Wie funktioniert ein ADM
Template?
Wie importiere ich ein ADM Template?
STRINGS too long ...Fehler beim
Import von XPSP2 Template Dateien auf einem 2000/2003/SBS Server
Wie kann ich die
Windows XP Richtlinien in einem 2000 AD verwenden?
Wie funktioniert ein ADM
Template?
ADM Templates editieren Registry Einstellungen, die in einer
.pol Datei (%sysvol%\diedomain.tld\policies\{GUID
der GPO}\adm\MACHINE, bzw. .\USER) gespeichert werden.
Wird das Template geändert, bleiben alle Einstellungen der .pol Datei und damit
die Richtlinien erhalten. Das ADM Template stellt nur eine Maske zur Verfügung
mit der Einstellungen vorgenommen werden können, aber es sind im Template selber
keine Einstellungen der Richtlinie gespeichert. Das Template liest diese nur aus
der .pol Datei aus und stellt sie dar. Es bietet also nur eine Oberfläche zum
Bearbeiten an.
Stell euch eine Schablone mit Löchern vor. Ihr legt eine Platte drunter und
bohrt anhand der Schablone die Löcher (oder in unserem Fall eine Einstellung
einer Richtlinie) Jetzt wechselt ihr die Schablone (das ADM Template).
Was wird passieren?
| - |
alle vorher gebohrten
Löcher sind noch da. |
| - |
die neue Schablone
ermöglicht euch weitere Löcher zu bohren. |
| - |
andere, schon vorhandene
Löcher können verdeckt sein und sind nicht mehr sichtbar. Trotzdem sind
sie weiterhin vorhanden, nur mit der Schablone nicht erreichbar. |
| - |
legt eine völlig
inkompatible Schablone auf, nichts ändert sich. Die Löcher sind immer
noch existent. |
| - |
Wenn ihr sie
"nachbohren" wolltet (oder in unserem Fall die Einstellung einer
Richtlinie ändern möchtet) müsst ihr wieder die Schablone verwenden, die
ihr zuerst benutzt habt, oder eine, die die Löcher zumindest an gleicher
Stelle hat, evtl. zzgl. ein paar weiteren. |
Bei dem org. MS Templates handelt
es sich um Erweiterungen (super sets), d.h. jedes neuere Template bringt alle
vorherigen Einstellungen mit und erweitert sie um zusätzliche.
Letztlich hat der Austausch des ADM Templates keinerlei Auswirkung auf die
vorhandene Richtlinie. Nur eure Ansicht ändert sich. Wird ein altes Template
importiert, können diverse Einstellungen nicht mehr gesetzt werden. Weder
vorhandene geändert noch erstmalige Einstellungen vorgenommen werden. Aber die
Richtlinie bleibt erhalten.
Wie importiere ich ein ADM Template?
| 1. |
Als erstes brauche ich
eine Richtlinie oder zumindest den lokalen Gruppenrichtlinien-Editor
(gpedit.msc) |
| 2. |
Im Kontext Menü der
Administrativen Vorlagen findet ihr den Punkt
"Vorlage hinzufügen/entfernen"
Dabei ist es völlig egal, ob das Template im Benutzerbereich oder
im Computerbereich importiert (oder entfernt) wird. Die ADM Templates
sind für die Richtlinie zuständig. Die Unterscheidung in welchem Bereich
die Richtlinie angezeigt wird findet im Template selber anhand der CLASS
Einträge statt. Diese definieren den Zweig der Registry.
HKey_Current_User (Class User) oder Hey_Local_Machine (Class Machine).
|
| 3. |
Im sich öffnenden Fenster findet man
die aktuell eingetragenen Templates dieser Richtlinie und über die
Schaltfläche "Hinzufügen" bekommt man den
bekannten "Datei öffnen" Dialog.
Der erste Pfad der geöffnet wird ist immer:
%systemroot%\inf an jedem System! Also auch wenn ihr die
Richtlinie von einer Workstation aus bearbeitet, die auf dem DC
hinterlegt ist. Der erste Pfad verweist immer auf das lokale
%systemroot%\inf Verzeichnis.
|
| 4. |
Jetzt muss das gewünschte Template nur
noch ausgewählt werden. Es findet automatisch eine Syntac Prüfung statt.
Deswegen kann der Import Vorgang einige Zeit in Anspruch nehmen, je nach
Größe der Datei. Das Template wird Zeile für Zeile abgearbeitet, was
beim Import der system.adm mit fast 11.000 schon einiges dauert. |
| 5. |
Ein Problem, gerade bei eigenen ADM
Templates stellt die vorkonfigurierte Ansicht dar.
Windows 2000:
Ansicht -> „Haken“ entfernen bei => Nur Richtlinien anzeigen
Windows XP/2003:
Ansicht -> Filterung -> „Haken“ entfernen bei => Nur vollständig
verwaltbare Richtlinieneinstellungen anzeigen
Erklärung siehe Punkt
"Wie? Was?
Wo?" auf dieser Seite, Stichwort
"blaue"
und "rote" Richtlinien |
Was bedeutet es nun für uns?
| - |
Wird eine neue Richtlinie erstellt,
werden die Default Richtlinien aus %systemroot%\inf in den Ordner
%sysvol%\diedomain.tld\policies\{GUID der GPO}\adm kopiert und sind nur
für diese Richtlinie gültig. Auf einer anderen
Richtlinie kann mit anderen Vorlagen gearbeitet werden, da jede
Richtlinie über ihre eigenen Templates verfügt. |
| - |
Dieses Verhalten ermöglicht es auch
problemlos ein neues Service Pack oder ein Update des Systems zu machen.
