, in der all diese Windows XP-Vorlagen schon nachbearbeitet wurden. Vielen Dank. Folgende Vorlagen könnt Ihr nun in Poledit hinzuzufügen: conf.adm Diese ist für Netmeeting zuständig. Entscheidet selbst, ob Ihr die braucht. Inetcorp.adm Stellt eine Richtlinie für die Wartung des Internet Explorers zur Verfügung, die sich aber laut einer Bedienungsanleitung im Internet nicht starten lässt. Ich hab sie noch nie verwendet. Inetres.adm Ist für den Zugriff auf das Internet zuständig. Mit Sicherheit nicht verkehrt, die mit rein zu nehmen. system.adm Wie gerade schon erwähnt, kann man mit dieser Datei so ziemlich das ganze System zerschießen. Also rein damit. wmplayer.adm Benutzerbezogene Vorlage für den Windows Mediaplayer. Wer das braucht, kanns mit rein nehmen. wuau.adm Windows Update-Funktionen sollten in einem sauberen Netzwerk nicht fehlen.
Mit einem „OK“ werden die Dateien geladen. Je nach Rechnergeschwindigkeit kann dieser Vorgang schon mal was dauern. Ein guter Tipp: Ladet die Dateien blos nicht über das Netzwerk oder einem Netzwerklaufwerk. Ich hab die Aktion dann nach 3 Minuten abgebrochen, hab mir die paar 200KB auf den Desktop gezogen und das dann dort gemacht. Resultat: 30-40 Sekunden und fertig. Hier noch ein Bild, wo ihr in der Statusleiste sehen könnt, welche Vorlagendatei gerade geladen wird: http://www.noreasontodie-music.com/samba/poledit_bilder/starten.jpg
Wie geht’s jetzt weiter?
Über Datei --> Neue Richtlinie wollen wir jetzt eine neue Richtliniendatei (POL-Datei) erzeugen und schwupp sehen wir einen Standardbenutzer und einen Standardcomputer. Über den Gruppen-Button http://www.noreasontodie-music.com/samba/poledit_bilder/gruppe.jpg habe ich mir noch meine unter Linux angelegten Samba-Gruppen domuser und domadmin hinzugeholt. Bitte nutzt dazu den „Durchsuchen...“-Button. Folgendes Fenster erscheint:
http://www.noreasontodie-music.com/samba/poledit_bilder/gruppe_hinzufuegen.jpg Ihr müsst zuerst Eure Domäne (hier: EBSNET), dann Eure auf dem Domänencontroller angelegten Gruppen auswählen und auf „Hinzufügen“ klicken. Sind alle Gruppen ausgewählt kann man das Fenster mit „OK“ wieder verlassen.
Hinweis: Ich habe sehr lange versucht, die Gruppen in dem Fenster davor händisch einzutragen: http://www.noreasontodie-music.com/samba/poledit_bilder/gruppenname.jpg
Sämtliche Einstellungen, die ich für diese Gruppe erstellt habe, haben keine Auswirkungen auf den Client gezeigt. Ich gehe sehr davon aus, dass noch irgendwelche anderen zusätzlichen Daten oder wichtige Ids übernommen werden, wenn man den oben beschriebenen Weg nimmt.
Zurück im Hauptfenster dürfte der Poledit ungefähr so aussehen: http://www.noreasontodie-music.com/samba/poledit_bilder/poledit_full.jpg
Mit einem Doppelklick auf ein Element (z.B. domuser) kann es mit den Gruppenbezogenen Einstellungen losgehen. http://www.noreasontodie-music.com/samba/poledit_bilder/eigenschaften_normal.jpg
Wichtig!!!
