MS Gruppenrichtlinien nutzen – Teil 3 – Vorlagen für fehlende Gruppenrichtlinien selbst erstellen

Da Sie über Gruppenrichtlinien viele Einstellungen des Client-Betriebssystems und der auf dem Client laufenden Anwendungen von zentraler Stelle aus steuern können, liegt es nahe, für alle Registrierdatenbankseinträge selber Gruppenrichtliniendateien zu erstellen, wenn es vom Hersteller keine ADM-Dateien oder passende Gruppenrichtlinien gibt.

Teil 1 - Einführung in Gruppenrichtlinien
Teil 2 - Die Gruppenrichtlinien von Windows XP einsetzen
Teil 4 - Microsoft Office im Netzwerk

Vorlagedateien mit dem Tool »Registry System Wizard« erstellen

Die in diesem Artikel selbst erstellen ADM-Vorlagen finden Sie hier zum Download.

Über Gruppenrichtlinien können nur die Zweige HKEY_CURRENT_USER und HKEY_LOCAL_MACHINE der Registrierdatenbank verändert werden, nicht aber Einträge in den Zweigen HKEY_CLASSES_ROOT, HKEY_USERS oder HKEY_CURRENT_CONFIG. Diese Hauptzweige der Registrierdatenbank haben im Microsoft Jargon die Bezeichnung »Hives«.

Das Erstellen einer eigenen ADM-Datei ist nicht so kompliziert, wie man vielleicht vermuten wird. Besonders hilfreich kann hier ein Tool wie der Registry System Wizard sein, das Sie auf der Buch-DVD finden. Nach dem Start des Registry System Wizards wählen Sie über eine Registerkarte das Betriebssystem Windows XP oder Windows 2000 aus, für das Sie Änderungen an der Registrierdatenbank vornehmen wollen. Danach werden geordnet nach Kategorien alle möglichen Tipps aufgelistet, mit denen Sie die Registrierdatenbank Ihren Wünschen entsprechend verändern können.

Registry System Wizard Klick aufs Bild zum Vergrößern

Wenn Sie z.B. wissen möchten, welche Änderung an der Registrierdatenbank vorgenommen werden muss, um nachträglich eine Maus mit Rad zu aktivieren, wechseln Sie in die Kategorie Maus/Tastatur und finden dort den entspre­chenden Tipp und nach Betätigen der Schaltfläche Key­Info den Registry-Wert, der verändert werden muss.

Registry System Wizard Klick aufs Bild zum Vergrößern

Sie können nun den "Registry System Wizard" auf einem Computer mit Windows XP Professional installieren und anschließend nach interessanten Einstellmöglichkeiten suchen, für die die von Microsoft zur Verfügung gestellten Windows XP Gruppenrichtliniendateien keine Richtlinien anbieten.

Wenn Sie im "Registry System Wizard" den Menüpunkt Tipps aufrufen, stellen Sie fest, dass Sie eine REG-Datei bzw. eine ADM-Datei erstellen können und danach weitere Einstellungen über die Befehle Tipp zur REG-File Liste hinzufügen bzw. Tipp zur ADM-File Liste hinzufügen der erzeugten Datei hinzufügen können. Der Menüpunkt ADM File vom aktuellen Tipp erstellen bzw. der Menüpunkt Tipp zur ADM-File Liste hinzufügen steht jedoch nicht bei allen Tipps zur Verfügung. Das liegt unter anderem daran, dass mit einer Richtliniendatei (*.adm-Datei) nur die Zweige HKEY_LOCAL_MACHINE und HKEY_CUR­RENT_USER manipuliert werden können, nicht aber die drei anderen Zweige HKEY_CLASSES_ROOT, HKEY_USERS und HKEY_CURRENT_CONFIG.

Haben Sie aber einmal mit dem Tool eine eigene ADM-Datei erzeugt, so können Sie diese ASCII-Datei mit jedem beliebigen Editor öffnen, während die originalen ADM-Dateien sich nur mit speziellen Editoren wie z.B. Notepad öffnen und bearbeiten lassen. Außerdem sind diese Dateien in einem Format, das leicht verständlich ist. Wenn Sie regelmäßig in Computermagazinen, in Newslettern und in den Knowledge Base-Artikeln von Microsoft »herumschmökern«, werden Sie schnell weitere Tipps zum Betriebssystem Windows XP, zu Microsoft Office oder zu anderen Anwendungen sammeln, die die Registry-Werte in den Zweigen HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER betreffen. Haben Sie eine eigene ADM-Datei mit dem Tool "Registry System Wizard" erstellt und deren einfachen Aufbau verstanden, so wird es Ihnen leicht fallen, diese eigene ADM-Datei um die gewünschten Registry-Keys zu erweitern. Somit sind Sie in der Lage, all diese Veränderungen zentral über das Active Directory zu steuern. Schnell werden Sie so zum Experten im Erstellen von eigenen Gruppenrichtliniendateien.

Die Struktur von Vorlagedateien für Gruppenrichtlinien

Eine ganz einfache Gruppenrichtliniendatei, die nur zwei Richtlinie enthält, mit denen die APIPA-Funktion unter HKEY_LOCAL_MACHINE und der Schlüssel Persistent Connections unter HKEY_CURRENT_USER aktiviert oder deaktiviert werden können, hat zum Beispiel folgendes Aussehen:

CLASS MACHINE
  CATEGORY "APIPA-Funktion fuer DHCP-Betrieb deaktivieren"
  KEYNAME "System\CurrentControlSet\Services\TCPIP\Parameters"
  POLICY "IpAutoConfigurationEnabled"
  VALUENAME "IpAutoConfigurationEnabled"
  ValueON NUMERIC "0"
  ValueOff NUMERIC "1"
  Part "Wenn kein DHCP-Server beim Start eines Windows XP
       -Clients verfügbar ist, verliert "Text End Part
  Part "der Client ... beschreibender Text "Text End Part
  END POLICY
  END CATEGORY
CLASS USER
  CATEGORY "Netzwerkverbindungen nicht zwischen Sitzungen
         speichern"
  KEYNAME "Software\Microsoft\Windows NT\Current­Version­
          Net­work\­Persistent Connections"
  POLICY "SaveConnections"
  VALUENAME "SaveConnections"
  ValueON "YES"
  ValueOFF "NO"
  Part "Standardmäßig ist diese Funktion aktiviert.
        Das bedeutet, ... beschreibender Text "Text End Part
  END POLICY
  END CATEGORY

Das Schema einer ADM-Datei ist somit folgendes: Eine ADM-Datei besteht aus den beiden Kategorien CLASS MACHINE und/oder CLASS USER. Alle Richtlinien, die unter CLASS MACHINE stehen, tauchen später unter Computerkonfiguration – Administrative Vorlagen auf und führen zu Änderungen im Zweig HKEY_LOCAL_MACHINE der Registrierdatenbank.

Gruppenrichtlinie Klick aufs Bild zum Vergrößern

Alle Richtlinien, die unter CLASS USER stehen, tauchen später unter Benutzerkonfiguration – Administrative Vorlagen auf und führen zu Änderungen im Zweig HKEY_CURRENT_USER der Registrierdatenbank.

Die Kategorien CLASS MACHINE und CLASS USER können nun über den Ausdruck CATEGORIE Kategoriename … END CATEGORY wiederum in Unterkategorien unterteilt werden.

Als nächstes folgt der KEYNAME, der den Schlüssel in der Registry angibt, in dem sich die nachfolgenden VALUENAMES befinden. Danach folgen eine oder mehrere Richtlinien mit je einem VALUENAME.

Jede Richtlinie wird durch das Schlüsselwort POLICY eingeleitet und durch END POLICY beendet. Die Richtlinien können einen beschreibenden Text er­halten. Jede Zeile des beschreibenden Textes beginnt mit Part und endet mit Text End Part. Der beschreibende Text kann jedoch auch in einem separaten Abschnitt mit der Bezeichnung [Strings] ganz am Ende der ADM-Datei zusammengefasst werden. Diese Möglichkeit wird weiter unten beschrieben. Zwei adm-Beispieldateien namens WindowsExplorer.adm und ExchangeProvider.adm finden Sie auf der Buch-DVD.

Das Schema sieht also wie folgt aus:

CLASS MACHINE
CATEGORY "erste Kategorie für HKEY_LOCAL_MACHINE"
  KEYNAME "Registrypfad"
  POLICY "Beschreibung der ersten Richtlinie"
  VALUENAME "Name des Wertes"
  ValueON NUMERIC "0"
  ValueOff NUMERIC "1"
  Part "beschreibender Text "Text End Part
  Part "aufgeteilt auf mehrere Zeilen "Text End Part
  END POLICY
END CATEGORY
CATEGORY "zweite Kategorie für HKEY_LOCAL_MACHINE"
  KEYNAME "Registrypfad"
  POLICY "Beschreibung der Richtlinie"
  VALUENAME "Name des Wertes"
  ValueON NUMERIC "0"
  ValueOff NUMERIC "1"
  Part "beschreibender Text "Text End Part
  Part "aufgeteilt auf mehrere Zeilen "Text End Part
  END POLICY
END CATEGORY
CLASS USER
CATEGORY "erste Kategorie für HKEY_CURRENT_USER"
  KEYNAME "Registrypfad"
  POLICY "Beschreibung der Richtlinie"
  VALUENAME "Name des Wertes"
  ValueON NUMERIC "0"
  ValueOff NUMERIC "1"
  Part "beschreibender Text "Text End Part
  Part "aufgeteilt auf mehrere Zeilen "Text End Part
  END POLICY
  POLICY "Beschreibung der nächsten Richtlinie"
  VALUENAME "Name des Wertes"
  ValueON NUMERIC "0"
  ValueOff NUMERIC "1"
  Part "beschreibender Text "Text End Part
  Part "aufgeteilt auf mehrere Zeilen "Text End Part
  END POLICY
END CATEGORY

Mögliche Werttypen für ValueName können sein:

REG_DWORD-Werte, das sind Binärwerte mit Zahlen wie 0, 1, 2. Ein Beispiel:

CLASS MACHINE
CATEGORY "Warnmeldung wenn Festplatte voll"
   KEYNAME "System\CurrentControlSet\Services\LanmanServer\Parameters"
      POLICY "Wert: DiskSpaceThreshold"
      PART "in Prozent" Numeric Required 
      Min 0 Max 99
      ValueName "DiskSpaceThreshold"
      Default "10"
      END PART
      END POLICY
  END CATEGORY
CATEGORY "APIPA-Funktion fuer DHCP-Betrieb deaktivieren"
    KEYNAME "System\CurrentControlSet\Services\TCPIP\Parameters"
    POLICY "IpAutoConfigurationEnabled"
    VALUENAME "IpAutoConfigurationEnabled"
    ValueON NUMERIC "0"
    ValueOff NUMERIC "1"
    END POLICY
END CATEGORY

REG_SZ-Werte, das sind Zeichenfolgewerte wie C:\Programme. Ein Beispiel:

CLASS MACHINE
CATEGORY "Standardinstallationspfad für Anwendungen verändern"
   KEYNAME "Software\Microsoft\Windows\CurrentVersion"
   POLICY "ProgramFilesDir"
   ValueON ""
   ValueOff ""
   PART "Pfad:" EDITTEXT
   VALUENAME "ProgramFilesDir"
   DEFAULT "C:\Programme"
   END PART
   END POLICY
END CATEGORY

REG_EXPAND_SZ-Werte, das sind Werte, die mittels Variableninhalte zur Laufzeit aufgelöst werden. Ein Beispiel:

CLASS MACHINE
CATEGORY "Standardinstallationspfad verändern"
   KEYNAME "Software\Microsoft\Windows\CurrentVersion"
   POLICY "ProgramFilesPath"
   Part "Pfad:" EDITTEXT
   VALUENAME "ProgramFilesPath"
   DEFAULT "%ProgramFiles%"
   REQUIRED
   #if VERSION >= 2
   EXPANDABLETEXT
   #endif
   END PART
   END POLICY
END CATEGORY

REG_EXPAND_SZ-Werte wurden erst ab Windows 2000 unterstützt. Darum finden Sie in obigem Beispiel die Abfrage #if VERSION >= 2 EXPANDABLETEXT #endif. Die Angabe eines DEFAULT-Wertes, wie Sie ihn in obigen Beispielen finden, ist nicht zwingend.

Sie können jedoch auch ein anderes Format verwenden, bei dem die beschreibenden Texte in einem separaten Abschnitt [strings] am Ende der Vorlagedatei zusammengefasst werden, statt direkt im zugehörigen Policy-Abschnitt zu erscheinen. Der Name der Richtlinie (POLICY !!) wird hierbei ebenso wie der beschreibende Text (EXPLAIN !!) durch zwei einleitende Rufzeichen referiert. Sowohl der eigentliche Richtlinienname als auch der beschreibende Text befinden sich dann im Abschnitt [Strings]. Im beschreibenden Text können Zeilenumbrüche durch \n (ein Zeilenumbruch) bzw. \n\n (zwei Zeilenumbrüche) angegeben werden.
Ein Ausschnitt aus der Datei WindowsExplorer.adm auf der Buch-DVD verdeutlicht dieses Format:

CLASS USER
CATEGORY "Microsoft Explorer"
  CATEGORY "Ansicht"
       POLICY !!AnsichtoptionenfueralleOrdnerspeicher
             KEYNAME "Software\Microsoft\Windows\
.		CurrentVersion\Explorer\Advanced"
             EXPLAIN !!AnsichtoptionenfueralleOrdnerspeicher_Explain
             VALUENAME "ClassicViewState"
             VALUEON NUMERIC 1
             VALUEOFF NUMERIC 0
             END POLICY
       POLICY !!Dateierweiterunganzeigen
             KEYNAME "Software\Microsoft\Windows\
		CurrentVersion\Explorer\Advanced"
             EXPLAIN !!Dateierweiterunganzeigen_Explain
             VALUENAME "HideFileExt"
             VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
             END POLICY
       POLICY !!geschuetzteSystemdateienausblenden
             KEYNAME "Software\Microsoft\Windows\
		CurrentVersion\Explorer\Advanced"
             EXPLAIN !!geschuetzteSystemdateienausblenden_Explain
             VALUENAME "ShowSuperHidden"
             VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
             END POLICY
END CATEGORY ; "Ansicht"
END CATEGORY ; "Microsoft Explorer"
[strings]
AnsichtoptionenfueralleOrdnerspeicher="eingestellte 
.Ansichtoptionen für alle Ordner übernehmen"
AnsichtoptionenfueralleOrdnerspeicher_Explain="Wenn diese 
Einstellung aktiviert ist, werden Einstellungen, die in einem 
Ordner vorgenommen werden, für jeden Ordner übernommen. 
Die Aktivierung ist sinnvoll.

\n\nBei deaktivierter Einstellung werden die Einstellungen nicht für jeden Ordner gespeichert, sondern nur für den aktuellen Ordner."
Dateierweiterunganzeigen="Dateierweiterung auch bei 
bekannten Dateitypen anzeigen"
Dateierweiterunganzeigen_Explain="Wenn diese Einstellung 
aktiviert ist, werden alle Dateiendungen der Dateien angezeigt. 
Auch Endungen wie doc, xls, exe und com werden wieder angezeigt. 
Es ist sinnvoll, diese Richtlinie zu aktivieren.

\n\nBei deaktivierter Einstellung werden Dateiendungen bei bekannten Dateitypen 
ausgeblendet."

Beachten Sie, dass das Ende einer Kategorie durch den Ausdruck END CATEGORY angezeigt wird. Wenn eine ADM-Datei viele Kategorien enthält und diese auch noch ineinander verschachtelt sind, sollte der Ausdruck END CATEGORY durch einen mit einem Semikolon eingeleiteten Kommentartext ergänzt werden (z.B. END CATEGORY ; Name der Kategorie). Besteht der Name einer Kategorie aus mehreren Worten, so muss er in Anführungszeichen stehen.

Die von Microsoft gelieferten ADM-Dateien haben unterschiedliche Formate. Die Microsoft Office-ADM-Dateien, die nicht zum Lieferumfang der Office-Version gehören, sondern nach Installation des zugehörigen Office Resource Kits im Verzeichnis C:\Windows\Inf landen, können mit beliebigen Editoren geöffnet werden. Ihr Format ist dasselbe, welches Sie sehen, wenn Sie mit dem "Registry System Wizard" eine eigene ADM-Datei erstellen. Leider enthalten die Microsoft Office-ADM-Dateien keine erklärenden Texte für die einzelnen Richtlinien, so dass man oft nur raten kann, was sie bewirken.

In den zum Lieferumfang von Windows 2000 bzw. Windows XP gehörenden ADM-Dateien stehen die beschreibenden Texte zu den einzelnen Richtlinien ganz am Ende der ADM-Datei in einem speziellen Abschnitt mit der Bezeichnung [Strings].

Wichtiger Hinweis: Nehmen Sie keine Veränderungen an den Original-ADM-Dateien von Microsoft vor. Kommt irgendwann ein neues Service Pack heraus, so hat dieses eventuell auch neue ADM-Dateien. Wenn Sie das Service Pack einspielen, gehen eventuell die von Ihnen vorgenommenen Änderungen wieder verloren, bzw. müssen Sie die Änderungen mühselig in die neuen ADM-Datei­en des Service Packs integrieren, um die Verbesserungen der neuen ADM-Dateien nutzen zu können und Ihre Anpassungen nicht gleichzeitig zu verlieren.
Erstellen Sie sich stattdessen eigenen ADM-Dateien mit sprechenden Namen. Testen Sie die eigenen ADM-Dateien in einer Testdomäne sorgfältig aus. Kopieren Sie diese Dateien auf einen der Domänencontroller in das Verzeichnis %SystemRoot%\inf und laden Sie die selbst erstellen ADM-Dateien hinzu.

Wenn Sie wissen möchten, welchen Registry-Key eine Richtlinie einer der von Microsoft zum Betriebssystem mitgelieferten Vorlagedateien verändert, so schreiben Sie den Namen der Richtlinie bzw. den beschreibenden Text auf, öffnen die entsprechende ADM-Datei mit Notepad.exe und suchen nach dem Namen bzw. nach dem beschreibenden Text der Richtlinie. Sie werden dann irgendwo im Abschnitt [Strings] fündig. Gehen Sie an der Fundstelle zum Anfang der Zeile und notieren Sie den Wert vor dem Gleichheitszeichen. Suchen Sie die ADM-Datei danach vom Anfang beginnend jetzt nach diesem notierten Wert durch. Sie finden eine Zeile, die mit POLICY !!notierter Wert beginnt, und direkt darunter den KEYNAME und VALUENAME. Jetzt müssen Sie nur noch überprüfen, ob dieser KEYNAME unterhalb von CLASS MACHINE oder CLASS USER steht, um zu wissen, ob der Wert in der Registrierdatenbank im Zweig HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER zu finden ist.

Die selbst erstellte Gruppenrichtliniendatei »WindowsXP-HLM« nutzen

Auf der dem Buch beiliegenden DVD finden Sie zwei ADM-Dateien mit den Bezeichnungen Windows­XP-HLM.ADM und WindowsXP-HCU.ADM, mit denen weitere interessante Einstellungen in der Registry von Windows XP vorgenommen werden können.

Die Gruppenrichtliniendatei WindowsXP-HLM.ADM nimmt nur Änderungen im Zweig HKEY­_LOCAL_MACHINE der Registrierdatenbank vor. Deshalb wurden im Dateinamen die drei Buchstaben HLM verwendet. Sie können diese Vorlagedatei auf die Organisationseinheit Computer anwenden.

Die Gruppenrichtliniendatei WindowsXP-HCU.ADM nimmt nur Änderungen im Zweig HKEY_CUR­RENT_USER der Registrierdatenbank vor. Deshalb wurden im Dateinamen die drei Buchstaben HCU verwendet. Sie können diese Vorlagedatei auf die Organisationseinheit Benutzer anwenden.

Kopieren Sie die beide Dateien in das Verzeichnis C:\Windows\inf des Domänencontrollers. Öffnen Sie dann in der Organisationseinheit Computer die Gruppenrichtlinie XP-Standardcomputer aus, klicken Sie mit der rechten Maustaste in der Kategorie Computerkonfiguration auf Administrative Vorlagen und wählen Sie Vorlagen hinzufügen/entfernen und im Fenster Vorlagen hinzufügen/entfernen erneut auf Hinzufügen. Fügen Sie die Vorlage WindowsXP-HLM hinzu.

Sie sollten nun eine neue Kategorie mit der Bezeichnung selbst erstellte Windows XP-Richtlinien für Hive HKEY_LOCAL_MACHINE sehen. Die Hauptzweige der Registrierdatenbank haben im Microsoft Jargon die Bezeichnung »Hives«.

Wenn Sie in Windows Server 2003 die Maus auf Administrative Vorlagen stellen und dann unter Ansicht - Filterung die Option Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen nicht deaktiviert ist, so sehen Sie die einzelnen Richtlinien nicht und können sie auch nicht einstellen! Unter Windows 2000 Server müssen Sie direkt unter Ansicht die Option Nur Richtlinien anzeigen deaktivieren.

Filtern Klick aufs Bild zum Vergrößern

Wichtiger Hinweis: Wenn sich der Mauszeiger oberhalb von Administrative Vorlagen befindet, sehen Sie unter Ansicht nicht die Option Filterung..., son­dern DC-Optionen. Stellen Sie die Maus zuerst auf Administrative Vorlagen, bevor Sie den Menüpunkt Ansicht anwählen.

Echte und unechte Gruppenrichtlinien

Es gibt zwei Arten von Richtlinien, nennen wir sie echte und unechte Richtlinien: Bei den echten Richtlinien werden Änderungen in einem der folgenden Registry-Keys vorgenommen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
.	CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\Policies
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
	CurrentVersion\policies

Der Anwender hat auf Unterschlüssel und Werte dieser echten Richtlinien kein Recht zum Ändern und kann deshalb diese Einstellungen nicht manipulieren. Wenn Sie jedoch z.B. selbst eine ADM-Datei erstellen, können Sie auch beliebige andere Schlüssel und Werte in den Zweigen HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER mit diesen ADM-Dateien steuern, Werte also, die nicht unterhalb der oben genannten Schlüssel liegen. Auf Werte, die irgendwo im Schlüssel HKEY_CURRENT_USER liegen, hat der Anwender jedoch bis auf die oben genannten Schlüssel das Recht zum Ändern. Folglich könnte ein Anwender zumindest während einer Sitzung diese Werte wieder ändern. Spätestens bei der nächsten Anmeldung würde jedoch die gesetzte unechte Richtlinie der von Ihnen erstellten ADM-Datei wieder greifen.

Wenn Sie über das Snap-In Active Directory-Benutzer und – Computer aber eine Gruppenrichtlinie bearbeiten wollen und eine ADM-Datei mit unechten Richtlinien geladen haben, so sehen Sie die unechten Richtlinien per Standardeinstellung nicht.

Eigene Gruppenrichtlinien nicht sichtbar

Die Ursache: Unter Ansicht - Filterung ist standardmäßig die Option Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen aktiviert. Stellen Sie die Maus auf Administrative Vorlagen, bevor Sie den Menüpunkt Ansicht anwählen. Wenn die Maus darüber steht, sehen Sie unter Ansicht nicht die Option Filterung..., sondern DC-Optionen! Erst wenn Sie die Option Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen deaktivieren, sehen Sie auch die unechten Richtlinien. Unter Windows 2000 Server müssen Sie direkt unter Ansicht die Option Nur Richtlinien anzeigen deaktivieren.

Eigene Richtlinien nun doch sichtbar

Die dem Datenträger beiliegende Gruppenrichtliniendatei WindowsXP-HLM.ADM ermöglicht die Einstellung folgender Richtlinien:

APIPA-Funktion fuer DHCP-Betrieb deaktivieren

Wenn Sie den Clients die IP-Adressen über einen DHCP-Server dynamisch zuweisen, der DHCP-Server ausfällt und kein Ersatz-DHCP-Server verfügbar ist, so sollte der Client die zugewiesene DHCP-Adresse eigentlich über die Gültigkeitsdauer der Lease behalten. Wurde in den Optionen des DHCP-Servers z.B. eine Gültigkeitsdauer von 30 Tagen eingetragen und hat der Client zuletzt vor 10 Tagen eine neue IP-Adresse zugewiesen bekommen, so ist diese IP-Adresse noch für 20 Tage gültig.

Ein Windows 2000 Professional-Computer wird beim Starten auch keine Probleme machen, wenn der einzige DHCP-Server aus irgendwelchen Gründen momentan nicht verfügbar ist. Windows XP-Clients jedoch vergessen eine zugewiesene DHCP-Adresse, wenn der Registrykey IpAutoConfigurationEnabled unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Parameters nicht auf 0 umgestellt wird.

Dieses Verhalten liegt an der neuen Funktion Automatic Private IP Adressing (APIPA), mit der automatisch eine IP-Adresse aus dem Bereich 169.254.0.1 bis 169.254.255.254 und eine Subnetzmaske von 255.255.0.0 zugewiesen werden, wenn das TCP/IP Protokoll für die dynamische Adressierung konfiguriert ist und kein DHCP-Server verfügbar ist.