Normalerweise bringt jedes SP und natürlich jedes neue OS auch einen
neuen Satz ADM Templates mit. Beim Updateprozess
werden nur die lokalen .adm Dateien in %systemroot%\inf aktualisiert.
Die .adm Dateien im %sysvol% bleiben erhalten. Kein SP und kein Update
von Windows 2000 auf Windows 2003 Server verändern die Templates im
%sysvol%.
Letzeres dürfte auch nicht passieren. Denn es gibt genügend Leute die
eigene ADM Templates erstellen. Oftmals geschieht dieses nicht mit einer
eigenen Datei, sondern es wird z.B. die system.adm hergenommen und mit
eigenen Einstellungen erweitert. Beliebtes Beispiel die Richtlinien "nodrives"
und "noviewondrives", da diese in ihrer Grundeinstellung nur die
Laufwerke A,B,C und D erfassen und somit in den wenigsten Netzwerke
ausreichend sind.
Benutzerkonfiguration\Windows-Komponenten\Windows Explorer:
"Diese angegebenen Datenträger im Fenster
"Arbeitsplatz" ausblenden" und
"Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen"
Würde ein Update Prozess diese vorhandenen Vorlagen überschrieben, wäre
es ein echtes Problem. |
Fehlermeldung beim Import von XPSP2/2003 SP1 Template Dateien auf einem 2000/2003/SBS
Server (ohne SP1)
"The following entry in the [strings] section is too
long and has been truncated" error message when you try to modify or to view
GPOs in Windows Server 2003, Windows XP Professional, or Windows 2000"
Lösung 1: Anforderung eines Patches von Microsoft
http://support.microsoft.com/default.aspx?kbid=842933
Lösung 2: siehe nächster Punkt. Installation des adminpak.msi auf einer
XP Workstation und Verwaltung der Richtlinien von dort aus.
Letztlich scheitert der Import daran, daß ab XPSP2 die definierten Variablen für
die "IF VERSION >=5" Abfrage unterhalb von [strings] mehr als 255 Zeichen haben
Wie
kann ich die Windows XP Richtlinien in einem 2000 AD verwenden?
Aufgrund der gerade genannten Punktes gibt es eine einfache Möglichkeit die
Richtlinien von XP in einem 2000er AD zu verwenden.
Die einfachste Idee wäre jetzt ein schlichter Austausch der vorhandenen .adm
durch die eines XP Systems. Was aber nicht zum gewünschten Ergebnis führt, denn
2 Dinge würde die Funktion beeinträchtigen:
| - |
In den ADM Templates sind nur die
Punkte unter den "Administrativen Vorlagen" enthalten.
Alle erweiterten Einstellungen die in den
Sicherheitsrichtlinien mit XP hinzugekommen sind, würden nicht
berücksichtigt. |
| - |
In den ADM Templates wird mit einer
"if version"-Abfrage geklärt, ob diese
Richtlinie auf dem entsprechenden Rechner anhand der Abfrage seines
Betriebsystems (besser gesagt die Version des
Gruppenrichtlinien-Editors) zur Anwendung kommt. Diese Abfrage verhindert aber nicht
nur die Anwendung der Richtlinie, sondern schon die Ansicht als solche.
Das bedeutet das auf einem Windows 2000 Rechner die Richtlinien, die nur
auf einem Windows XP oder Windows 2003 Server zur Anwendung kommen gar
nicht erst angezeigt werden. Würden sie mit einem aktuelleren Editor
editiert und auf einem "älteren" System angewendet werden, hätten sie
keine Auswirkungen. |
Die einfachste Möglichkeit ist die Installation
des Adminpak.msi auf einer XP Workstation und die
Bearbeitung der Richtlinien von dieser.
Das Adminpak.msi ist auf jeder Server CD im I386 Verzeichnis vorhanden, bei der
Installation werden die Links in der Verwaltung inkl. der nötigen MMC SnapIns
eines Domänen-Controllers auf einer Workstation installiert. Um ein Adminpak.msi
auf einer XP Workstation zu installieren benötigt man das eines Windows 2003
Servers.
Jetzt haben wir einen kleinen Konflikt, denn wenn ihr einen 2003 Server hättet,
wären die Richtlinien direkt vorhanden und man bräuchte den Umweg über die
Workstation nicht. Deswegen kann auch das Adminpak auch bei Microsoft im
Download Bereich gefunden werden.
"Windows Server 2003 Administration Tools Pack"
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en
Großer Nachteil, nur englisch verfügbar, also vielleicht mal beim Nachbarn
nachschauen, ob er gerade eine deutsche Win2003 Server CD herumliegen hat ...
Evtl. wird noch ein Patch benötigt:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6e5da79c-5c38-4445-b039-e3f3aa5e5b25&DisplayLang=de
Für jede neu erstellte Richtlinie, die mit der XP Workstation erstellt wird,
werden automatische die lokalen Datendateien verwendet, um sie im AD zu
hinterlegen, bzw. im SYSVOL und damit sind es automatisch die der XP Workstation. Die
vorhandenen Richtlinien bleiben unberührt und erhalten.
Man hätte jetzt die Möglichkeit die vorhandenen durch einen Import zu ersetzen
oder man erstellt für die XP Workstations eine eigene OU und arbeitet nur auf
dieser mit den XP Richtlinien, da die speziellen Einstellungen und neuen
Sicherheitsberechtigungen von XP auf einer Windows 2000 Maschine sowieso nicht
zur Anwendung kommen.
(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright