Domänenrichtlinien an Standalone Workgroup Client (NonDomain Joined) übergeben

Autor: Mark Heitbrink - vom 31.07.2014 - Kategorie(n): Anleitungen

Manchmal gibt es Situationen, an denen kommt man nicht vorbei ... und man darf (muss) Clients in einer Workgroup (Non-Domain-Joined) betreiben, obwohl man eine Domäne hat. In so einem Moment wäre es doch schön, wenn man zumindest die Richtlinien, die es im AD gibt auch für die Lokalen Benutzer dieses Workgroup Clients anwenden kann.

Was können wir, ohne großen Skriptaufwand und Kraftakt übernehmen?
Client Side Extension Registry - Alles aus dem Bereich Administrative Vorlagen (registry.pol)
Client Side Extension Security - Konto/Kennwortrichtliniem, Sicherheitsoptionen, Zuweisen von Benutzerrechten, Dateisystem- und Registry Berechtigungen und Dienstkonfigurationen (gpttmpl.inf)

Wir brauchen einen Beispiel User, bzw. eine Beispiel Maschine. Am Zielobjekt kommen die Richtlinien nach dem Regelwerk des AD am Objekt an. Die zusammengeführten Einstellungen werden anschliessend auf den Workgroup Client übergeben. 

1. Benutzereinstellungen, Administrative Vorlagen
Wir kopieren die %userprofile%\ntuser.pol Datei des Beispiel Benutzers auf den Workgroup Client nach C:\Windows\System32 ... und benennen sie um. Zudem wird das "Schreibgeschützt" und "Versteckt" Attribut auf der Datei in beiden Fällen entfernt:

Zielpfade: Wer übernimmt die Richtlinien?

  • C:\Windows\System32\GroupPolicy\User\Registry.pol
    wenn die Einstellungen für alle Benutzer, auch den Administrator gelten sollen
  • C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol
    wenn die Einstellungen nur für Benutzer (Nicht-Administratoren) gelten sollen


2. Computereinstellungen, Administrative Vorlagen

Wir kopieren die %AllUsersProfile%\ntuser.pol nach C:\Windows\System32\GroupPolicy\Machine und benennen sie ebenfalls in Registry.pol um. Die beiden Attribute wie unter 1. entfernen.

3. Übernahme der Einstellungen aus den Administrativen Vorlagen
Wir benötigen eine GPT.ini in der die Version der Richtlinie und die verwendete Komponente hinterlegt ist.

  • C:\Windows\System32\GroupPolicy\GPT.ini
    wenn die Einstellungen für alle Benutzer, auch den Administrator gelten sollen und/oder es eine Maschinenkonfiguration gibt:
    [General]
    gPCMachineExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]
    gPCUserExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F73-3407-48AE-BA88-E8213C6761F1}]
    Version=131172
  • C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\GPT.ini
    wenn die Einstellungen nur für Benutzer (Nicht-Administratoren) gelten sollen
    [General]
    gPCUserExtensionNames=[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F73-3407-48AE-BA88-E8213C6761F1}]
    Version=100


4. Computereinstellungen, Sicherheitseinstellungen

Wir exportieren die aktuellen Einträge der Lokalen Sicherheitsdatenbank inkl. der Domäneneinstellungen und kopieren anschliessen die client.inf auf den Workgroup Client.
secedit /export /cfg client.inf /mergedpolicy

5. Übernahme der Sicherheitseinstellungen 
secedit /configure /db client.sdb /cfg client.inf /overwrite /quiet

6. Neustart, fertig

Die Ordnerstruktur sieht dann am Ende ungefähr so aus: