Benutzerrechte auf WS 2000
Uwe Feick
für ein paar bestimmte PC's muß ich einige Dinge für die
Benutzer sperren, wie z.B. Netzwerksymbol oder die
Einstellung der Grafikkarte.
Die WS hängen nicht an der Domäne, sondern nur in der
Arbeitsgruppe.
Wenn ich nun mit der lokalen Admin-Anmeldung in der
Verwaltung z.B. das Nertzwerksymbol ausblende, oder die
Systemsteuerung, dann ist das nicht nur für den Benutzer,
sondern auch für den lokalen Admin ausgeblendet. Das soll
aber nicht sein.
Für den lokalen Admin müssen die Sachen vorhanden bleiben.
Weiß hier einer was ich falsch mache?
Danke und Gruß
Uwe
Uwe Feick
Uwe Feick
Uwe Feick
Peter Forster
Einmal hätte dein Eintrag auch gereicht... ;-)
"Uwe Feick" <uwe....@ser.de> schrieb
> für ein paar bestimmte PC's muß ich einige Dinge für die Benutzer
> sperren, wie z.B. Netzwerksymbol oder die Einstellung der Grafikkarte.
> Die WS hängen nicht an der Domäne, sondern nur in der Arbeitsgruppe.
... da gibt es einen kleinen Trick von Mark Heitbrink [MVP] :-) kopiert ;-)
Gruppenrichtlinien - Policies unter 2000 professional
1. Wie der Name schon sagt: Gruppenrichtlinien, d.h. wenn ich Rechte
beschränke betrifft es die ganze Gruppe des aktuell angemeldeten
Benutzers.
2. Nur Mitglieder der Gruppe Administratoren können überhaupt das Tool
benutzen. Somit sind sie direkt von den Änderungen betroffen
3. Änderungen werden !! sofort !! in die Registry des aktuell
angemeldeten
Benutzers eingetragen und aktiviert ! Für andere Mitglieder der
Gruppe
Administratoren erst nach erfolgter Anmeldung.
4. Fazit: Endlich ein mächtiges Werkzeug für die Workstation gleich dem
Policy-Editor unter NT Server, aber nicht für einzelne Benutzer
zu gebrauchen.
Einrichtung und funktionierende Lösung:
1. Aufruf der MMC, Erstellung einer eigenen Konsole nur für Benutzer
und Richtlinien.
2. Einbinden der Snap-Ins: Lokale Benutzer und Gruppen +
Gruppenrichtlinie. Speichern der Konsole möglich,
bei häufigerem Aufruf auch sinnvoll.
3. Erstellung eines Vorlagen-Benutzers ABER als Mitglied der
Administratoren !!!
4. Anmeldung als Vorlagenbenutzer und Richtlinien setzen wie man
auch immer möchte
Jetzt kommt der Trick:
1. Die Änderungen werden sofort durchgeführt und an zwei Stellen
automatisch und direkt in zwei verschiedenen Dateien gespeichert
2. a) als ntuser.pol im aktuellen Profilverzeichnis des
Vorlagen-Benutzers
( i.d.R. unter \Dokumente und Einstellungen\ %username% )
b) als registry.pol unter %systemroot%\system32\GroupPolicy\User,
bzw. unter %systemroot%\system32\GroupPolicy\Machine,
wenn die Änderungen den PC betreffen
4. Die registry.pol im \USER-Verzeichnis muß gelöscht oder
umbenannt werden !!!
Sonst importiert der Administrator automatisch die Einstellungen
aus diesem Verzeichnis in seine eigene ntuser.dat,
da er ja auch zu der Gruppe gehört.
5. Leider kann man die gültige ntuser.pol des Vorlagen-Benutzers nicht
in ein Profilverzeichnis eines anderen Benutzers kopieren.
Um auch diesem User die Einschränkungen mitzugeben.
6. Eine Möglichkeit einem neuen Benutzer die Policies mitzugeben
ist natürlich die Kopie des Benutzerprofils.
Da ja die Registryeinträge mitgegeben werden.
--
Peter Forster mit Gruß aus Enns
Messenger/OnlineTratsch: fope...@hotmail.com
Mark Heitbrink [MVP]
Peter Forster schrieb:
> ... da gibt es einen kleinen Trick von Mark Heitbrink [MVP] :-)
> kopiert ;-)
*dankefürdieblumen_fühlemichgeschmeichelt* *g*
Du hast die poledit Lösung die Christoph gerne postet vergessen :-))
Grüsse!
Tschö
Mark
--
Mark Heitbrink - MVP Windows 2000
ADM`s: http://www.oreilly.com/catalog/winsyspe/chapter/ch08.html
Fragen werden da beantwortet, wo sie zuerst gestellt wurden. ;-)
Peter Forster
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb
> *dankefürdieblumen_fühlemichgeschmeichelt* *g*
na na na, wir wollen mal nicht übertreiben *lol*
> Du hast die poledit Lösung die Christoph gerne postet vergessen :-))
> Grüsse!
Ich hoffe Ihr Verzeiht mir *schämemichso*
Mark Heitbrink [MVP]
Peter Forster schrieb:
> Ich hoffe Ihr Verzeiht mir *schämemichso*
Must du nicht. Das ist eine unserer leichtesten Übungen. :-)
Wir sind nicht nachtragend, aber wir vergessen einfach nichts ... *lol*
Christoph Tuszynski
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb:
> Du hast die poledit Lösung die Christoph gerne postet vergessen :-))
wenn Du danach fragst, bitteschön:
<news:#pkAcSBcBHA.1004@tkmsftngp02>
<news:8ebdceb33aed570f...@news.tuschi.de>
SCNR.
BTW:
"Überlebt" Dein Trick auch ein 'secedit /refreshpolicy.../enforce'?
Grüße
Christoph
--
Win2000-FAQ: http://w2k-faq.ebend.de
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> BTW:
> "Überlebt" Dein Trick auch ein 'secedit /refreshpolicy.../enforce'?
Nie probiert, aber da sag ich mal spontan Nein.
Ich setze ja "echte" W2K Richtlinien, sollten sich also auch so
verhalten und auf das "secedit" reagieren.
Mit _Deiner_ oder auch der *.pol Datei werden die Werte statisch
in die Registry geschrieben und können IMHO nur per "Bastelei" oder
durch Deaktivierung wieder in den Urzustand gesetzt werden.
Da kann man sich jetzt streiten, was man lieber mag. :-)
War von dir nicht mal ein Post in der NG mit einer Reg-Datei
[-HKCU\...\Policies\System]
[-HKCU\...\Policies\Explorer] etc.?
Über diesen Weg und per secedit sind wenigsten beide Einschränkungen
wieder einfach zu retten ... und das ist gut zu wissen ;-)
Wenn ich dann mal ganz viel Zeit habe, probier ich es mal aus,
oder wir drücken dem nächsten der fragt die Arbeit aufs Auge :-) *gg*
Christoph Tuszynski
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb:
>> "Überlebt" Dein Trick auch ein 'secedit /refreshpolicy.../enforce'?
>
> Nie probiert, aber da sag ich mal spontan Nein.
das habe ich "befürchtet". ;-)
Was passiert bei einer 'turnusmäßigen' Auffrischung der GP? Da gab es
so was mit 90 Minuten +/-30 Minuten?
> Ich setze ja "echte" W2K Richtlinien, sollten sich also auch so
> verhalten und auf das "secedit" reagieren.
Wenn die tatsächliche Gruppenrichtlinie auf 'nicht konfiguriert'
zurückgestellt wird? Ich habe mal (hier) etwas gelesen, daß die
Richtlinien-Keys dann nicht in jedem Fall gelöscht werden, finde es
nur im Moment nicht. Das könnte aber die Einstellungen retten.
Vorbeugend kann der Zugriff für das Verzeichnis GroupPolicy im System32
entfernt werden, das sollte wirklich die Löschung vermeiden. Werde ich
mal an einem Schrott-System testen, sobald ich Zeit & Lust habe.
> Da kann man sich jetzt streiten, was man lieber mag. :-)
ACK.
> War von dir nicht mal ein Post in der NG mit einer Reg-Datei
> [-HKCU\...\Policies\System]
> [-HKCU\...\Policies\Explorer] etc.?
Habe mal sowas gepostet, ist schon eine gute Weile her.
> Über diesen Weg und per secedit sind wenigsten beide Einschränkungen
> wieder einfach zu retten ... und das ist gut zu wissen ;-)
Über die Reg-Datei AFAIK nicht Beide, jedenfalls nicht vollständig.
Die NT4-Policies schreiben wohl noch außerhalb der o.a. Reg-Zweige.
Aber nichts Wesentliches, die Löschung sollte zur "Systemrettung" reichen.
Die Poledit-Einstellungen sind nur über die Reg-Datei zu entfernen,
da hilft AFAIK kein secedit.
> Wenn ich dann mal ganz viel Zeit habe, probier ich es mal aus,
> oder wir drücken dem nächsten der fragt die Arbeit aufs Auge :-) *gg*
Ich bin für das Zweite. <eg>
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> Was passiert bei einer 'turnusmäßigen' Auffrischung der GP? Da gab es
> so was mit 90 Minuten +/-30 Minuten?
... offiziell ... :-) *Lästerei*
Aber im Ernst: Yepp, am Server auf jeden Fall.
Hast du mal in der Praxis probiert, wie lang es wirklich dauert?
Ich nicht :-(
Es passiert. Nur habe ich bisher nicht auf die Zeit geachtet, oder
den Default-Wert geändert, nicht, daß das so ein "Eigentor" ist, wie
der Verzeichnisreplikationsdienst ... *g*
Aber ich habe absolut keine Ahnung in wie weit die Workstation selber
als Standalone davon betroffen ist und ob diese Einstellung überhaupt
effektiv ist.
Denn die Einstellungen sind sofort und Rücksicht auf irgendeine
Zeitangabe oder Reboot aktiv, wenn ich sie an der Workstation
konfiguriere.
> Wenn die tatsächliche Gruppenrichtlinie auf 'nicht konfiguriert'
> zurückgestellt wird? Ich habe mal (hier) etwas gelesen, daß die
> Richtlinien-Keys dann nicht in jedem Fall gelöscht werden, finde es
> nur im Moment nicht. Das könnte aber die Einstellungen retten.
Sagt mir leider nichts. Sollte es sich anders Verhalten als das gute
alte poledit? Die paar Male, die ich auf "nicht konfiguriert" in der
Praxis zurückschalten musste, hat es wie auch unter NT4 geklappt.
> Vorbeugend kann der Zugriff für das Verzeichnis GroupPolicy im System32
> entfernt werden, das sollte wirklich die Löschung vermeiden. Werde ich
> mal an einem Schrott-System testen, sobald ich Zeit & Lust habe.
ACK. Das könnte dann aber wieder an der Zeit & der Lust scheitern ;-)
Keine Berechtigung, keine Aktualisierung. Klingt logisch für mich.
Sollte ich bei meiner Bastelanleitung unter Punkt 4.) erweitern.
| 4. Die registry.pol im \USER-Verzeichnis muß gelöscht oder
| umbenannt werden !!!
als Add-On:
| [...]
| umbenannt werden, oder der Zugriff auf die Datei kann per
| NTFS Berechtigungen für den Administrator unterbunden werden.
So besser? :-)
> > War von dir nicht mal ein Post in der NG mit einer Reg-Datei
> > [-HKCU\...\Policies\System]
> > [-HKCU\...\Policies\Explorer] etc.?
> Über die Reg-Datei AFAIK nicht Beide, jedenfalls nicht vollständig.
> Die NT4-Policies schreiben wohl noch außerhalb der o.a. Reg-Zweige.
> Aber nichts Wesentliches, die Löschung sollte zur "Systemrettung"
> reichen.
Das wollte ich damit ausdrücken, es macht es nicht komplett rückgängig,
aber die extrem einschränkenden Richtlinien sind wenigstens gelöscht
und der Administrator kann wenigstens wieder auf die Programme
zurückgreifen, die er braucht, um das Systems in der Urzustand
zurückzusetzen.
> Die Poledit-Einstellungen sind nur über die Reg-Datei zu entfernen,
> da hilft AFAIK kein secedit.
Wieder mal keine Ahnung, du erwischt mich heute aber echt brutal ...:-(
Ich habe unter NT4 nie mit secedit gearbeitet, ich wusste nicht mal
daß es das gibt, bis mir das ein freundlicher Mensch hier in der NG
mal gesagt hat ... :-)
Habe aber glaube ich eine gute Beschreibung dazu gefunden, werde ich
mal in Ruhe durchstöbern.
http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/download/bu03kap5.pdf
> > oder wir drücken dem nächsten der fragt die Arbeit aufs Auge :-) *gg*
> Ich bin für das Zweite. <eg>
Dann sind wir uns ja einig! :-))
Christoph Tuszynski
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb:
>> Was passiert bei einer 'turnusmäßigen' Auffrischung der GP? Da gab es
>> so was mit 90 Minuten +/-30 Minuten?
[...]
> Hast du mal in der Praxis probiert, wie lang es wirklich dauert?
> Ich nicht :-(
kannst Du AFAIK im Anwendungsprotokoll prüfen, siehe 'Quelle: SeCli'.
Stimmt bei mir auch ungefähr, soweit ich das hier überblicke.
> Es passiert. Nur habe ich bisher nicht auf die Zeit geachtet, oder
> den Default-Wert geändert, nicht, daß das so ein "Eigentor" ist, wie
> der Verzeichnisreplikationsdienst ... *g*
Hmm, ein "Eigentor Verzeichnisreplikation"? Muß ich das kennen? :-)
Die Zeitspanne für die GP-Aktualisierung im Netzwerk zu verändern oder
ganz abzustellen ist problemlos möglich. Mal abgesehen von der Netzlast
und, bei aufwendigen GPs, ziemlich saueren Usern.
> Aber ich habe absolut keine Ahnung in wie weit die Workstation selber
> als Standalone davon betroffen ist und ob diese Einstellung überhaupt
> effektiv ist.
Was Du da so schonend andeutest:
Eine regelmäßige Aktualisierung gibt es auf einem Standalone anscheinend
gar nicht. Die Aktualisierung betrifft nur die Gruppenrichtlinien, welche
über das Netzwerk bezogen werden. Die Lokale nicht. Hab' mal wieder Quark
geschrieben. *schäm*
[...]
> Sollte ich bei meiner Bastelanleitung unter Punkt 4.) erweitern.
Besser nicht.
[...]
>> Die Poledit-Einstellungen sind nur über die Reg-Datei zu entfernen,
>> da hilft AFAIK kein secedit.
>
> Wieder mal keine Ahnung, du erwischt mich heute aber echt brutal ...:-(
Die Aussage würde ich umkehren, derjenige welcher keine Ahnung hat bin
ich. Das ist aus der Hilfe von W2k:
| Bei der Verwaltung von Windows 2000-Clients sollten Sie keine älteren
| .adm-Dateien für Systemrichtlinien einsetzen. Dies kann zu unerwünschten
| dauerhaften Einstellungen in der Registrierung führen.
Soweit die Policy-Zweige der Registry betroffen sind sollte secedit
trotzdem helfen. Nur vereinzelte Einstellungen bleiben ("kann"). Der
secedit hilft genauso weit wie die Reg-Datei (wenn die GP "leer" ist).
*schäm2*
> Ich habe unter NT4 nie mit secedit gearbeitet
[...]
Unter NT4 gibt es auch secedit?
Na gut, bin kein NT4-Spezi, *schäm3* entfällt erstmal. ;-)
> Habe aber glaube ich eine gute Beschreibung dazu gefunden, werde ich
> mal in Ruhe durchstöbern.
> http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/download/bu03kap5.pdf
Werde ich mir auch mal ziehen, kann nicht schaden. Danke für den Link.
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> kannst Du AFAIK im Anwendungsprotokoll prüfen, siehe 'Quelle: SeCli'.
> Stimmt bei mir auch ungefähr, soweit ich das hier überblicke.
Argh! Wie einfach, warum schau ich da auch nie rein?
Es kann so einfach sein ;-) Danke.
> Hmm, ein "Eigentor Verzeichnisreplikation"? Muß ich das kennen? :-)
Hoffentlich kennst du es wirklich nicht, sonst kommt hier eine
ganze Menge Text umsonst ...
NT4 -> Verzeichnisreplikation gedacht einzig und allein für den
Abgleich des "netlogon" zwischen PDC und BDC.
Einmal konfiguriert soll das Ding automatisch alle Dateien innerhalb
von max X Minuten abgleichen. Tut es aber nicht, kann bis zu Stunden
dauern und dann hast du die Phänomene, daß mal das Script funktioniet
mal nicht, mal die neue Policy genommen wird mal nicht etc.
Je nachdem an welchem Server die Anmeldung letzten Endes durchgeführt
wird. Lösung: Copy per Batch, tuts immer und zu dem Zeitpunkt wo du es
bestimmen kannst.
Da haben die echt eine Menge gute Arbeit geleistet bei MS mit W2K
Das funktioniert jetzt wunderbar, nur früher halt nicht ... ;-)
Deswegen war ich bei der Zeitangabe von MS ein wenig kritisch
eingestellt.
> Was Du da so schonend andeutest:
> Eine regelmäßige Aktualisierung gibt es auf einem Standalone
> anscheinend gar nicht. Die Aktualisierung betrifft nur die
> Gruppenrichtlinien, welche über das Netzwerk bezogen werden.
> Die Lokale nicht. Hab' mal wieder Quark geschrieben. *schäm*
Lass das letzte mal sein :-)
Was mich daran noch stört ist das "scheinbar" und "anscheinend"
Die Frage ist doch "zieht" der Client die Policy aktiv, oder "pushed"
der Server die Richtlinie auf dem wartenden Client ?
Bei letzterem läge ich auf der sicheren Seite,
bei der ersten Version ständ ich jetzt doof da.
> > Sollte ich bei meiner Bastelanleitung unter Punkt 4.) erweitern.
> Besser nicht.
... schadet nichts ist nur ein Satz und das Ding ist dann wenigstens
vollständiger :-)
> | Bei der Verwaltung von Windows 2000-Clients sollten Sie keine
> | älteren .adm-Dateien für Systemrichtlinien einsetzen.
> | Dies kann zu unerwünschten dauerhaften Einstellungen in der
> | Registrierung führen.
> Soweit die Policy-Zweige der Registry betroffen sind sollte secedit
> trotzdem helfen. Nur vereinzelte Einstellungen bleiben ("kann"). Der
> secedit hilft genauso weit wie die Reg-Datei (wenn die GP "leer" ist).
Na gut damit kann ich aber leben. Denn AFAIK liegen hautsächlich
Konfigurations-Einstellungen ausserhalb der \Policy Zweige
z.B.: Pfadangabe, Profilgeschichten, Drucker-Spooler
Die "üblen" wie kein Desktop, keine Systemsteuerung, kein
Regedit usw. sind da halt drin. Dann erwischen wir sie sowohl mit
der *.reg als auch mit secedit.
Was spricht denn gegen poledit + neue ADM-Templates?
Dann werden die Richtlinien doch in die W2K richtigen Pfade geschrieben.
und dann sind die auf jeden Fall mit secedit zu killen.
> *schäm2*
Schon wieder? Das ignoriere ich jetzt.
> > Ich habe unter NT4 nie mit secedit gearbeitet
> Unter NT4 gibt es auch secedit?
Genau so gings mir auch ... ;-) Hab es aber nie ausprobiert.
> Na gut, bin kein NT4-Spezi, *schäm3* entfällt erstmal. ;-)
Ich habe es auch nicht gelesen *guckindieluftundflötdabei*
> > http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/download/bu03kap5.pdf
> Werde ich mir auch mal ziehen, kann nicht schaden. Danke für den Link.
Passt es jetzt mit den 6,20€ oder 3 Weizen wieder?
Christoph Tuszynski
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb:
>> Hmm, ein "Eigentor Verzeichnisreplikation"? Muß ich das kennen? :-)
>
> Hoffentlich kennst du es wirklich nicht, sonst kommt hier eine
> ganze Menge Text umsonst ...
das war keinesfalls umsonst, kannte ich nicht so genau. Danke!
Das war ja ein toller Schnitzer von MS. Die Fehlersuche machte bestimmt
einen "Mordsspaß". :-(
>> Was Du da so schonend andeutest:
>> Eine regelmäßige Aktualisierung gibt es auf einem Standalone
>> anscheinend gar nicht.
[...]
> Was mich daran noch stört ist das "scheinbar" und "anscheinend"
Der frisch bespielte Standalone-W2kPro bekommt keine SeCli-Einträge im
Anwendungsprotokoll, auch wenn ich die Aktualisierungszeit der
Gruppenrichtlinie auf 0 Minuten einstelle.
Also:
Auf einem Standalone gibt es keine regelmäßige Aktualisierung der Group
Policy. Das lokale GPO wird nur bei Änderungen übernommen. Der Zeitpunkt
der Übernahme ist standardmäßig sofort.
So Besser? *g*
> Die Frage ist doch "zieht" der Client die Policy aktiv, oder "pushed"
> der Server die Richtlinie auf dem wartenden Client ?
Ich denke der GPO-Inhalt wird gepullt, so hört sich das zumindest im
Group Policy White Paper an. Eine definitive Aussage finde ich dort aber
nicht. Nur bei GPOs aus einer anderen Domäne wird explizit von "pull"
der einzelnen Clients (Computer und User) gesprochen.
BTW: Einen Link zum GP-White Paper kann ich leider nicht posten, ich
habe es nur auf CD. Den Link hole ich bei Gelegenheit nach.
> Bei letzterem läge ich auf der sicheren Seite,
> bei der ersten Version ständ ich jetzt doof da.
Finde ich gar nicht. Ein Standalone führt einfach keine Aktualisierung
aus, weil er zu keiner Domäne gehört. Und die lokale Richtlinie kennt
er selber, woher und was will er da pullen?
>>> Sollte ich bei meiner Bastelanleitung unter Punkt 4.) erweitern.
>> Besser nicht.
>
> ... schadet nichts ist nur ein Satz und das Ding ist dann wenigstens
> vollständiger :-)
Na, wenn das keinen "bösen" Protokolleintrag gibt. :-)
[...]
> Was spricht denn gegen poledit + neue ADM-Templates?
> Dann werden die Richtlinien doch in die W2K richtigen Pfade geschrieben.
> und dann sind die auf jeden Fall mit secedit zu killen.
Meinst Du die Änderung der System.adm nach dem Posting von Franz-Peter
<news:9u2f2t$m3l$1...@news.mch.sbs.de> oder eine tatsächliche Neufassung?
Das Erste habe ich immer noch nicht getestet *flöt*, steht aber auch so
ungefähr im White Paper, zweiteres ist sicher eine Menge Arbeit.
>>> http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/download/bu03kap5.pdf
>> Werde ich mir auch mal ziehen, kann nicht schaden. Danke für den Link.
>
> Passt es jetzt mit den 6,20? oder 3 Weizen wieder?
Rechnung:
---------
3 Weizen für mich, die ich an Dich abtrete wegen "*pfui*", dann 3 Weizen
für Dich. Und ein Aufschlag wegen "unnötig die Pferde scheu machen",
nochmal 3 Weizen an Dich. Also 9 Weizen für Dich.
Na denn Prost! :*)
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> Das war ja ein toller Schnitzer von MS. Die Fehlersuche machte
> bestimmt einen "Mordsspaß". :-(
Man wusste ja, daß es nicht ging und hat den Dienst
einfach nicht benutzt :-)
> Auf einem Standalone gibt es keine regelmäßige Aktualisierung der
> Group Policy. Das lokale GPO wird nur bei Änderungen übernommen.
> Der Zeitpunkt der Übernahme ist standardmäßig sofort.
> So Besser? *g*
Geil, das Thema ist also durchgetestet. Aber so hatten wir es uns ja
auch gedacht.
> > Was spricht denn gegen poledit + neue ADM-Templates?
... mittlerweile ´ne ganze Menge, s.u.
> Meinst Du die Änderung der System.adm nach dem Posting von Franz-Peter
> <news:9u2f2t$m3l$1...@news.mch.sbs.de> oder eine tatsächliche Neufassung?
> Das Erste habe ich immer noch nicht getestet *flöt*, steht aber auch so
> ungefähr im White Paper, zweiteres ist sicher eine Menge Arbeit.
Gerade ausprobiert:
- bei der conf.adm friert poledit komplett ein
- bei der system.adm kommt eine Fehlermeldung: Schlüsselwort zu lang
Da gibt es scheinbar doch noch einen Trick, wäre auch zu einfach
gewesen. Vielleicht meldet sich Franz-Peter noch mal.
Da fehlt mir wohl noch ein wenig Anleitung.
Ich dachte schwupps einfach ein paar Zeilen löschen, fertig.
War wohl nichts. Ist mir jetzt auch zu aufwendig und die komplette
Umarbeitung ist mir dann doch zu stressig.
Bleiben wir bei poledit mit den nt Richtlinien.
> [...] Also 9 Weizen für Dich. Na denn Prost! :*)
*schluck* Da wird das Wochenedne wohl doch nicht so entspannend
wie ich es mir vorgenommen hatte. =8-)
Tschö
Mark
--
Mark Heitbrink - MVP Windows 2000
Homepage http://www.itpoint.de/
Christoph Tuszynski
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb:
[Verzeichnisreplikation NT4]
> Man wusste ja, daß es nicht ging und hat den Dienst
> einfach nicht benutzt :-)
_wenn_ man es weiß...
[...]
>> <news:9u2f2t$m3l$1...@news.mch.sbs.de>
[...]
> Gerade ausprobiert:
> - bei der conf.adm friert poledit komplett ein
> - bei der system.adm kommt eine Fehlermeldung: Schlüsselwort zu lang
Bei mir nicht, es lassen sich beide ADMs laden. Der Befehl 'Neue
Richtlinie' funktioniert auch. Bei den ADMs einfach im Notepad alle
Zeilen löschen, welche mit # beginnen (nur #if und #endif). Speichern,
fertig.
Eine echte Richtlinie einzurichten habe ich damit aber nicht probiert.
Verwendest Du den Poledit von NT4? Vielleicht hast Du die ADM im
Unicode-Format gespeichert - das verträgt der Poledit von NT4 nicht,
nur der W2k-Poledit schluckt Unicode anstandslos.
>> [...] Also 9 Weizen für Dich. Na denn Prost! :*)
>
> *schluck* Da wird das Wochenedne wohl doch nicht so entspannend
> wie ich es mir vorgenommen hatte. =8-)
Können wir ja verschieben. ;-)
Christoph Tuszynski
Ich schrieb:
[...]
> BTW: Einen Link zum GP-White Paper kann ich leider nicht posten, ich
> habe es nur auf CD. Den Link hole ich bei Gelegenheit nach.
[...]
die Gelegenheit ist jetzt. ;-)
Group Policy White Paper:
<http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp>
Und noch zwei interessante Links, auf die ich gestoßen bin:
<http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/management/gptshoot.asp>
<http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolicy.asp>
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> > Man wusste ja, daß es nicht ging und hat den Dienst
> > einfach nicht benutzt :-)
>
> _wenn_ man es weiß...
HeHe, das hat man eigentlich schnell herausgefunden ;-)
> Eine echte Richtlinie einzurichten habe ich damit aber nicht probiert.
Ich auch nicht, soweit bin ich ja nicht gekommen :-)
Probier ich Montag noch mal aus und berichte dann.
> Verwendest Du den Poledit von NT4? Vielleicht hast Du die ADM im
> Unicode-Format gespeichert - das verträgt der Poledit von NT4 nicht,
> nur der W2k-Poledit schluckt Unicode anstandslos.
Jepp, ungetestet denke ich, daß es daß war. Habe die *.adm nur mit
Editor geöffnet, angepasst, gespeichert. Wird Dann wohl Unicode
geworden sein, habe ich nicht dran gedacht, dabei bin ich in die
Falle schon bei Reg-Exporten gelaufen, hätte ich dran denken können ;-(
Es liest zwar glaube ich sonst keiner mehr den Thread mit, aber am Ende
werden wir zwei wohl eine neue Anleitung zusammengebastelt haben
für das Theam "GruRiLi/Policies unter W2K" :-)
Tschö
Mark
--
Mark Heitbrink - MVP Windows 2000
ADM`s: http://www.oreilly.com/catalog/winsyspe/chapter/ch08.html
Mark Heitbrink [MVP]
Christoph Tuszynski schrieb:
> die Gelegenheit ist jetzt. ;-)
> Group Policy White Paper:
> [ Links ]
Ctrl-D, Ctrl-D, Ctrl-D ... thx :-)
Franz-Peter Steinbach
"Mark Heitbrink [MVP]" <Mark.He...@itpoint.de> schrieb im Newsbeitrag
news:3C111082...@itpoint.de...
> > > Was spricht denn gegen poledit + neue ADM-Templates?
>
> ... mittlerweile ´ne ganze Menge, s.u.
>
> > Meinst Du die Änderung der System.adm nach dem Posting von Franz-Peter
> > <news:9u2f2t$m3l$1...@news.mch.sbs.de> oder eine tatsächliche Neufassung?
> > Das Erste habe ich immer noch nicht getestet *flöt*, steht aber auch so
> > ungefähr im White Paper, zweiteres ist sicher eine Menge Arbeit.
>
> Gerade ausprobiert:
> - bei der conf.adm friert poledit komplett ein
> - bei der system.adm kommt eine Fehlermeldung: Schlüsselwort zu lang
>
> Da gibt es scheinbar doch noch einen Trick, wäre auch zu einfach
> gewesen. Vielleicht meldet sich Franz-Peter noch mal.
> Da fehlt mir wohl noch ein wenig Anleitung.
> Ich dachte schwupps einfach ein paar Zeilen löschen, fertig.
> War wohl nichts. Ist mir jetzt auch zu aufwendig und die komplette
> Umarbeitung ist mir dann doch zu stressig.
Ja da meldet sich der Franz-Peter: Ist ja sehr amüsant, eurer Unterhaltung
zu folgen.
Christoph hats ja rausgefunden: Nur mit poledit ab W2k (Version 5.00.2134.1)
oder
WXP sind die ADMs lesbar. Diese Versionen werfen auch das Schlüsselwort
EXPLAIN in den Müll und stören sich nicht dran.
Noch eine Anmerkung: Ich verwende keine vorgefertigte ADMs auf dem
Familien-PC.
Es gibt dort nur eine ADM und da steht nur das d´rin, was ich verstanden
habe. So
gibts keine unvorhergesehene Einstellungen.
Na denn Prost
--
FPST
mailto:Franz-Pete...@t-online.de
Mark Heitbrink [MVP]
Franz-Peter Steinbach schrieb:
> Ja da meldet sich der Franz-Peter: Ist ja sehr amüsant,
> eurer Unterhaltung zu folgen.
JaJa läster du nur ... ;-)
> Christoph hats ja rausgefunden: Nur mit poledit ab W2k
> (Version 5.00.2134.1) oder WXP sind die ADMs lesbar.
> Diese Versionen werfen auch das Schlüsselwort EXPLAIN in den Müll
> und stören sich nicht dran.
Dadurch geht dir aber leider die "Erklärung" verloren :-(
Ebenfalls wird "Clientext" ignoriert, nur zur Vervollständigung.
habe ich durch "basteln" herausgefunden.
So jetzt wirds arbeitsintensiv. Wen es interessiert, ich habe mir die
Arbeit gemacht und habe alle W2K ADM Files auf Poledit umgebaut
inkl. "Explain". Ich fand es einfach doof keine "Erklärung" unter den
Richtlinien vorzufinden.
Allerdings mit kleinem Schönheitfehler: Die Erklärung die unter W2K in
mehreren Zeilen vorliegt erscheint nur einzeilig ohne Zeilenumbruch.
Da müssten also eigentlich noch ein paar Verbesserungen gemacht werden.
Die habe ich mir aber Mangels Zeit gespart. Vielleicht habt ihr Lust
dazu?
Wer mag, dem schicke ich sie per PM, wer basteln möchte für den folgt
die Anleitung ab hier. Achtung wird ´ne Menge Text :-)
Geschätzter Arbeitsaufwand 1 Stunde.
Ich habe 3 gebraucht, aber inkl. dieser Mail/Anleitung ;-)
Die Poledit Version ist jetzt "egal" geht nach dem Umbau für beide.
1.)gültig für alle 6 Dateien: conf.adm, inetcorp.adm, inetres.adm
inetset.adm, system.adm und wmp.adm
a) alle Zeilen beginnend mit "#" löschen
b) Dateien speichern unter => ANSI , erhält automatisch die
Endung *.adm.txt muss wieder in adm umbenannt werden
2.)die 3 einfachsten Umstellungen zuerst:
inetcorp.adm, inetset.adm und wmp.adm
Wie unter 1.) bearbeiten, fertig. Diese 3 Dateien enthalten keine
"Explain" oder "Clientext" Anweisungen
3.)Anpassung der conf.adm:
a) Vorbereitung, den Abschnitt [STRINGS] komplett ausschneiden
und temporär in eine andere Datei ablegen
b) Ersetzen aller "EXPLAIN !" durch "PART !"
c) Ersetzen aller "_help" durch "_help TEXT END PART"
Folgendes passiert, so sah die Zeile vor der Umstellung aus:
EXPLAIN !!DisableAppSharing_Help diese wird zu
PART !!DisableAppSharing_Help TEXT END PART
Das passiert mit jeder EXPLAIN-Zeile, durch die Umstellung auf einen
PART wird die unter [strings] definierte "explain-variable" als
Text unter der Policy angezeigt.
Wären ALLE "_help" ersetzt worden, hätten wir jetzt den Abschnitt
[strings] nacharbeiten müssen, da ja auch die Variablen hier so
heissen, daß haben wir duch die "Auslagerung" der strings umgangen.
d) Kopie der [Strings] wieder an das Ende der Datei
4.)Anpassung der inetres.adm:
a) wie unter 1a.), 1b.) und 3b)
b) Ersetze alle "EXPLAIN !" durch "PART !"
c) Da MS gemeinerweise die Variablen diesmal nicht mit "_help"
enden lässt muss jetzt per Hand JEDER Part-Eintrag erweitert werden
Suche "!!EXPLAIN" und füge jeder Zeile am Ende "TEXT END PART"
hinzu. Dürfte ca. 10-20 Minuten dauern, je nachdem wie schnell man
mit der Tastatur umgehen kann :-(
d) siehe 3d)
5.)Anpassung der system.adm
a) wie unter 1a.), 1b.), 3a), 3b) und 3c)
b) Ersetzen alle "clientext" durch ";CLIENTEXT"
dadurch werden die Zeilen ignoriert
b) Ersetzen alle "_explain" durch "_explain TEXT END PART"
Zum Glück heissen 98% der Explain-Variablen in der system.adm
_help oder _explain
d) siehe 3d) oder 4d)
Zu diesem Zeitpunkt sind ca. 95% der Arbeit erledigt.
Wie immer gibt es Ausnahmen im System die jetzt per Hand
editiert werden müssen. 2 Datein machen jetzt "Ärger" beim laden
mit POLEDIT. Die angezeigten Fehlermeldungen bügeln wir manuel
per Hand "on the fly" aus.
inetres.adm und system.adm enthalten noch Fehler, zum Glück gibt
es nur 2 zu kategorisierende Fehlermeldung, davon allerding ´ne Menge.
Am Besten zu bearbeiten mit dem EDIT Befehl in der Eingabeaufforderung,
da der DOS-EDITOR die Zeilen mitzählt.
1. Fehlermeldung: "Schlüsselwort nicht gefunden ... 2004 ..."
In diesen Zeilen müssen jeweils 2 Zeilen umgetauscht werden.
aus: wird:
PART !! ..... KEYNAME .....
KEYNAME ..... PART !! .....
2. Fehlermeldung: "Gefunden ... erwartet: VALUENAME ..."
Hier fehlen hinter den von uns ersetzten PART Zeilen die
abschliessenden "TEXT END PART" Angaben.
Dieser Fehler betrifft alle Variablen, die nicht auf
_help oder _explain geendet haben.
Puh, fertig.
Christoph Tuszynski
"Franz-Peter Steinbach" <Franz-Pete...@khe.siemens.de> schrieb:
[...]
> Ja da meldet sich der Franz-Peter: Ist ja sehr amüsant, eurer Unterhaltung
> zu folgen.
dazu sach ich nix. ;-)
[...]
> Noch eine Anmerkung: Ich verwende keine vorgefertigte ADMs auf dem
> Familien-PC.
[...]
Könntest Du mir Deine Eigenbauten schicken, ggf. nur einen Auszug? Die
würde ich mit der "Mark-Edition" abgleichen, mal sehen was herauskommt.
Danke!