gpedit.msc - (Multi) Lokale Richtlinien Standalone ohne Server ohne AD

13.01.2013 | Autor: Mark Heitbrink

Es gibt viele Situationen, in denen man Systeme einschränken möchte, die aber nicht Mitglied einer Domäne sind. gpedit.msc bietet hier einige Möglichkeiten und seit Vista sind sie als Multi Lokale Gruppenrichtlinie auch getrennt pro Benutzer, bzw. Gruppe anwendbar.

Lokale Gruppenrichtlinien (L-GPO) gelten für alle Benutzer an dem Computer, auch den Administrator. Bis Vista musste man nun ein paar Klimmzüge veranstalten, um dafür zu Sorgen, das der Administrator nicht von den u.U. sehr restriktiven Einstellungen getroffen zu werden.

Verwendet man gpedit.msc und nutzt die Administrativen Vorlagen, dann werden die Einstellungen hier gespeichert:
Für Computer Einstellungen -> %systemroot%\System32\GroupPolicy\Machine\registry.pol
Für Benutzer Einstellungen -> %systemroot%\System32\GroupPolicy\User\registry.pol

Lösung für XP

  • Nach gewünschter Konfiguration und vor der Abmeldung des Administrators, setzen wir auf %systemroot%\System32\GroupPolicy\User\registry.pol über die NTFS Rechte LESEN = VERWEIGERN für die Gruppe der Administratoren
  • Das ist eine recht hässliche Lösung, aber sie funktioniert. Wenn ihr die Richtlinie jetzt als Administrator ändern müsst, dann gebt ihr euch wieder das LESE Recht, editiert die Richtlinie und setzt sie wieder auf LESEN VERWEIGERT

Das funktioniert immer noch, ist aber extrem unhandlich.

Lösung für Vista und aufwärts

Mit Vista wurde die Multi Lokale Gruppenrichtlinien eingeführt. Diese ermöglicht es uns nun Lokale Richtlinien für einzelne Benutzer oder pauschal für die Gruppe der "Nicht-Administratoren" zu definieren. Sollte beide Richtlinientypen zum Einsatz kommen, werden diese zusammengeführt, wobei die Richtlinie des einzelnen Benutzers  als Letzte angewendet wird und somit mit ihren Einstellungen gewinnt. Das einzelne Objekt gilt als "wichtiger" als die pauschale Gruppenkonfiguration.

Die Multi Lokale Gruppenrichtlinie (M-L-GPO) ist nicht über gpedit.msc erreichbar. Ihr müsst sie als SnapIn in eine neuen MMC Konsole einfügen.

  • Start - ausführen - mmc.exe
  • Datei - SnapIn hinzufügen - Gruppenrichtlinien-Objekteditor - Durchsuchen wählen
  • Reiter Benutzer -> Gruppe der Nicht-Administratoren oder den einzelnen Benutzer auswählen, für den die Richtlinie gelten soll

Der Speicherort der M-L-GPO unterscheidet sich von dem der L-GPO. Im Fall der Nicht-Administratoren:
%systemroot%\system32\GroupPolicyUsers\S-1-5-32-545\User\registry.pol

Die S-1-5-32-545 ist die Well-known SID der Benutzer. Sobald ihr einen speziellen Benutzer auswählt und für diesen eine Konfiguration erstellt, wird auch für seine SID ein eigener Ordner erstellt.

Übertragen von L-GPO und M-L-GPO auf andere Rechner

  • Komplette Kopie des GroupPolicy oder GroupPolicyUsers Ordner auf das neue System
  • alle gpt.ini Dateien darin löschen, gpupdate /force und Neustarten, bzw. Abmelden/Anmelden
  • Schwierigkeit spezieller Benutzer: Ihr müsst die SID anpassen. 
  • Woher kriegt man diese, wenn man mehrere Benutzer/Gruppen erstellt hat?
    1000 Wege führen nach Rom, für die Benutzer geht es am einfachsten, wenn sie sich schon mal angemeldet haben über die Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\ProfileList
    oder wenn der Benutzer angemeldet ist über HKEY_USERS\S-1-5-21-1234567890-1234567890-1234567890-1001 (oder ähnlich)