Discussion:
lokal erstellte Gruppenrichtlinien manuell auf PCs übertragen (kei
(zu alt für eine Antwort)
Michael Krehbiel
2005-04-28 10:20:01 UTC
Permalink
Ich habe auf einem Client über den gpedit.msc und div. ADMs Richtlinien
erstellt, dann die Registry.pol Dateien aus
C:\Windows\System32\GroupPolicy\User und Machine auf einen anderen PC
übertragen
Die Policies ziehen nicht.

Ich habe daraufhin die ntuser.pol des Anwenders, mit dem die Policies
erstellt wurden, auch auf den neuen PC übertragen, jetzt scheint es zu
klappen.

Gibt es eine andere, dynamischere Lösung?
Das Problem ist, dass ich hier quasi mit StandAlone PCs arbeite. Es ist
keine Domäne oder AD vorhanden, lediglich eine alte Novell NDS ohne Group
Policy Möglichkeiten (kein Workstation Mgr, kein Zenworks...)

Office und WXP lassen sich aber am einfachsten über Group Policies steuern.
Die Policies müssen also irgendwie manuell, aber dynamisch übertragen und
wirksam werden können.

HILFE

Michael
Mark Heitbrink [MVP]
2005-04-28 11:10:27 UTC
Permalink
Post by Michael Krehbiel
C:\Windows\System32\GroupPolicy\User und Machine auf
einen anderen PC übertragen Die Policies ziehen nicht.
Ich habe daraufhin die ntuser.pol des Anwenders, mit dem
die Policies erstellt wurden, auch auf den neuen PC übertragen,
jetzt scheint es zu klappen.
Ich hätte gewettet,daß es überhaupt nicht klappt, aber ich habe
auch schon lange nicht mehr über so etwas nachgedacht.
Post by Michael Krehbiel
Gibt es eine andere, dynamischere Lösung?
Novell müsste AFAIR die ntconfig.pol und damit den Systemrichtlinien
Editor (poledit.exe) unterstützen ...

Ich weiss, daß du mich dafür prügeln wirst, aber irgendwann hast du
eine "Bastellösung", die für den Bereich der AdminVorl funktioniert.
Kaum klappt das, würdest du gerne für einige 3rd Party Programme einige
Datei und Registry Berechtigungen zentral an allen Clients ändern.
Auch das lässt sich per Security Template mit Ex- und Import regeln.
Dann ist das auch geschafft, dann kommt das Thema Softwareverteilung und
Patchmanagement ...

Rechne alle Stunden Aufwand, zur erstmaligen Integration zusammen, rechne
alle nachfolgenden Stunden hinzu, die du für spätere Änderungen der
Einstellungen benötigst, berechne dich intern mit 40,- die Stunde und schau
dir an, wann sich ein 2003 Server mit AD bezahlt gemacht hätte ...

Ich persönlich behaupte, daß an einem AD zur zentralen Verwaltung der
Clients kein Weg dran vorbeigeht. NT4 Domänen und deren Simulationen
sind nur Krückstöcke.

Wenn es nur ein DC sein wird, ohne weitere Dienste, also nur die
AnmeldeRessource mit DNS und eben AD/GPOs bereitstellt, dann reicht
die "einfachste" aktuelle Hardware. Redundanz und die weitere Ausbaustufe,
kann man zusammen addieren je nach Geschmack.

Hat dir jetzt nichts geholfen, aber ich wollte nur mal wieder kundtun,
daß ich Workgroups und Standalone Rechner ab spätestens 5 Rechnern für
absoluten Blödsinn halte, wenn sie in irgendeiner Form sauber verwaltet
werden sollen.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Michael Krehbiel
2005-04-28 11:44:05 UTC
Permalink
Hallo Mark, vielen Dank erst mal für die Rechenkünste ! ;-)

Gebe dir in allen Punkten recht.
Wir sind bei diesem Kunden auch daran, ENDLICH AD einführen zu dürfen
Nach den mittlerweile 2 Wochen K(r)ampf mit den GPs lokal, ist's hoffentlich
einleuchtend. Naja, wenigstens hab ich jetzt mal wieder ein Update über alle
WXP und Office2003 Group Policies komplett durchgeackert.

Habe mittlerweile festgestellt, dass eine Funktionalität für den lokalen
Mist NUR dann gegeben ist, wenn man der Reihe nach:
1. den gpedit.msc einmal öffnen, um überhaupt das Verzeichnis
Windows\system32\GroupPolicy zu erhalten
2. die gepeicherten registry.pol Dateien vom Konfig PC überträgt
3. irgendeine Änderung im gpedit machen, damit die *.pol initialisiert werden
4. neuen lokalen User anlegt und schon klappts

mal sehen, ob wir das hier auch in den Clone so aktiv mit hineinbekommen,
oder ob auch hier wieder gpedit einmal neu initialisiert werden muss.

das nur zur Info, falls jemand sich mit dem gleichen Problem rumprügeln muss

Servus

Michael
Post by Mark Heitbrink [MVP]
Post by Michael Krehbiel
C:\Windows\System32\GroupPolicy\User und Machine auf
einen anderen PC übertragen Die Policies ziehen nicht.
Ich habe daraufhin die ntuser.pol des Anwenders, mit dem
die Policies erstellt wurden, auch auf den neuen PC übertragen,
jetzt scheint es zu klappen.
Ich hätte gewettet,daß es überhaupt nicht klappt, aber ich habe
auch schon lange nicht mehr über so etwas nachgedacht.
Post by Michael Krehbiel
Gibt es eine andere, dynamischere Lösung?
Novell müsste AFAIR die ntconfig.pol und damit den Systemrichtlinien
Editor (poledit.exe) unterstützen ...
Ich weiss, daß du mich dafür prügeln wirst, aber irgendwann hast du
eine "Bastellösung", die für den Bereich der AdminVorl funktioniert.
Kaum klappt das, würdest du gerne für einige 3rd Party Programme einige
Datei und Registry Berechtigungen zentral an allen Clients ändern.
Auch das lässt sich per Security Template mit Ex- und Import regeln.
Dann ist das auch geschafft, dann kommt das Thema Softwareverteilung und
Patchmanagement ...
Rechne alle Stunden Aufwand, zur erstmaligen Integration zusammen, rechne
alle nachfolgenden Stunden hinzu, die du für spätere Änderungen der
Einstellungen benötigst, berechne dich intern mit 40,- die Stunde und schau
dir an, wann sich ein 2003 Server mit AD bezahlt gemacht hätte ...
Ich persönlich behaupte, daß an einem AD zur zentralen Verwaltung der
Clients kein Weg dran vorbeigeht. NT4 Domänen und deren Simulationen
sind nur Krückstöcke.
Wenn es nur ein DC sein wird, ohne weitere Dienste, also nur die
AnmeldeRessource mit DNS und eben AD/GPOs bereitstellt, dann reicht
die "einfachste" aktuelle Hardware. Redundanz und die weitere Ausbaustufe,
kann man zusammen addieren je nach Geschmack.
Hat dir jetzt nichts geholfen, aber ich wollte nur mal wieder kundtun,
daß ich Workgroups und Standalone Rechner ab spätestens 5 Rechnern für
absoluten Blödsinn halte, wenn sie in irgendeiner Form sauber verwaltet
werden sollen.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
Mark Heitbrink [MVP]
2005-04-28 12:35:36 UTC
Permalink
Hi,
Post by Michael Krehbiel
Hallo Mark, vielen Dank erst mal für die Rechenkünste ! ;-)
Ist zwar ne Milchmädchen Rechnung, aber manchmal klappt es damit ;-)
Post by Michael Krehbiel
Gebe dir in allen Punkten recht.
Puh. Glück gehabt.
Post by Michael Krehbiel
Wir sind bei diesem Kunden auch daran, ENDLICH AD einführen zu dürfen
Nach den mittlerweile 2 Wochen K(r)ampf mit den GPs lokal, ist's hoffentlich
einleuchtend.
*autsch* in der Zeit, hätte man ... aber was soll ich sagen ..
Post by Michael Krehbiel
Habe mittlerweile festgestellt, dass eine Funktionalität für den lokalen
1. den gpedit.msc einmal öffnen, um überhaupt das Verzeichnis
Windows\system32\GroupPolicy zu erhalten
2. die gepeicherten registry.pol Dateien vom Konfig PC überträgt
3. irgendeine Änderung im gpedit machen, damit die *.pol initialisiert werden
4. neuen lokalen User anlegt und schon klappts
Schon recht umständlich.
Aber um drauf zurückzukommen, konnte nicht schon Novell 3.x mit
der ntconfig.pol umgehen? Mit einer aktuellen poledit.exe kannst
du auch die aktuellen Templates verwenden. Sonst müsstest du
die Templates anpassen.
Beides, also angepasste Template inkl. poledit, die auch ohne
Anpassung funktionieren würde findest du auf meiner Seite.
http://www.gruppenrichtlinien.de/adm/Poledit_Umbau.htm
http://www.gruppenrichtlinien.de/adm/original_Microsoft_Templates.htm

Alternativ, kannst du die Clients immer noch auf einen Alternativen
Pfad verweisen, wo er die ntconfig.pol zu suchen hat. Das ist dann
zwar einmalig bei allen zu konfigurieren, aber danach hast du ein
zentrales Policy File, das du verwalten kannst.
http://www.gruppenrichtlinien.de/HowTo/Richtlinien_Standalone_ohne_AD.htm

[HKLM\System\CurrentControlSet\Control\Update]
"UpdateMode"=0x00000002
"NetworkPath"="x:\derpfad\diedatei.pol"
... oder UNC.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Mark Heitbrink [MVP]
2005-04-28 12:47:24 UTC
Permalink
Post by Mark Heitbrink [MVP]
Aber um drauf zurückzukommen, konnte nicht schon Novell 3.x mit
der ntconfig.pol umgehen? [...]
Gerade mal ein wenig gegooglet.

SYS:PUBLIC\WINNT\NTCONFIG.POL oder nur
SYS:PUBLIC\NTCONFIG.POL soll angeblich reichen, ohne den
Pfad in der Reg per Hand anzupassen.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Michael Krehbiel
2005-04-29 08:24:04 UTC
Permalink
Hallo Mark

Gpedit braucht man übrigens nicht extra aufrufen.
Registry.pol übertragen und dann Dos-Box aufmachen und "gpupdate /force"
aktualisiert alle Richtlinien.

Das mit den zentral abgelegten Pol-s ist zwar eigentlich eine super Idee,
aber hier ist leider nicht alles so richtig zentral vernetzt und es gibt
verschiedene NDSs und Standorte etc. Einzig der LDMS kann auf 80% der Clients
zugreifen.

Hier ist wesentlich mehr zu tun als "nur" die Policies zu konfigurieren und
zu verteilen, das ist aber das nächste, riesige Projekt, das wir natürlich
auch machen wollen. Hoffentlich haben die's hier jetzt noch mehr kapiert,
dass es ohne ein zentrales Directory System ueberhaupt nicht gehen kann.

Muchas Griessas !
und Danke nochmal für die Tips !

Michael
Post by Mark Heitbrink [MVP]
Post by Mark Heitbrink [MVP]
Aber um drauf zurückzukommen, konnte nicht schon Novell 3.x mit
der ntconfig.pol umgehen? [...]
Gerade mal ein wenig gegooglet.
SYS:PUBLIC\WINNT\NTCONFIG.POL oder nur
SYS:PUBLIC\NTCONFIG.POL soll angeblich reichen, ohne den
Pfad in der Reg per Hand anzupassen.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
Mark Heitbrink [MVP]
2005-04-29 12:26:15 UTC
Permalink
Hi,
Post by Michael Krehbiel
Gpedit braucht man übrigens nicht extra aufrufen.
Registry.pol übertragen und dann Dos-Box aufmachen und "gpupdate /force"
aktualisiert alle Richtlinien.
Huch, doch so einfach. Da frage ich mich, was ich bei den
2 Versuchen falsch gemacht habe, aber egal. Lag wohl am
Mangel der Motivation, es herauszubekommen ;-)

Aber danke. Dann werde ich doch mal meine Seite etwas anpassen.
Post by Michael Krehbiel
Das mit den zentral abgelegten Pol-s ist zwar eigentlich eine super Idee,
aber hier ist leider nicht alles so richtig zentral vernetzt und es gibt
verschiedene NDSs und Standorte etc. Einzig der LDMS kann auf 80% der Clients
zugreifen.
Oh, ach so. Ich dachte es wäre ein "einfache" Struktur ...
Post by Michael Krehbiel
Hoffentlich haben die's hier jetzt noch mehr kapiert, dass es ohne
ein zentrales Directory System ueberhaupt nicht gehen kann.
Muss ja nicht MS sein :-)
Post by Michael Krehbiel
Muchas Griessas !
und Danke nochmal für die Tips !
Gern geschehen. Spass dabei.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
Loading...