Wenn man denkt ich lass beim Administrator (domadmin) einfach alle Einstellungen auf „graues Kästchen“, damit ich bei der nächsten Windows-Anmeldung Administrator bin, dann hat man sich geirrt. Ein graues Kästchen bedeutet, KEINE ÄNDERUNG bzgl. dieser Gruppenrichtlinie vornehmen. Was passiert, wenn ich da nicht dran denke: Ich melde mich als Administrator an und habe alle Rechte. Schön! Ich melde mich als User an und sämtliche Einstellungen sind, wie mit Poledit eingestellt, auch geändert. Ich melde mich wieder als Administrator an und muss feststellen, dass auch dieser jetzt eingeschränkte Rechte hat. DAS liegt daran, dass die eingeschränkten Rechte des Users durch die grauen Kästchen des Administrators NICHT angetastet wurden. Folglich muss ich in der domadmin-Gruppe sämtliche Einstellungen explizit mit dem Häckchen erlauben (Vorsicht: Manchmal muss der Haken rausgenommen werden, um etwas zu erlauben!!!)
Zur Verdeutlichung domuser (eingeschränkt):
http://www.noreasontodie-music.com/samba/poledit_bilder/eigenschaften_graue_kaestchen.jpg
domadmin (uneingeschränkt):
http://www.noreasontodie-music.com/samba/poledit_bilder/eigenschaften_domadmin.jpg
Sind alle Einstellungen gemacht, kann man mit Datei --> „Speichern unter...“ eine POL-Datei erstellen lassen. Wir speichern wie schon gesagt, als „Ntconfig.pol“ ab. Bitte beachten sie die Groß- und Kleinschreibung! Diese Datei wird dann in das NETLOGON-Verzeichnis des Samba(PDC)-Servers kopiert und bei Anmeldung eines Windows-Client größer gleich Windows-NT automatisch in dessen Registrierung geschrieben. Diese Einstellungen sind sofort wirksam.
Tipps zum Abschluss
Tipp 1: Ich habe mir eine Liste gemacht in der ich alle Einstellungen des Benutzers (NICHT Admin) aufgeschrieben habe, und zwar in der Reihenfolge, wie sie in Poledit aufgebaut sind. Sollte mir durch einen Absturz irgendeine Datei verloren gehen oder muss ich mal ebend nachschauen, welche Einstellungen gemacht wurden, kann ich evtl. Fehlerquellen mit dieser Liste viel schneller feststellen.
Tipp 2: Falls die kurzen Sätze nicht weiterhelfen sollten, weil deren Sinn nicht deutlich wird, kann man parallel dazu gpedit.msc öffnen und sich dort in die entsprechende Einstellung hangeln. Dort angelangt kann man über Info im Eigenschaftenfenster genauere Informationen abfragen.
Tipp 3: Um eine Gruppe oder einen User zu kopieren, muss zu aller erst eine neue Gruppe oder ein neuer User angelegt werden. Erst jetzt kann ich die zu kopierende Gruppe auswählen und auf: Bearbeiten->Kopieren klicken. Nun wähle ich die gerade neu erstellte Gruppe/User aus und wähle: Bearbeiten->Einfügen. Die Sicherheitsabfrage noch kurz bestätigen und alle Einstellungen sind übernommen.
Tipp 4: Bei einem Windows-Client kann man das Verhalten gegenüber einer Ntconfig.pol einstellen: Im Registrierungseditor hangeln wir uns durch zu: HKEY_LOKAL_MACHINE/System/CurrentControlSet/Control/Update
Dort findet man einen Eintrag: UpdateMode Folgende Werte sind erlaubt: -0 --Windows sucht nicht nach einer Ntconfig.pol -1 --Windows sucht automatisch nach einer Ntconfig.pol (Standard) -2 --Mit einem weiteren Reg-Schlüssel kann angegeben werden, welche Ntconfig.pol Windows verwenden soll.
Für „2“ lautet der Schlüssel im selben Reg-Verzeichnis: NetworkPath=“[servername]\netlogon“
Mehr dazu auch auf: http://www.microsoft.com/germany/technet/datenbank/articles/900034.mspx#E2BAE
Viel Spaß damit.
Stefan Frömken
PS: Dokumentationen in doc, ods oder pdf-Format findet ihr auch in meinem Downloadbereich unter: