Windows 2000 Srv. Richtlinien

Sammy

Little Overclocker

Registered: Jan 2004
Location: Wien
Posts: 61

16.05.2006 - 16:31

Hy!

Ich hab da mal ne knifflige Frage:

Also im zuge eine kleinen Projektes muss ich 10 Server aufsetzen.
Das Problem ist nur das diese Server auf Pc laufen die laufend verändert werden und sonstiges. Daher muss ich diese Server mit einem Image von einem Norton Ghost Server nach jedem neustart aufsetzen.

Das Problem ist ich möchte einen/mehrere User auf diesen System einschränken. Das Problem welches ich habe ist das ich nun wenn ich eine neue Gruppenrichtlinien für diese Benutzer erstellen will Active Directory (Domänen-Controller,DHCP,DNS) brauche.
Da diese Sachen bei einem Server-Cluster nicht gleich sein können hab ich mir überlegt mich der Lokalen Gruppenrichtlinien zu bedienen diese jedoch gelten für den kompletten Rechner ... also auch Admin.

Die Frage ist kennt jemand einen Weg Benutzer einzuschränken (Netzwerk-Einstellungen deak., gewisse Dinge ausblenden) wie bei einer Gruppenrichtlinie ohne Active Directory zu installieren. Natürlich sollte diese Richtlinie auch nicht den Admin beinhalten.

Bin gespannt

weil ich hab bis jetzt noch nichts gefunden

Oculus

void

Registered: Jun 2001
Location: schlafzimmer
Posts: 856

16.05.2006 - 16:53

naja, du könntest dir aus den adm-files die dementsprechenden registrykeys raussuchen und dann per logonscript bei den normalen usern eintragen
das logonscript kannst über die lokale policy aufrufen, im script musst du halt die user unterscheiden, damit zb. beim admin nichts gesetzt wird

wird alles unter HKEY_CURRENT_USER eingetragen.
zB:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value: NoDrives, NoViewOnDrive

damit kannst den Zugriff auf die laufwerke übern explorer einschränken

im prinzip kannst so alles nachstellen, wofür du normalerweise grouppolicies brauchst. die machen nämlich genau dasselbe

alle diese settings findest du in den adm-files in (normalerweise) c:\windows\inf
ein großteil der normalen settings stehen in system.adm
die syntax der files und wie du sie zu lesen hast, wirst wohl selbst rausfinden

andere möglichkeit ist, du installierst dir das active-directory im application-modus
http://www.microsoft.com/downloads/...;displaylang=en

Sammy

Little Overclocker

Registered: Jan 2004
Location: Wien
Posts: 61

16.05.2006 - 18:49

Das mit Registry hab ich auch schon gefunden hab mich da am Anfang ned ran getraut weil windows mit der registry bekanntlich viel pfuscht. (IE verwendet 15000 Einträge.)

Und da kann man das so machen das wirklich nur der User eingeschränkt ist?
Naja klingt auch nach einem Patzen arbeit... hast du vielleicht einen Link wo a bissal was beschrieben bzw vorgefertigt ist?

Oculus

void

Registered: Jun 2001
Location: schlafzimmer
Posts: 856

16.05.2006 - 19:03

du könntest es einfach so machen:

mit dem grouppolicy-editor deine lokale policy für zb. internet-explorer so konfigurieren wie du sie haben willst, und dann den entsprechenden registry aus HKCU vom Administrator (mit dem du die policy editiert hast) exportieren.
dieses regfile kannst dann bei den usern mit "regedit.exe /s irgendwas.reg" importieren.
mehr isses net, solang du im regfile nur auf HKEY_CURRENT_USER werte referenzierst
musst dabei aber aufpassen, dass du dich nicht aus dem policy-editor aussperrst

nein, alles was du in der user-registry machst, is sch... egal. sobald was nimma funktioniert, lösch das userprofil oder zumindest die NTUSER.DAT in C:\dokumente und einstellungen\%username%\
dann wird fürn user beim nächsten mal anmelden automatisch vom HKEY_USERS\.DEFAULT ein neues NTUSER.DAT angelegt (enthält den HKEY_CURRENT_USER des jeweiligen users)

