Linux-Arbeitskreis Hamburg

Windows95 III
Systemrichtlinien

Inhalt

Grundlagen

Auch in diesem Bereich bildet unser Server, bzw das Programm-Paket Samba wieder einen WindowsNT-Server nach. In Windows-Netzen kann man, im Server-Verzeichnis Netlogon eine Datei namens CONFIG.POL ablegen. In dieser Datei kann man für Rechner bzw. Benutzer Einstellungen festlegen, die die in den lokalen Konfigurationsdateinen SYSTEM.DAT und USER.DAT teilweise überschreiben. Die config.pol wird übrigens erst nach einem eventuellen Anmeldescript abgearbeitet.

Damit kann man erreichen, daß der Administrator an einem Windows-Arbeitsplatz alles darf, der normale Benutzer nicht.

Wenn auf einem System keine Benutzerprofile aktiviert sind, dann wird nur der Teil der Config.pol ausgeführt, der sich auf den Computer bezieht. Die Nutzerspezifischen Teile bleiben dann unberücksichtigt. Aus diesem Grund sollte man die Benutzerprofile aktivieren, wie im zweiten Teil für Wind. 95 beschrieben.

Im Prinzip kennt der Richtlinieneditor auch Gruppenspezifische Einstellungen. Doch dies funktioniert im Zusammenhang mit unserem Linux-Server leider (noch?) nicht.

 

Server-Konfiguration

An der Konfiguration sind auf der Server-Seite folgende Dateien beteiligt.
/etc/smb.conf Die zentrale Samba-Konfigurationsdatei enthält die wesentlichen Angaben für das Logon.
/home/dos/netlogon/scripts/win95.bat Das Anmeldescript für Rechner mit Windows 95
/home/dos/netlogon/config.pol Die Datei mit den Windows-Richtlinien.
   

Systemrichtlinien

Zum Erstellen bzw. Verändern von Systemrichtlinien benötigt man den Systemrichtlinieneditor POLEDIT.EXE. Dieses Programm befindet sich auf der Windows95 CD (Verzeichnis admin/apptool/poledit) und wird normalerweise nicht mit installiert. Das Programm sollte aber nur dem Systemverwalter zur Verfügung stehen. Eine Möglichkeit besteht darin, das komplette Poledit-Verzeichnis auf das User-Laufwerk des Administrators zu kopieren.

Mit dem Programm POLEDIT.EXE kann man auf drei Ebenen arbeiten

Für uns am interessantesten ist das Arbeiten mit Richtliniendateien, da man dann kaum an die einzelnen Rechner heran muß.

Wir starten also POLEDIT.EXE (falls man nach einer Vorlagendatei gefragt wird, dann gibt man die vorgeschlagene Datei admin.adm an):

Noch ist das Fenster leer. Wir wählen nun Datei >> Neu

Nun befinden sich zwei Icons auf der Oberfläche:

Das eine Icon steht für den Standardbenutzer das andere für den Standardcomputer. Als Standardbenutzer wird jeder Benutzer betrachtet, für den es hier kein eigenes Icon gibt.

Systemrichtlinien für den Administrator

Wir fügen sofort für uns selber einen Benutzer hinzu Berabeiten >> Benutzer hinzufügen und geben dem Benutzer den Namen, der unserem Linux-Benutzernamen entspricht.

Diesem Benutzer (also uns selbst) geben wir erst einmal alle Rechte, indem wir darauf doppelklicken und anschließend alle Kästchen weiß machen:

Für die Auswahlkästchen gibt es immer drei Möglichkeiten:

Bei einem weißen Kästchen wird die Funktion nicht aktiviert. Bei einem Lästchen mit Haken wird die Funktion bzw. Beschränkung aktiviert und bei einem grauen Kästchen bleibt die lokale Einstellung erhalten.

Für den Administrator (also für uns) sollten wir hier alle Beschränkungen aufheben.

Systemrichtlinien für den Standardbenutzer

Für den Standardbenutzer sollten wir sinnvolle Einschränkungen vornehmen. Was dabei genau eingeschränkt werden soll ist sicherlich Geschmackssache, deshalb hier nur ein Vorschlag.

Im Bereich Systemsteuerung habe ich alle Beschränkungen aktiviert. Man muß dabei darauf achten, daß Teilweise noch Kästchen im unteren, grauen Bereich des Fenster auftauchen:

Im Bereich Desktop wir nur kein Hintergundbild vorgegeben, aber ein Farbschema. Im Bereich Netzwerk wird wieder alles beschränkt.
Im Bereich Shell >> Benutzerdefinierte Ordner mache ich keine Vorgaben, dadurch sind die Ordner für alle gleich. Es gäbe aber auch die Möglichkeit hier ein schreibgeschütztes Netzlaufwerk vorzugeben, so die Einstellungen nicht verändert werden können.

Im Bereich Shell >> Zugriffsbeschränkungen müssen ein paar Kästchen abgehakt werden.

Im Bereich System >> Zugriffsbeschränkungen sollte man die Programme zum Bearbeiten der Registrierung deaktivieren.

Systemrichtlinien für den Standardcomputer

Im Prinzip könnte man hier einen Computer hinzufügen und ihn damit zu einem speziellen Lehrerarbeitsplatz machen. Da wir für derartigen Luxus kein Geld haben, unterbleibt hier auch der entsprechende Eintrag.

Für den Standardcomputer solle man aber ein paar Einstellungen vornehmen:

Unter Netzwerk >> Microsoft-Client für Windows-Netzwerke habe ich die Windows NT-Anmeldung aktiviert und auch die Arbeitsgruppe noch einmal vorgegeben.

Unter Netzwerk >> Kennwörter mache ich zwei Vorgaben. Kennwortverschlüsselung deaktivieren bedeutet hierbei, daß keine Passwortlisten lokal abgelegt werden.

Wichtig ist der Eintrag unter Netzwerk >> Remote-Update. Nur wenn dies aktiviert ist, dann wird die CONFIG.POL überhaupt ausgewertet.

Unter System habe ich dann folgnde Einstellungen vorgenommen.

Systemrichtlinien aktivieren

Die so erstellte Datei wird nun unter dem Dateinamen config.pol auf dem Server im Verzeichnis /home/dos/netlogon gespeichert. Von einem Windows-Rechner aus ist dies das Verzeichnis \\<Servername>\netlogon. Diese Datei muß für jeden Benutzer lesbar sein, beschreibbar darf sie aber nur für Administratoren sein.

Wenn die Benutzerprofile aktiviert sind, dann wird die config.pol anscheinend automatisch ausgewertet. Falls nicht, dann muß man an jedem Rechner einmal Poledit starten und unter lokaler Computer das Remote Update aktivieren, so wie es im vorangegangenen Abschnitt beschrieben ist.

Testen kann man die korrekte Funktion, indem man sich einmal als Administrator anmeldet. Dann muß unter Arbeitsplatz auch die Systemsteuerung vorhanden sein. Meldet man sich als normaler Benutzer an, so ist bei der beschriebenen Konfiguration die Systemsteuerung nicht vorhanden.

Für den Fall, daß ein Benutzer die Anmeldeprozedur abbricht, greifen die beschriebenen Einschränkungen natürlich nicht. Daher muß man auch für die lokale Registrierung auf jedem Rechner entsprechende Einschränkungen vornehmen.


Kritik, Anregungen und Ergänzungen willkommen. Zusammengestellt von Uwe Debacher und Bernd Burre, letzte Änderung am 27.01.2006
Impressum