Sie können dieses Verhalten leicht testen, indem Sie am Windows XP-Client das Netzwerkkabel abziehen und sich mit dem zwischengespeicherten Profil anschließend anmelden. Öffnen Sie die Eingabeaufforderung und geben Sie den Befehl ipconfig /all ein. Sie erhalten eine Fehlermeldung, jedenfalls nicht als IP-Adresse die zuletzt vom DHCP-Server zugewiesene Adresse. Sobald Sie jedoch den Wert von IpAutoConfigurationEnabled von 1 auf 0 umgestellt haben und das Netzwerkkabel wieder eingesteckt haben, können Sie den Befehl ipconfig /renew und danach ipconfig /all eingeben bzw. den Computer neu starten und sich anmelden. Der Client erhält eine neue IP-Adresse vom DHCP-Server. Wenn Sie sich jetzt abmelden, erneut das Netzwerkkabel abziehen, sich dann wieder anmelden und erneut den Befehl ipconfig /all eingeben, stellen Sie fest, dass der Computer immer noch die vom DHCP-Server zugewiesene IP-Adresse besitzt.

Anmeldeoptionen unter Windows ein-/ausblenden

Wenn Sie diese Funktion aktivieren, werden die erweiterten Anmeldeoptionen beim Computerstart sofort angezeigt, und die Schaltfläche Optionen muss nicht erst gedrückt werden. Dieses ist besonders dann hilfreich, wenn man sich regelmäßig an unterschiedlichen Domänen anmelden muss.

Die Funktion Strg+Alt+Delete zum Anmelden deaktivieren

Wenn Sie diese Funktion aktivieren, müssen die Anwender zum Anmelden nicht mehr die Tastenkombination [Strg]+[Alt]+[Entf] drücken. Jedoch ist das auch eine kleine Sicherheitslücke, da durch diese Tastenkombination sichergestellt wird, dass ein eventuell noch in das System eingeklinkter Hacker die Verbindung verliert.

Pfad zu den Installationsdateien und Pfad zu den Anwendungsinstallationsdateien

Wenn unter Windows XP oder Windows 2000 Komponenten nachinstalliert werden müssen, so sucht das Betriebssystem in den Pfaden, die unter folgenden Schlüsselwerten angegeben sind:

Software\Microsoft\Windows NT\CurrentVersion:     
Sourcepath
Software\Microsoft\Windows\CurrentVersion\Setup:  
Sourcepath
Software\Microsoft\Windows\CurrentVersion\Setup:  
Installation Sources
Software\Microsoft\Windows\CurrentVersion\Setup:  
ServicePackSourcePath

Je nachdem, ob Sie das Betriebssystem von einer CD oder von einem RIS-Server installiert haben, stehen in diesen Schlüsseln dann Inhalte wie E:, E:\I386 oder \\S1\RemInst\Set­up\German\IMAGES\WindowsXP. Diese Pfadeinträge sollten Sie jedoch bei Bedarf anpassen können. Im Kapitel »Das Anmeldeskript« (im Buch) finden Sie den Abschnitt »Software aus einem zentralen Software-Archive installieren«, in dem begründet wird, warum auf mindestens einem Server jedes Standorts ein Software-Archiv angelegt bzw. zwischen diesen verschiedenen Servern synchronisiert und jeweils z.B. unter dem Namen Install freigegeben werden sollte. Wenn außerdem über das Anmeldeskript sichergestellt ist, dass immer dasselbe Netzlaufwerk mit jeweils dem Software-Archiv des Servers am jeweiligen Standort verbunden ist (z.B. durch den Befehl net use u: \\ServerA1\install am Standort A und durch den Befehl net use u: \\ServerB1\install am Standort B), so können Sie über die beiden Richtlinien Pfad zu den Installationsdateien und Pfad zu den Anwendungsinstallationsdateien die Registry-Werte auf u:\WindowsXP umlegen. Vorausgesetzt, auf diesen Software-Archiv-Servern befindet sich jeweils eine administrative Installation von Windows XP mit integriertem Service Pack im Verzeichnis WindowsXP unterhalb der Freigabe Install. So werden nachzuinstallierende Treiberdateien immer gefunden, und Sie müssen nicht mehr mit den Installations-CDs zu den Computern laufen. Das ist besonders dann wichtig, wenn die Computer keine eingebauten CD-Laufwerke haben.

Wenn Sie das Betriebssystem Windows 2000 oder Windows XP von einem RIS-Server installiert haben, wird in diesen Registrywerten ein Pfad wie z.B. \\S1\RemInst\Setup\German\IMAGES\WindowsXP stehen. Nach der Installation der Standardanwendungen werden Sie später ein Komplettabbild ziehen und auf dem RIS-Server ablegen. Wenn dieser Server S1 heißt und am Standort A steht, jedoch ein mit diesem Komplettabbild bespielter Computer später am Standort B steht, so laufen Sie in folgendes Problem hinein. Selbst wenn Sie am Standort B ebenfalls einen RIS-Server aufstellen, würde der Computer bei dem Versuch, eine Betriebssystemkomponente oder eine Komponente von Microsoft Office nachzuinstallieren, nach der Originalquelle suchen und dann wahrscheinlich eine Verbindung über die langsame WAN-Verbindung aufmachen und von dem Server die benötigten Treiber herunterladen, von dem ursprünglich Windows XP bzw. Microsoft Office installiert wurde. Wenn Sie jedoch bei allen Installationen immer ein Unterverzeichnis der fest definierten Laufwerkszuweisung u: verwenden und folglich alle Treiber bei einer Nachinstallation unter u:\WindowsXP, u:\Of­fice­XP (bzw. u:\Office2003) usw. gesucht werden, so ist sichergestellt, dass immer der Software-Archiv-Server vor Ort und nicht der ursprünglich bei der Erstinstallation als Quelle verwendete Server kontaktiert wird.

Standardinstallationspfade verändern

Drei weitere Richtlinien finden Sie in der Datei WindowsXP-HLM.adm, die Sie wahrscheinlich nicht benötigen werden. Dennoch ist es interessant zu wissen, wo in der Registrierdatenbank verdrahtet ist, dass für die Installation weiterer Anwendungen immer das Verzeichnis C:\Programme und für gemeinsam verwendete Komponenten das Verzeichnis C:\Programme\Gemeinsame Dateien vorgeschlagen wird.

Unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion finden Sie die Schlüssel ProgramFilesDir mit dem Defaultwert C:\Programme, ProgramFilesPath mit dem Defaultwert %ProgramFiles% und CommonFilesDir mit dem Defaultwert C:\Pro­gramme\Gemeinsame Dateien. Hier finden Sie außerdem den Schlüssel MediaPath mit dem Defaultwert C:\WINDOWS\Media. Wenn Sie irgendwann aus irgendeinem Grund diese Pfade umlegen wollen, wissen Sie nun, wo Sie suchen müssen.

Informations-Tour deaktivieren

Wenn Sie diese Richtlinie aktivieren, wird für einen neu eingerichteten Anwender bei der ers­ten Anmeldung unter Windows XP nicht mehr gefragt, ob die Windows XP-Tour gestartet werden soll. Dazu ändert die Richtlinie unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Tour den Wert des Schlüssels RunCount von 1 auf 0 ab.

Warnmeldung, wenn Festplatte voll

Wenn auf der Systempartition von Windows XP weniger als 10 % frei sind, erhält der Anwender regelmäßig eine Warnmeldung und es können keine weiteren Anwendungen mehr installiert werden, bevor nicht aufgeräumt oder andere Anwendungen deinstalliert werden. Bei einer 10 GB-Partition bedeutet das aber, dass trotz 1 GByte freien Speichers zuwenig Speicherplatz gemeldet wird. Die Aktivierung der Richtlinie Warnmeldung wenn Festplatte voll fordert Sie auf, einen Wert zwischen 0 und 99 einzugeben, wodurch Sie den Defaultwert von 10 (gemeint ist damit 10 % der Partition) vermindern können. Dadurch wird unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters der Schlüssel DiskSpaceThreshold neu gesetzt. Ein Wert von 5 scheint angemessen. Selbst bei einer 2 GByte kleinen Partition sind 5 % noch 100 Megabyte freier Speicherplatz. Vor dem Unterschreiten dieses Grenzwertes wäre eine Warnmeldung übertrieben.