Sammy Little Overclocker Registered: Jan 2004 Location: Wien Posts: 61	16.05.2006 - 16:31 Hy! Ich hab da mal ne knifflige Frage: Also im zuge eine kleinen Projektes muss ich 10 Server aufsetzen. Das Problem ist nur das diese Server auf Pc laufen die laufend verändert werden und sonstiges. Daher muss ich diese Server mit einem Image von einem Norton Ghost Server nach jedem neustart aufsetzen. Das Problem ist ich möchte einen/mehrere User auf diesen System einschränken. Das Problem welches ich habe ist das ich nun wenn ich eine neue Gruppenrichtlinien für diese Benutzer erstellen will Active Directory (Domänen-Controller,DHCP,DNS) brauche. Da diese Sachen bei einem Server-Cluster nicht gleich sein können hab ich mir überlegt mich der Lokalen Gruppenrichtlinien zu bedienen diese jedoch gelten für den kompletten Rechner ... also auch Admin. Die Frage ist kennt jemand einen Weg Benutzer einzuschränken (Netzwerk-Einstellungen deak., gewisse Dinge ausblenden) wie bei einer Gruppenrichtlinie ohne Active Directory zu installieren. Natürlich sollte diese Richtlinie auch nicht den Admin beinhalten. Bin gespannt weil ich hab bis jetzt noch nichts gefunden
Oculus void Registered: Jun 2001 Location: schlafzimmer Posts: 856	16.05.2006 - 16:53 naja, du könntest dir aus den adm-files die dementsprechenden registrykeys raussuchen und dann per logonscript bei den normalen usern eintragen das logonscript kannst über die lokale policy aufrufen, im script musst du halt die user unterscheiden, damit zb. beim admin nichts gesetzt wird wird alles unter HKEY_CURRENT_USER eingetragen. zB: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Value: NoDrives, NoViewOnDrive damit kannst den Zugriff auf die laufwerke übern explorer einschränken im prinzip kannst so alles nachstellen, wofür du normalerweise grouppolicies brauchst. die machen nämlich genau dasselbe alle diese settings findest du in den adm-files in (normalerweise) c:\windows\inf ein großteil der normalen settings stehen in system.adm die syntax der files und wie du sie zu lesen hast, wirst wohl selbst rausfinden andere möglichkeit ist, du installierst dir das active-directory im application-modus http://www.microsoft.com/downloads/...;displaylang=en
Sammy Little Overclocker Registered: Jan 2004 Location: Wien Posts: 61	16.05.2006 - 18:49 Das mit Registry hab ich auch schon gefunden hab mich da am Anfang ned ran getraut weil windows mit der registry bekanntlich viel pfuscht. (IE verwendet 15000 Einträge.) Und da kann man das so machen das wirklich nur der User eingeschränkt ist? Naja klingt auch nach einem Patzen arbeit... hast du vielleicht einen Link wo a bissal was beschrieben bzw vorgefertigt ist?
Oculus void Registered: Jun 2001 Location: schlafzimmer Posts: 856	16.05.2006 - 19:03 du könntest es einfach so machen: mit dem grouppolicy-editor deine lokale policy für zb. internet-explorer so konfigurieren wie du sie haben willst, und dann den entsprechenden registry aus HKCU vom Administrator (mit dem du die policy editiert hast) exportieren. dieses regfile kannst dann bei den usern mit "regedit.exe /s irgendwas.reg" importieren. mehr isses net, solang du im regfile nur auf HKEY_CURRENT_USER werte referenzierst musst dabei aber aufpassen, dass du dich nicht aus dem policy-editor aussperrst nein, alles was du in der user-registry machst, is sch... egal. sobald was nimma funktioniert, lösch das userprofil oder zumindest die NTUSER.DAT in C:\dokumente und einstellungen\%username%\ dann wird fürn user beim nächsten mal anmelden automatisch vom HKEY_USERS\.DEFAULT ein neues NTUSER.DAT angelegt (enthält den HKEY_CURRENT_USER des jeweiligen users)

Windows 2000 Srv. Richtlinien

Forum Index > Software > Windows

Sammy

Oculus

Sammy

Oculus