Wie automatisch Administrative Vorlagen anpassen lassen?

[niz]

Ich möchte auf meinen XP Clients einige Einschränkungen vornehmen. Da dies
aber recht viele an der Zahl sind, möchte ich das automatisiert vornehmen.
Außerdem weiss ich nicht, wo ich so manche Einschränkung im Group Policy Editor
festlegen kann.

. Hintergrundbild, Auflösung und Bildschirmschoner dürfen nicht geändert werden
-> Administrative Vorlagen > Systemsteuerung > Anzeige > Symbol "Anzeige" aus der Systemsteuerung entfernen >>AKTIV<<

. zusätzliche Dienste dürfen weder gestartet, noch beendet werden
-> wie und wo?

. Registry darf nicht verändert werden
-> wie und wo?

. USB für Wechseldatenträger (USB Sticks & Co.) müssen gespert werden
-> wie und wo?

Das ganze soll dann noch automatisiert eingestellt werden. Hat jemand ne Idee?
Konstruktives, wie immer, mit bekannter Belohnung ...

 

[13thAngel]

Wenn die Clients hardwaretechnisch identisch sind, würd ich vorschlagen, eien konfigurieren, Iamage ziehen und auf die anderen aufspielen. Somit hast auch gewährleistet das überall wirklich die gleichen Einstellungen sind und sich icht zwischendurch Fehler einschleichen.

MfG

Matthias

 

[blubberbrause]

Das kannst du über die Gruppenrichtlinie auf der Domäne festlegen. (Oder du erstelltst eine OU und schiebst die Clients da rein und erstellst eine Gruppenrichtlinie eben auf dieser ebene)

@13thAngel

Das mit dem Image würde ich nicht machen, denn dann hat jeder rechner die gleiche SID. (gut du könntest mit Sysprep das ganze ausbügeln oder eine neue SID erstellen)

 

[niz]

Die Domäne wird im laufe der nächsten Umstellung der Server auf Win2003SBS
richtig eingerichtet. Bis Dato werden die Profile lokal verwaltet, weshalb
vorübergehend die Einschränkung auch dort vorgenommen werden muss.
Die Konfigurationen der einzelnen Arbeitsplätze sind leider nicht identisch.

Momentan fummel mir jeder Depp in meinen Schäfchen rum (deaktivieren von
TrendMicro OfficeScan in der Reg, deaktivieren des VNC Dienstes und noch mehr
von solchen Spielereien). Langsam hab ich die Faxen dicke, so dass ich gesagt
habe, dass jeglicher persönlicher Mist von den Rechnern verschwindet und alles
Einheitlich bleibt. Klar - servergesteuerte Profile und Gruppenrichtlinien sind was
feines, aber momentan laufen noch 4 nette NT4 Server, die ohnehin schon mehr
als ausgelastet sind.

Weitere Vorschläge, bitte! Im Nachhinein bin ich es nämlich wieder, wenn was
nicht geht, und für solche überflüssigen Sachen hab ich keine Zeit - nur weil mal
wieder so ein Halbwisser meint, dass der Administrator ihn schikanieren will.

Gut zureden klappt nicht - hab ich probiert, also muss ich es härter durchsetzen.

 

[Fiona]

Kannst du dir ja überlegen ob du die ganze Systemsteuerung auf einmal sperrst.
Geht unter Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung.
Da ist dann Bildschirm usw alles mit drin.
Weiter unten bei System kannst du die Reg Eingabeaufforderung usw. sperren.
Kannst du dir ja mal anschauen.
Dienste kannst du sperren Benutzerkonfiguration / Administrative Vorlagen / Eigeschränkte/Zugelassene Snap Ins. Da brauchst du bloß Dienste deaktivieren.

Um USB zu sperren, wüßte ich nur eins!
Überprüfe den USB-Kontroller und deaktiviere den soweit es geht.
Weiter bei Ggpedit mit Benutzerkonfiguration / Administrative Vorlagen / Eigeschränkte/Zugelassene Snap Ins und sperre dort den Gerätemanager.

Ich wußte mal einen Weg, wie man die Registrierungwerte von dem GP-Editor ausliest.
War um WinXP-Home nachzurüsten.
Könnte man vielleicht als Reg-Patch erstellen.
Müßte ich aber noch schauen wie das war. Nur wenn du es bräuchtest da ziemlich aufwendig.

Viele Grüße

Fiona

 

[niz]

Also ich will ja nicht umständlich sein. Die Einschränkung nehme ich dann nur bei
meinen Hauptpatienten vor, die mir immer ins Handwerk pfuschen. Der Rest wird so überwacht.

Tja GPEdit Einstellungen per Reg-Edit auslesen/festlegen wäre was feines, aber
wie ich vielleicht schon erwähnt habe, wäre das nur ne Übergangslösung, bis ich
endliche meine neuen SBS habe und dort die servergesteuerten Profile bis zum
erbrechen einschränken kann. Wenn du das jetzt ad hoc nicht weisst, dann ist
auch nicht schlimm. Werde etwas lokal an jedem Platz in der GP festlegen und
"regedit" und "msconfig" nur für den Benutzer Administrator freigeben. Dann paar
Sites in der HOSTS auf die IP 0.0.0.0 verweisen lassen und gut is.
Ob der User das jetzt in seinem Konto wieder rückgängig machen kann, sei dahin
gestellt. Erstmal muss er wissen, wo das eingestellt ist

Das mit USB ist so ne Sache. Ich dachte mal gelesen zu haben, dass sich
Wechseldatenträger à la USB Stick, CF Card und mobile HDD verbieten lassen,
während aber die USB Mäuse noch am Port funktionieren dürfen, weil ja kein
Datenträger...

 

[Fiona]

Bessere USB-Lösung.

http://support.microsoft.com/?kbid=823732

MfG

 

[niz]

HA!
Da isses wieder Thx

Du musst zunächst an andere Benutzer Karma verteilen, bevor du es wieder Fiona geben kannst.

 

[Tobi]

Zum Thema USB Sticks blockieren: In der c't 12/04, Seite 206 stand ein Artikel darüber.

 

[niz]

Also folgendes hab ich dann schon mal.

. Hintergrundbild, Auflösung und Bildschirmschoner dürfen nicht geändert werden
-> Administrative Vorlagen > Systemsteuerung > Anzeige > Symbol "Anzeige" aus der Systemsteuerung entfernen >>AKTIV<<

. Registry darf nicht verändert werden
-> Administrative Vorlagen > System > Zugriff auf Programme zum bearbeiten der Registrierung verhindern >>AKTIV<<

. USB für Wechseldatenträger (USB Sticks & Co.) müssen gespert werden
-> Registry (Thx Fiona und Tobi)

bleibt nur noch die Frage für:

. zusätzliche Dienste dürfen weder gestartet, noch beendet werden

und wie ich das einfach, schnell und nicht händisch einstelle.
Ich denke aber, das ist das kleinere Übel. Werd gleich losziehen
und mir den einen oder anderen Rechner vornehmen. Vielen Dank erstmal

 

[Fiona]

Habe oben den Pfad wegen den Diensten nicht richtig gesetzt .

Dienste kannst du sperren Benutzerkonfiguration / Administrative Vorlagen \ Windows Komponenten \ Microsoft Management Console \ Eigeschränkte/Zugelassene Snap Ins. Da brauchst du bloß Dienste deaktivieren.

Habe ich hier mal korrigiert!

Wegen Registry-Patch erstellen geht folgendermaßen;

Rechtsklick bei Benutzerkonfiguration / Administrative Vorlagen.
hinzufügen/ entfernen wählen.
Jetzt siehst du die Liste der bereits installierten Vorlagen.
Jetzt gehst du auf hinzufügen.
Jetzt siehst du die *.adm-Dateien.
Meistens interessant ist die Datei system.adm .
Öffne die mit dem Editor.
Gehe auf Bearbeiten / Suchen.
Gib dort als Teil-String oder wenn du möchtest voll dein Suchpfad von der Einstellung ein.
Suchen starten!
Wenn das gefunden ist, steht davor der englische Name.
Den kopieren und mit Strg+Pos1 an den Anfang gehen.
Nochmal Suche starten.
Jetzt bekommst du den englischen Wert.
Dort mußt du nur nach oben scrollen um zu sehen wo der ist.
Beispiel; KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
Noch weiter oben ist der Schlüsselpfad dazu. Beispiel; CLASS USER.
Öffne Registrierungseditor.
Jetzt kannst du die Werte von der Registrierung als Patch exportieren.

Viele Grüße

Fiona