Systemfehler

Über die Richtlinien der Kategorie können Sie von zentraler Stelle aus für alle Computer der Organisationseinheit Computer die Windows XP-Einstellungen steuern, die das Verhalten bei einem Systemabsturz bestimmen. Wenn Sie in Windows XP über Start – Einstellungen – Systemsteuerung – System die Systemsteuerung starten, die Registerkarte Erweitert auswählen und im unteren Bereich Starten und Wiederherstellen die Schaltfläche Einstellungen anwählen, finden Sie dort dieselben Einstellungsmöglichkeiten. Die Kategorie Systemfehler hat folgende Richtlinien:

• Ereignis in das Systemprotokoll eintragen
• Administratorwarnmeldung ausgegeben bei Systemabsturz
• Bei Systemabsturz automatisch Neustart durchführen
• Debuginformationen speichern
• Gibt den Ort und die Datei an wo das Fehlerlog abgelegt werden soll
• Legt fest, ob eine Protokolldatei überschrieben werden darf

Ich schlage Ihnen vor, alle Richtlinien zu aktivieren und nur die Richtlinie Debuginformationen speichern zu deaktivieren. Ist nämlich die Richtlinie Debuginformationen speichern aktiviert, so wird unter C:\Windows bei einem Systemabsturz ein mindestens 64 KB großes Speicherabbild erstellt. Dieser Vorgang benötigt Zeit und Speicherplatz. Wenn Sie jedoch nicht in der Lage sind, dieses Speicherabbild zu interpretieren (und das können oft nur Experten vom technischen Kundendienst bei Microsoft), nützt Ihnen das Abbild nichts. Wenn ein Windows XP-Computer regelmäßig abstürzt, werden Sie ihn so oder so austauschen und in Ruhe auf Herz und Nieren prüfen.

Benutzername RegisteredOwner ändern und Organisationsname RegisteredOrganization ändern

Angenommen, Sie haben das RIPrep-Abbild von Windows XP mit allen Standardanwendungen auf vielen Computern in der Hauptniederlassung und einigen Filialen installiert, und plötzlich fusioniert Ihr Unternehmen und bekommt einen neuen Firmennamen. Oder nehmen wir an, Sie wollen ein und dasselbe Komplettabbild für verschiedene Tochterfirmen verwenden, die jedoch unterschiedliche Firmennamen haben. Ein anderes Beispiel: Stellen Sie sich vor, Sie haben bei der Installation von Windows XP auf dem Mustercomputer einen bestimmten Namen eingegeben wie z.B. »Systemverwalter«, möchten jedoch nach der Verteilung des Komplettabbildes auf allen Computern diesen Namen ändern.

Mit den beiden Richtlinien Benutzername RegisteredOwner ändern und Organisationsname RegisteredOrganization ändern geht das sehr komfortabel von Ihrem Arbeitsplatz aus. Diese Richtlinien ändern unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion die Schlüssel RegisteredOrganization und RegisteredOwner.

Die »Wheel-Mouse«-Funktion automatisch erkennen

Wenn ein Computer, an dem eine Maus ohne Rad installiert ist, mit Windows XP installiert wird und nachträglich eine Maus mit Rad (Wheels Mouse) angeschlossen wird, so funktioniert das Rad nicht. Erst wenn der Schlüssel unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters der DWord-Schlüssel EnableWheelDetection erstellt und auf 1 gesetzt wird, wird das Rad erkannt und funktioniert danach.

Die selbst erstellte Gruppenrichtliniendatei »WindowsXP-HCU« nutzen

Im letzten Unterkapitel wurde erläutert, wie die Gruppenrichtlinie basierend auf der Vorlage WindowsXP-HLM.ADM auf die Organisationseinheit Computer anwendet wird. Jetzt befassen wir uns mit der Gruppenrichtlinie WindowsXP-HCU, die nur Änderungen am Zweig HKEY_CURRENT_USER vornimmt und auf die Organisationseinheit Benutzer angewendet werden soll. Auf der Buch-DVD finden Sie die Vorlagedatei WindowsXP-HCU.ADM. Kopieren Sie diese Datei in das Verzeichnis C:\Windows\inf des Domänencontrollers. Öffnen Sie dann in der OU Benutzer die Gruppenrichtlinie XP-Standardbenutzer, klicken Sie mit der rechten Maustaste in der Kategorie Benutzerkonfiguration auf Administrative Vorlagen und wählen Sie Vorlagen hinzufügen/entfernen und fügen Sie die Vorlage WindowsXP-HCU hinzu.

Sie sollten nun eine neue Kategorie mit der Bezeichnung selbst erstellte Windows XP-Richtlinien für Hive HKEY_CURRENT_USER sehen. Wenn Sie unter Ansicht - Filterung die Option Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen nicht deaktiviert haben, so sehen Sie die einzelnen Richtlinien nicht und können sie auch nicht einstellen!

Filter anpassen

Wichtiger Hinweis: Wenn sich der Mauszeiger oberhalb von Administrative Vorlagen befindet, sehen Sie unter Ansicht nicht die Option Filterung..., sondern DC-Optionen. Stellen Sie die Maus zuerst auf Administrative Vorlagen, bevor Sie den Menüpunkt Ansicht anwählen.

Eigene Richtlinien Klick aufs Bild zum Vergrößern

Die hinzu geladene Gruppenrichtlinien-Vorlagedatei bietet folgende Richtlinien zur Konfiguration an:

Animation der Fenster beim Minimieren­/Maximieren ausstellen

Wenn Sie die Größe eines Fensters einer Anwendung minimieren oder maxi­mie­ren, wird dieser Vorgang per Defaulteinstellung durch eine kleine Animation unnötig verzögert. Sie sehen, wie das Fenster sich vergrößert oder verkleinert. Durch Deaktivierung der Animationsfunktion wird unter HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics der Schlüssel MinAnimate von 1 auf 0 umgestellt. Die Auswirkung stellen Sie aber eventuell wie auch bei einigen anderen Registrykey-Änderungen erst nach der nächsten An­meldung oder sogar erst nach dem nächsten Neustart fest. Anwendungsfenster werden dann ohne jede Verzögerung minimiert oder maximiert.

Festplatten-Speicherplatzüberprüfung deaktivieren

Windows XP überprüft automatisch den verfügbaren Festplattenspeicher. Wird eine bestimmte Größe an freiem Speicherplatz unterschritten, werden Sie mit der Meldung "Sehr wenig Speicherplatz - soll die Partition aufgeräumt werden?" darauf hingewiesen. Wenn Sie diese Richtlinie aktivieren, wird unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer der Schlüssel NoLowDiskSpaceChecks von 0 auf 1 umgestellt und die Meldung zukünftig nicht mehr angezeigt. Der als Standardwert eingestellte Schwellwert von freiem Speicherplatz ist 10 % der Windows XP-Partition. Er kann (siehe die selbst erstellte Richtlinie "Warnmeldung wenn Festplatte voll ist" in der Datei WindowsXP-HLM.ADM im vorangegangenen Abschnitt) mit dem Schlüssel DiskSpaceThreshold unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters auf einen Wert zwischen 0 und 99 gesetzt werden.

Ich schlage vor, diesen Schlüssel entweder zu aktivieren und damit die Warnmeldung komplett auszuschalten oder den Defaultwert für den Schwellwert von 10 auf 5 herunterzusetzen. Wenn Sie Komplettabbilder mit allen Standardanwendungen auf die Festplatten der Computer spielen, so müssen wahrscheinlich nur noch wenige Anwendungen hinzugefügt werden. Wenn Sie als Systempartition 10 Gigabyte-Partitionen anlegen und an den Schlüsseln nichts verändern würde der Anwender eine Warnmeldung bereits dann erhalten, wenn 10 % von 10 Gigabyte, also 1 Gigabyte freier Speicherplatz, unterschritten wird. Dieser Schwellwert erscheint mir sehr hoch.

Maus: Mauszeiger automatisch auf den Defaultbutton setzen

Wenn Sie diese Funktion aktivieren, wird der Mauszei­ger von Windows automatisch immer auf die Standard­schaltfläche der jeweiligen Anwendung gesetzt. Durch diese Richtlinie wird unter HKEY_CURRENT_USER\Control Panel\Mouse der Schlüssel SnapToDefault­Button auf den Wert 1 gesetzt. Von Hand können Sie unter Windows XP diese Einstellung über Systemsteuerung - Maus in der Registerkarte Bewegung vornehmen.

Maus anpassen Klick aufs Bild zum Vergrößern

Netzwerkverbindungen zwischen Sitzungen speichern/nicht speichern

Die Deaktivierung dieser Richtlinie ändert unter HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\Pesistent Connections den Wert des Schlüssels Save Connections von Yes auf No ab. Standardmäßig ist unter Windows XP diese Funktion aktiviert. Das bedeutet, dass die Erstellung von Netzwerkverbindungen gespeichert wird und bei einem Neustart des Rechners automatisch versucht wird, diese Verbindung wieder aufzubauen. Gerade bei Notebooks, die nicht immer am Netzwerk angeschlossen sind, kann das zu unnötigen Fehlermeldungen führen. Da Sie später die Laufwerkszuweisungen dynamisch über das Anmeldeskript vornehmen wollen, wäre es außerdem hinderlich, wenn bei der Anmeldung des Benutzers bestimmte Laufwerksbuchstaben bereits belegt wären und die Zuweisung über das Anmeldeskript dann zu Fehlern führen würde. Setzen Sie deshalb diese Richtlinie auf deaktiviert.

Pfade für Ordner und Dokumentenablage festlegen

Diese Richtlinie werden Sie wahrscheinlich nicht nutzen, da Sie die Ordner Eigene Dateien, Eigene Bilder und Desktop über die Richtlinie Ordnerumleitung und durch die Ein­rich­tung von servergespeicherten Benutzerprofilen auf den Server verlegen. Dennoch ist es interessant und in speziellen Situationen hilfreich und wichtig, zu wissen, wo in der Registrierdatenbank die Pfade für bestimmte Verzeichnisse gesetzt werden und manipuliert werden können.

Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders finden folgende Schlüssel:

Hier können die Pfade der persönlichen Ordner des Anwenders manipuliert werden. Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders finden Sie außerdem Schlüssel und zu­ge­hörige Pfade, die die Lage des Start­menüs und der Untermenüs von All Users betreffen.

Startmenü: Aufklappen des Startmenüs beschleunigen

Über diese Richtlinie sollten Sie die Verzögerung beim Aufklappen der Unter­menüs des Startmenüs ausschalten oder zumindest vermindern, indem Sie als Wert 0 oder 100 Millisekunden eintragen. Der Standardwert des zugehörigen Schlüssels MenuShowDelay unter HKEY_CURRENT_USER\Control Panel\Desktop steht auf 400 Millisekunden.

Das ist schon merkwürdig: Da steht Win­dows XP in Kon­kurrenz zu anderen Betriebssystemen wie Linux, und der Hersteller baut standardmäßig Verzögerungen ein, die dem Anwender den Eindruck vermitteln können, dass das Betriebssystem träge ist und eine halbe Sekunde Rechenzeit benötigt, nur um ein Untermenü zu öffnen. Welcher Anwender, der eigentlich Texte schreiben und mit dem Internet arbeiten will, wird schon die ganzen Tipps zu Windows XP durchlesen und dann in der Registrierdatenbank herumexperimentieren wollen, um alle Animationen und unnötigen eingebauten Verzögerungen abzuschalten, damit die teuer bezahlte Hardware nicht unnötig ausgebremst wird?

Startmenü: Aufklappen im Startmenü für andere Funktionen auch aktivieren

Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced finden Sie einige Schlüssel, die standardmäßig auf No stehen. Wenn das Startmenü auf die klassische Darstellung - die Darstellung wie unter Windows 2000 - eingestellt ist und Sie die Schaltfläche Anpassen wählen, so sehen Sie, dass wichtige Optionen standardmäßig deaktiviert sind:

• »Drucker« erweitern
• »Eigene Bilder« öffnen
• »Eigene Dateien« erweitern
• Abmeldung anzeigen
• Bildlauf für Programme
• Favoriten anzeigen
• kleine Symbole im Startmenü anzeigen
• Netzwerkverbindungen erweitern
• Systemsteuerung öffnen
• Verwaltung anzeigen

Selbst für den Administrator sind damit diese Untermenüs nicht sichtbar, bevor er die notwendigen Einstellungen vornimmt. Aber auch für den Standard­anwen­der ist es z.B. bequemer, wenn die für ihn verfügbaren Symbole der System­steu­­erung im Startmenü als Untermenüs aufgeklappt werden, statt als eigene Fenster zu erscheinen, die man nachher wie­der schließen muss. Die Schlüssel unter HKEY_CURRENT_USER\Software\Microsoft\Windows\Current­Version\Explorer\Advanced sind wie folgt zuzuordnen:

Aktivieren Sie alle Richtlinien, wenn das Untermenü Verwaltung angezeigt und die Menüpunkte Eigenen Dateien, Eigene Bilder, Systemsteuerung, Netzwerkverbindungen und Drucker als Untermenüs und nicht als neue Fenster aufgeklappt werden sollen.

Startmenü: Ausblenden von selten gebrauchten Menüpunkten ausschalten

Über diese Richtlinie wird der Schlüssel IntelliMenus unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced gesteuert. Wenn diese Funktion aktiviert ist, werden selten gebrauchte Menüpunkte aus dem Startmenü ausgeblendet. Wenn Sie und Ihre Anwender das Ausblenden von selten benutzten Menüpunkten eher als störend empfinden, so deaktivieren Sie diese Richtlinie. Danach werden immer alle verfügbaren Menüpunkte sofort angezeigt. Der Schlüssel IntelliMenus mit der Option Persönlich angepasste Menüs verwenden identisch.

Startmenü: Einstellungen für die Taskleiste aus dem Startmenü entfernen

Durch die Aktivierung dieser Richtlinie können Sie unterbinden, dass der Standardanwender durch Anklicken der Taskleiste mit der rechten Maustaste die Eigenschaften der Taskleiste aufrufen und verändern kann. Sie setzen durch das Aktivieren der Richtlinie den Schlüssel NoSetTaskbar unter HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Policies\Explorer auf 1 um.

Startmenü: Favoriten im Startmenü anzeigen/nicht anzeigen

Wenn der Anwender schon im Internet Explorer oder in Word über den Befehl Datei öffnen Objekte in seinem Ordner Favoriten erstellen und ändern darf, dann sollte der Inhalt des Ordners Favoriten auch komfortabel im Startmenü verfügbar sein. Aktivieren Sie deshalb diese Richtlinie und setzten Sie dadurch den Schlüssel StartMenuFavorites in der Registry unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced auf 1.

Suchen: Assistent in der Suchfunktion ausschalten

Ab Windows XP hat Microsoft einen Assistenten für die Suchfunktion eingeführt. Sie werden vor der Suche gefragt, nach was Sie suchen wollen, danach nimmt Win­dows die Einstellungen für die Suche automatisch vor. Wer mit der alten Suchfunktion aber gut vertraut war, findet das eher umständlich und möchte lieber wieder die alte Suchansicht wieder haben. Wenn Sie den Assistenten für die Suchfunktion für alle Standardanwender deaktivieren wollen, so aktivieren Sie diese Richtlinie. Der zugehörige Schlüssel Use Search Asst findet sich in der Registry unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState.

Systemlautsprecher deaktivieren

In einem Büro, in dem mehrere Mitarbeiter arbeiten, ist es störend, wenn bei jeder Fehlbedienung der Systemlautsprecher des Computers einen Ton von sich gibt. Sie können von zentraler Stelle aus die Systemlautsprecher aller Clients für den Standardanwender deaktivieren, indem Sie in dieser Richtlinie die beiden Punkte Beep und Extended Sounds deaktivieren. Dadurch werden unter HKEY_CURRENT_USER\Control Panel\Sound die beiden Schlüssel Beep und ExtendedSounds auf NO umgestellt. Ein wahrlich nützlicher Tipp, will man nicht jeden Computer aufschrauben und das Kabel vom internen Lautsprecher abziehen.

Taskmanager: Buttons in der Sicherheitsbox deaktivieren

Unter Taskmanager: Buttons in der Sicherheitsbox deaktivieren können Sie mit dem Punkt DisableLockWorkstation die Schaltfläche Computer sperren ausblenden, mit dem Punkt DisableChangePassword die Schaltfläche Kennwort ändern ausblenden und mit dem Punkt DisableTask­Mgr die Schaltfläche Task-Manager ausblenden. Diese Schaltflächen sieht der Benutzer, wenn er die Tastenkombination [Strg]+[Alt]+[Entf] drückt und damit das Fenster Windows-Sicherheit öffnet.

Diese Richtlinien sollten Sie nicht für den Standardanwender aktivieren, da der Anwender sowohl sein "Kennwort ändern" als auch den "Computer sperren" können muss, wenn er z.B. kurz den Raum verlässt. Sie können aber die Richtliniendatei WindowsXP-HCU.ADM auch für eine spezielle Organisationseinheit verwenden, um z.B. für die Kiosk-Computerplätze die Manipulationsmöglichkeiten weiter einzuschränken. Denken Sie an Computer für Besucher, bei deren Start automatisch eine bestimmte Kennung angemeldet und eine bestimmte Anwendung wie z.B. ein Auskunftssystem gestartet wird.

Die zugehörigen Schlüssel heißen DisableLockWorkstation, DisableChangePassword und DisableTaskMgr und stehen unter HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System in der Registry.

Updates: Automatisches Erwerben von Lizenzen beim Media Player konfigurieren

Aktivieren Sie diese Richtlinie, wenn bei der Ausführung des Windows Media Players Lizenzen nicht mehr automatisch erworben werden sollen. Der von der Richtlinie betroffene Schlüssel heißt SilentAcquisition und steht unter HKEY_CUR­RENT_USER\Software\Microsoft\MediaPlayer\Preferences in der Registry.

Updates: Automatischer Codec-Download für den Media Player unterbinden

Aktivieren Sie diese Richtlinie, wenn in der Anwendung Windows Media Players angeblich benötigte Codecs nicht mehr automatisch aus dem Internet geladen werden sollen. Der von der Richtlinie betroffene Schlüssel heißt UpgradeCodec­Prompt und steht unter HKEY_CURRENT _USER\Software\Microsoft\MediaPlayer\Preferences in der Registry.

Verknüpfungen mit relativen Pfaden abspeichern

Aktivieren Sie diese Richtlinie, damit beim Speichern von einer neu erstellte Verknüpfung, die auf ein Objekt der lokalen Festplatte verweist, keine UNC-Pfadangaben, sondern nur noch relative Pfadangaben abgespeichert werden. Also z.B. C:\Windows\system32\notepad.exe anstatt \\musterpc\windows­\sys­tem32\notepad.exe. Wird nämlich diese Verknüpfung auf dem Server gespeichert und meldet man sich an einem anderen Computer an und startet die Verknüpfung, so wird versucht, eine Verbindung mit dem ursprünglichen Computer zu starten, statt die Datei notepad.exe von C:\Windows\system32 zu laden. Der von der Richtlinie betroffene Schlüssel heißt LinkResolveIgnoreLinkInfo und steht unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer in der Registry.

Wichtiger Hinweis: Diese Änderung ist besonders wichtig für den Musterclient, von dem Abbilder erstellt werden.

Visuelle Effekte: alle deaktivieren, System für optimale Leistung anpassen

Aktivieren Sie diese Richtlinie, damit in Windows XP unter Systemsteuerung - System in der Registerkarte Erweitert unter Systemleistung - Einstellungen in der Registerkarte Visuelle Effekte auf Für Optimale Leistung anpassen umgestellt wird.

Anzeige automatisch auf Leistung anpassen Klick aufs Bild zum Vergrößern

Dadurch werden alle die Systemperformance belastenden Animationen deaktiviert. Standardmäßig steht diese Option auf Optimale Einstellung automatisch auswählen. Durch die Aktivierung der Richtlinie wird der Schlüssel VisualFXSetting unterhalb von HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects von 0 auf 2 umgestellt. Auf den Computerarbeitsplätzen eines Unternehmens geht es nicht um die Effektvielfalt des Betriebssystems, sondern um die Performance der unternehmenskritischen Anwendungen, oder was denken Sie?

Proxyserver und Ports definieren

Über diese Richtlinie können Sie die IP-Adresse und die Portnummer für einen Proxyserver im Microsoft Internet Explorer definieren. Sie setzen damit in der Registrierdatenbank unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings den Schlüssel ProxyServer.

Voreinstellung pdfMachine Ablageverzeichnis

Diese Richtlinie und die beiden folgenden Richtlinien setzen Registrierdatenbankwerte für Drittprodukte. Mit der pdfMachine von www.broadgun.de können Sie komfortabel aus jeder Anwendung heraus PDF-Dokumente erzeugen und beliebig zusammenstellen. In der Richtlinie wird definiert, wo der Standardablageort für diese PDF-Dokumente liegen soll.

Adobe Reader nicht automatisch aktualisieren

Über diese Richtlinie können Sie einstellen, dass nicht jeder Client im Netzwerk mit installiertem Acobe Reader alle 30 Tage versucht, ein Update aus dem Internet herunterzuladen.

Adobe Reader Eröffnungsbild nicht anzeigen

Der Start des Adobe Readers dauert sehr lange, weil viele Plugins geladen werden und der Eröffnungsbildschirm dieses anzeigt. Über diese Richtlinie können Sie die Anzeige des Eröffnungsbildschirms deaktivieren und den Start des Adobe Readers beschleunigen.

Die selbst erstellte Gruppenrichtliniendatei »Windows Explorer« nutzen

Auf der Buch-DVD finden Sie die Vorlagedatei WindowsExplorer.adm. Diese Gruppenrichtlinien-Vorlagedatei ergänzt Richtlinien für den Windows Explorer, die die von Microsoft gelieferten Windows XP Gruppenrichtlinien-Vorlagen nicht anbieten.

WindowsExplorer.adm Klick aufs Bild zum Vergrößern

Sie können diese Vorlagedatei einmal für den Standardanwender laden und kon­fi­gu­rieren, für Power­user können Sie die Datei jedoch unter einem anderen ADM-Namen ein zweites Mal laden und die einzelnen Richtlinien anders konfigurieren. Ein Standardanwender soll wahrscheinlich weder geschützte Dateien wie die Dateien im Wurzelverzeichnis der Systempartition sehen können (config.sys, ntdetect.com etc.), noch soll er den Inhalt von Systemordnern wie C:\Windows einsehen können. Helpdesk-Mitarbeiter müssen diese Dateien und Verzeichnisse sehen können, um Fehlern nachgehen zu können. Für beide Anwendertypen sollten jedoch die Richtlinien eingestellte Ansichtsoptionen für alle Ordner übernehmen und Dateierweiterungen auch bei bekannten Dateitypen anzeigen aktiviert sein, damit die Anzeigeoptionen nicht in jedem Ordner separat eingestellt werden müssen und damit z.B. bei Word- oder Excel-Dateien die Erweiterungen doc bzw. xls angezeigt werden.

Durch die Richtlinien der Vorlagedatei WindowsExplorer.adm werden folgende Registrywerte manipuliert:

Erweiterung bei bekannten Dateitypen ausblenden:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\Advanced\HideFileExt
0=enable         1=disable

Geschützte Systemdateien ausblenden:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\Advanced\ShowSuperHidden
0=enable         1=disable

Inhalte von Systemordnern anzeigen:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\Advanced\WebView­Barricade
1=enable         0=disable

Verschlüsselte und komprimierte NTFS Datei in anderer Farbe anzeigen:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\Advanced\ShowCompColor
1=enable         0=disable

Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\Advanced\Hidden
1=alle Dateien             2=versteckte Dateien ausblenden

Vollständigen Pfad in der Titelleiste anzeigen

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\CabinetState\FullPath
1=enable         0=disable

Vollständigen Pfad in der Adressleiste anzeigen:

HKCU\Software\Microsoft\Windows\CurrentVersion\
.Explorer\CabinetState\FullPath_Address
1=enable         0=disable

Die selbst erstellte Gruppenrichtliniendatei »ExchangeProvider« nutzen

Sie finden auf der Buch-DVD eine weitere Gruppenrichtlinien-Vorlagedatei namens ExchangeProvider.adm. Diese ADM-Datei stellt eine Lösung für ein Problem bereit, welches auftreten kann, wenn Sie mehrere Domänencontroller an unterschiedlichen Standorten aufgestellt haben, diesen Domänencontroller die Funktion Globaler Katalogserver zugewiesen haben, jedoch nur einen zentralen Exchange Server für alle Standorte nutzen. Das Problem und Lösungen dazu werden in folgenden Artikeln der Microsoft Knowledge Base beschrieben:

KB272290 - OL2000 Outlook Performs Load Balancing with Global Catalog Servers

KB319206 - OL2002 How to configure Outlook to a specific global catalog server or ...

KB317209 - XADM How to Identify your Global Catalog Server Using Outlook 2000 and Outlook 2002

Selbst, wenn dieses Problem in Ihrem Netzwerk nicht auftauchen kann, weil Sie nur einen Standort haben oder aber an allen Standorten Exchange Server einsetzen, sollten Sie jetzt weiter lesen und sich die Struktur dieser Vorlagedatei einmal ansehen. Denn diese ADM-Datei bietet einen prinzipiellen Lösungsansatz für andere Probleme. Sie können mit demselben Prinzip z.B. allen Computern eines Standortes oder allen Benutzern eines Standortes von zentraler Stelle aus einen bestimmten Registry-Schlüssel und einen Registry-Wert zuweisen und dynamisch verändern, wenn der Computer oder der Benutzer den Standort wechselt. Diesen zugewiesenen Registry-Wert können Sie dann an anderer Stelle (z.B. im Anmeldeskript) wieder abfragen und Aktionen einleiten, welche z.B. abhängig vom Standort sind.

Der KB-Artikel 319206 beschreibt folgendes Problem: Wenn ein neuer Mitarbeiter zum ersten Mal MS Outlook 2002 startet und sich mit seinem Exchange Server verbindet, sucht der Computer nach einem verfügbaren globalen Katalogserver und schreibt dessen Name in den Registry-Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\dca740c8c042101ab4b908002b2fe182.

Fällt nun dieser globale Katalogserver temporär aus oder wird er durch einen anderen Server mit anderem Namen ersetzt, so wird nicht unbedingt automatisch der neue nächstgelegene globale Katalogserver genutzt. Der Administrator kann aber z.B. jedem Benutzer abhängig vom Standort über einen neu anzulegenden Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Exchange\Exchange Provider\DS Server einen global Katalogserver neu zuweisen.

DS Server einen global Katalogserver neu zuweisen Klick aufs Bild zum Vergrößern

Hätten Sie z.B. für die Standorte Aachen, Bielefeld, Dortmund, Essen und Köln ihrer Domäne je eine Organisationseinheit erstellt, so könnten Sie die Gruppenrichtliniendatei Exchange­Provider nun für jede Standort-OU laden und jeweils durch Auswahl des nächstgelegenen globa­len Katalogservers aus der Serverliste denjenigen Server auswählen, der für alle Benutzer des Standortes in Outlook die Namensauflösung übernehmen soll.

Für jeden Standort

Die Vorlagedatei ExchangeProvider.adm hat folgenden Inhalt:

CLASS USER
CATEGORY "globalen Katalogserver angeben"
       POLICY !!GlobalCatalogServer
       KEYNAME "Software\Microsoft\Exchange\Exchange Provider"
       EXPLAIN !!GlobalCatalogServer_Explain
       PART "Servername" DROPDOWNLIST REQUIRED
VALUENAME "DS Server"
          ITEMLIST
             NAME "Aachen S1AA" VALUE "S1AA" 
             NAME "Bielefeld S1BI" VALUE "S1BI"
             NAME "Dortmund S1DO" VALUE "S1DO"
             NAME "Essen S1ES" VALUE "S1ES"
             NAME "Köln S1KO" VALUE "S1KO"
          END ITEMLIST
       END PART
       END POLICY
END CATEGORY ;"globalen Katalogserver angeben"
[strings]
GlobalCatalogServer="global Katalogserver angeben"
GlobalCatalogServer_Explain="Mit dieser Einstellung wird der globale 
Katalogserver für den jeweiligen Standort angegeben. 

\n\nAachen S1AA = Server S1AA 
\nBielefeld S1BI = SServer S1BI 
\nDortmund S1DO = Server S1DO 
\nEssen S1ES = Server S1ES 
\nKöln S1KO = Server A1KO

Diese Vorlagedatei ermöglicht, einen Wert aus einer Liste zu wählen und unter einem Registry-Schlüssel dann einzutragen. Wenn Sie in diesem Beispiel den Schlüssel hinter KEYNAME und den Wert hinter VALUENAME durch andere Werte ersetzen, wird schnell deutlich, dass mit einer ähnlichen Vorlagedatei auch ganz andere Probleme gelöst werden können. Durch Deaktivierung der Richtlinie globalen Katalogserver angeben wird übrigens in der Registry DS Server wieder gelöscht.

Die Vorlagedatei CorelDraw11.ADM nutzen

Auf der Buch-DVD finden Sie die Vorlagedatei CorelDraw11.ADM, mit der Sie einige Standardverzeichnisse von CorelDraw 11 zentral festlegen können. Standardmäßig legt CorelDraw von Zeichnungen alle 20 Minuten in einem temporären Verzeichnis unter C:\Dokumente und Einstellungen\%Username% eine Sicherungskopie an. Beim Abmelden werden derartige, oft speicherintensive Temp-Dateien dann bei der Nutzung von servergespeicherten Benutzerprofilen auf den Server repliziert. Der An- und Abmeldevorgang dauert dadurch nicht nur länger, mit der Zeit sammelt sich beträchtlicher Datenmüll im Roaming Profiles-Verzeichnis auf dem Server an. Sie sollten dieses Verzeichnis für automatische Sicherungen z.B. nach C:\Temp verlegen.

Außerdem können Sie mit der Vorlagedatei Richtlinien für ein Vorlageverzeichnis für CorelDraw setzen und den Datenträger für primäre und sekundäre CorelDraw-Auslagerungsdateien bestimmen.

Mit einem Tool, wie GetFolderSize sollten Sie regelmäßig die Freigabe auf dem Server analysieren, in der sich die servergespeicherten Benutzerprofile befinden. Das kostenlose Tool sortiert alle Verzeichnisse nach deren Speicherbelegung. Sie finden so schnell heraus, welche anderen Anwendungen temporäre Zwischendateien und andere speicherintensive Verzeichnisse in den Profilen der Anwender anlegen. Erstellen Sie dann auch für diese Anwendungen Ihre eigene Gruppenrichtlinienvorlagedatei und ändern Sie damit die Registrierdatenbank der Clients derart ab, dass dieser Datenmüll nicht mehr auf dem Server und den Sicherungsbändern landet.

Analyse des Mustercomputers nach dem Einspielen der selbst erstellten Gruppenrichtlinien-Vorlagedateien

Sobald beide selbst erstellten Vorlagendateien WindowsXP-HLM.ADM und WindowsXP-HCU.ADM eingespielt und konfiguriert sind, sollten Sie sich auf dem Muster-Computer unter den verschiedenen Kennungen, wie Administrator, Testuser und Poweruser anmelden und überprüfen, ob die gewünschten Ergebnisse erreicht werden. Welche Auswirkungen die vorgeschlagenen Einstellungen der Gruppenrichtlinien haben, die zum Lie­ferumfang von Windows XP gehören und bzw. die Sie auf der Buch-DVD finden, sehen Sie am eindrucksvollsten, wenn Sie neben den Muster-Computer einen weiteren Computer aufstellen, der nicht mit dem Server verbunden ist und auf dem ein jungfräuliches Windows XP installiert ist.

Das Betriebssystem Windows XP Professional ist jetzt auf dem Mustercomputer immer noch nicht im Idealzustand für die spätere Erstellung eines Abbilds zum Verteilen auf viele Computer. So sind z.B. die Startmenüs von All Users und Default User noch nicht überarbeitet. Damit würde der Standardanwender Menüpunkte wie z.B. Programmzugriff und –standards und Windows-Katalog über der Start-Schaltfläche sehen. Er könnte auf die Verwaltungsprogramme, den MSN Explorer, Spiele oder unter dem Menüpunkt Zubehör auf den Programmkompatibilitäts-Assistenten und auf Systemprogramme, wie Übertragen von Dateien und Einstellungen zugreifen. Das wollen Sie jedoch wahrscheinlich unterbinden.

Außerdem sind solche Systemeinstellungen noch nicht vorgenommen worden, die über Gruppenrichtliniendateien nicht automatisch erzwungen werden können und vor der Erstellung des Abbildes von Hand vorgenommen werden müssen. Als Beispiel kann die neue Windows XP-Funktion Ruhezustand genannt werden. Wie Sie beim Öffnen der Registerkarte Ruhezustand über Systemsteuerung – Energieoptionen feststellen können, ist der Ruhezustand per Standardeinstellung aktiviert. Wenn der Anwender die Tastenkombination [Strg]­+[Alt]+[Entf] drückt und die Schaltfläche Herunterfahren wählt, kann er entscheiden, ob er den Computer herunterfahren, sich abmelden oder den Computer in den Ruhezustand versetzen möchte. Der Computer speichert dann vor dem Herunterfahren zuerst alle im Arbeitsspeicher befindlichen Daten in der Datei hyperfil.sys. Diese Datei ist mehrere hundert Megabyte groß und bereits vorhanden, wenn die Option Ruhezustand aktiv ist. Sie wird also nicht erst dann erzeugt, wenn der Computer in den Ruhezustand versetzt wird. Wenn Sie die Option Ruhezustand deaktivieren, wird die speicherintensive Datei hiberfil.sys gelöscht. Sie geht damit in kein Abbild ein, egal ob das Abbild mit der RIPrep-Methode oder einem Image-Tool eines Drittanbieters erzeugt wird.

Auch die Installation von Standardanwendungen, wie dem Adobe Reader oder Microsoft Office erzeugt aber z.B. Icons im Startmenü von All Users und Default User, die vor der Erstellung des Komplettabbilds noch überarbeitet werden müssen. Deshalb werden in unserer Testumgebung jetzt zuerst diese Standardanwendungen automatisch installiert. Danach werden die durch die Installation von Microsoft Office hinzugekommenen Gruppenrichtliniendateien in Hinblick auf eine sinnvolle Konfiguration für den Standardanwender untersucht. Erst danach wer­den wir erneut den Mustercomputer daraufhin untersuchen, welche Änderungen jetzt noch durch ein spezielles Skript automatisiert oder manuell vorgenommen werden müssen, um zu einem Endzustand zu gelangen, von dem dann das Abbild gezogen wird.

Ulrich Schlüter

50 Bewertungen

Loading...