Registrykeys per GPO verteilen ?

[FiB0 10]

Hallo

 

ich hab mal ne Frage bezügl. den GPOs und Reg.-Keys

Angenommen ich möchte das zB an 100 Client ein bestimmter Reg.Wert hinzugefügt oder geändert wird.

 

Diese Einstellung entspricht aber keiner Optionen der "normalen" Richtlinien.

 

Kann ich irgendwie ne Reg. Datei übergeben, die dann ausfegührt wird wenn sich der User anmeldet ? Oder geht das überhaupt irgendwie ? (selber ADMs schreiben ? - gibts da nan Tool für ?!?)

 

jemand ne Idee ?

 

mfg

FiB0

[zahni 558]

Selber ADM schreiben geht:

 

http://www.gruppenrichtlinien.de/

 

.REG-Datei verteilen geht auch:

 

regedit /s meine.reg

 

Für LOCAL_MACHINE in ein Startskcipt packen

 

-Zahni

[styx-tdo 10]

jemand ne Idee ?

 

ne. abba ich weiß es ^^

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/admtgp.mspx

 

anleitung für ADM files. ;)

 

Tool kenn i leider keines - wer weiß - habba will ^^

[grizzly999 11]

Naja, selber ADM-Files schreiben geht mit ein wenig Übung und Lesen wunderbar, aber das Große ABER: Normalerweise werden die Policies aus den Vorlagen von Microsoft in die Schlüssel

HKLM\Software\Policies

oder HKLM\Software\Microsoft\Windows

\CurrentVersion\Policies

oder

HKCU\Software\Policies

oder HKCU\Software\Microsoft\Windows

\CurrentVersion\Policies

geschrieben, je nach dem. Da kann man jedoch nicht beliebige Schlüssel eintragen, denn die Applikation, ja das OS selber muss auch in der Lage sein, die Reg-Keys hier auszulesen und anstelle der originalen zu verwenden.

 

Wenn man die Policies im "NT 4.0 Stil" schreibt, also sog. Preferences, dann geht das besser, aber man muss die Unterschiede zu echten Policies beachten:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/784f8313-804b-4656-ab14-c5cf576fc30f.mspx

 

Ausserdem sieht man diese Preferneces standardmäßig nicht:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/baefab8c-de99-4a58-8468-e8fbfae1b7da.mspx

 

grizzly999

[Superstruppi 13]

hab da eine Frage dazu:

 

Wie mache ich das, wenn die User nicht das Recht haben, diesen einen speziellen Reg-Key einzutragen?

Bis jetzt musste man dem User kurzfristig Domain-Admin Rechte geben, um den Reg-Key zu setzen.

 

Bitte um kurze Hilfe - Besten Dank!

[zahni 558]

"Für LOCAL_MACHINE in ein Startscript packen"

 

-zahni

[Superstruppi 13]

der reg-eintrag muss aber in >>current user<< rein. das ist das problem.

[meikomeko 10]

Wenn´s in CURRENT USER sein soll, reicht ein Login Script und wenn Du die ADM Files nicht schreiben willst, würde ich es mit REG ADD HKCU\Schlüssel... im Login Script mal versuchen.

[Superstruppi 13]

das nützt mir in einem login skript nix, wenn die benutzer nicht das recht haben, diesen reg-eintrag zu setzen!!

 

damit man bei den usern den key setzen kann, muss man momentan folgende schritte tun:

 

1. domain-admin rechte vergeben

2. als der user einsteigen

3. reg-key ausführen

4. abmelden

5. domain-admin rechte wegnehmen

 

ohne domain-admin rechte lässt sich der key nicht setzen.

 

da das ganze relativ aufwändig für alle user ist, wir die userrechte aber nicht dauerhaft ändern wollen, suche ich eine einfachere lösung. :wink2:

[grizzly999 11]

Ein User hat immer Vollzugriff auf HKCU (mit kleinen Ausnahmen)

 

grizzly999

[Superstruppi 13]

offenbar ist das eine dieser kleinen ausnahmen:

 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Security]

"CheckAdminSettings"=dword:00000002

 

Nicht umsonst krieg ich als user o. adminrechte die meldung, dass die rechte nicht ausreichen. hmm. keine lösung?

[meikomeko 10]

Falls Du auf eine der wenigen Ausnahmen unter HKCU gestossen bist und du die Änderung nur einmal machen musst, hätte ich noch eine Idee.

Nicht elegant, etwas riskant, aber geht.

 

- du erstellst ein Startup Script, das die Gruppe DOMAIN USERS in die Gruppe der lokalen Administratoren (evtl. reicht ja auch Hauptbenutzer) schiebt

Das Script schreibt nach %windir%\temp ein File grpadded.txt.

- per Logon Script änderst du die Werte in HKCU, schreibst ein File done.txt nach %windir% und erzwingst einen Neustart (psshutdown, o.ä. Tool), damit die User nicht ewig mit erhöhten Rechten arbeiten.

Unten die Scripts. Hab das vor einiger Zeit selber machen müssen, weil sich unser Jinitiator nicht per Startup Script installieren lassen wollte. Sind leider nicht die Original Scripts (also bitte nochmal checken) und schaut alles etwas wüst aus, aber so ungefähr lief das.

 

Grüsse,

Frank

 

 

 

StartupScript:

if not exist %windir%\grpadded.txt cscript \\DeinPfad\GroupAdd.vbs

echo. >%windir%\grpadded.txt

if exist %windir%\done.txt cscript GroupRemove.vbs

del /y %windir%\done.txt (wenn´s sein muss)

 

 

GroupAdd.vbs:

Dim DomainName

Dim UserAccount

Set net = WScript.CreateObject("WScript.Network")

local = net.ComputerName

DomainName = "DEINE_DOMÄNE"

UserAccount = "Domain Users"

set group = GetObject("WinNT://"& local &"/Administratoren")

on error resume next

group.Add "WinNT://"& DomainName &"/"& UserAccount &""

 

 

GroupRemove.vbs:

Dim DomainName

Dim UserAccount

Set net = WScript.CreateObject("WScript.Network")

local = net.ComputerName

DomainName = "DEINE_DOMÄNE"

UserAccount = "Domain Users"

set group = GetObject("WinNT://"& local &"/Administratoren")

on error resume next

group.Remove "WinNT://"& DomainName &"/"& UserAccount &""

[Bragan 10]

eine andere Alternative ist die Verwendung folgenden kostenfreien Tools: PolicyMaker™ Registry Extension

 

Damit habe ich eigentlich recht gute Erfahrungen bezüglich Anpassungen von Registry-Einträgen bei verteilten Clients.