Domänenrichtlinien an Standalone Workgroup Client (NonDomain Joined) übergeben
Manchmal gibt es Situationen, an denen kommt man nicht vorbei ... und man darf (muss) Clients in einer Workgroup (Non-Domain-Joined) betreiben, obwohl man eine Domäne hat. In so einem Moment wäre es doch schön, wenn man zumindest die Richtlinien, die es im AD gibt auch für die Lokalen Benutzer dieses Workgroup Clients anwenden kann.
Was können wir, ohne großen Skriptaufwand und Kraftakt übernehmen?
Client Side Extension Registry - Alles aus dem Bereich Administrative Vorlagen (registry.pol)
Client Side Extension Security - Konto/Kennwortrichtliniem, Sicherheitsoptionen, Zuweisen von Benutzerrechten, Dateisystem- und Registry Berechtigungen und Dienstkonfigurationen (gpttmpl.inf)
Wir brauchen einen Beispiel User, bzw. eine Beispiel Maschine. Am Zielobjekt kommen die Richtlinien nach dem Regelwerk des AD am Objekt an. Die zusammengeführten Einstellungen werden anschliessend auf den Workgroup Client übergeben.
1. Benutzereinstellungen, Administrative Vorlagen
Wir kopieren die %userprofile%\ntuser.pol Datei des Beispiel Benutzers auf den Workgroup Client nach C:\Windows\System32\... (Siehe unten) und benennen sie in registry.pol um. Zudem wird das "Schreibgeschützt" und "Versteckt" Attribut auf der Datei in beiden Fällen entfernt:
Zielpfade: Wer übernimmt die Richtlinien?
- C:\Windows\System32\GroupPolicy\User\Registry.pol
wenn die Einstellungen für alle Benutzer, auch den Administrator gelten sollen - C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol
wenn die Einstellungen nur für Benutzer (Nicht-Administratoren) gelten sollen
2. Computereinstellungen, Administrative Vorlagen
Wir kopieren die %AllUsersProfile%\ntuser.pol nach C:\Windows\System32\GroupPolicy\Machine und benennen sie ebenfalls in Registry.pol um. Die beiden Attribute wie unter 1. entfernen.
3. Übernahme der Einstellungen aus den Administrativen Vorlagen
Wir benötigen eine GPT.ini in der die Version der Richtlinie und die verwendete Komponente hinterlegt ist.
- C:\Windows\System32\GroupPolicy\GPT.ini
wenn die Einstellungen für alle Benutzer, auch den Administrator gelten sollen und/oder es eine Maschinenkonfiguration gibt:
[General] gPCMachineExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] gPCUserExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F73-3407-48AE-BA88-E8213C6761F1}] Version=131172
- C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\GPT.ini
wenn die Einstellungen nur für Benutzer (Nicht-Administratoren) gelten sollen
[General] gPCUserExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F73-3407-48AE-BA88-E8213C6761F1}] Version=100
4. Computereinstellungen, Sicherheitseinstellungen
Wir exportieren die aktuellen Einträge der Lokalen Sicherheitsdatenbank inkl. der Domäneneinstellungen und kopieren anschliessen die client.inf auf den Workgroup Client.
secedit /export /cfg client.inf /mergedpolicy
5. Übernahme der Sicherheitseinstellungen
secedit /configure /db client.sdb /cfg client.inf /overwrite /quiet
6. Neustart, fertig
Die Ordnerstruktur sieht dann am Ende ungefähr so aus: