Inhaltsverzeichnis
Dieses Kapitel fasst den gegenwärtigen Wissensstand aus praktischer Arbeit und Erkenntnissen in der Samba-Mailingliste zusammen. Vor einer reinen Wiedergabe dieser veröffentlichten Informationen wurde jede Anstrengung unternommen, diese gewonnenen Informationen zu prüfen. Wo zusätzliche Informationen durch diese Prüfungen entdeckt wurden, werden diese ebenfalls zur Verfügung gestellt.
Als MS Windows NT 3.5 vorgestellt wurde, war das neue heiße Thema die Fähigkeit, Gruppenrichtlinien für Benutzer und Gruppen zu implementieren. Dann kam MS Windows NT 4, und einige Sites begannen damit, diese Möglichkeiten zu übernehmen. Woher wir das wissen? Durch die Anzahl von „boo-boos“ (oder Fehlern), die Administratoren machten, und durch deren anschließende Bitten um Hilfe bei der Lösung.
Zu der Zeit, als MS Windows 2000 und Active Directory veröffentlicht wurden, bekamen die Administratoren das Signal: Gruppen-Richtlinien sind etwas Gutes! Sie helfen, Administrationskosten zu senken und machen Benutzer einfach glücklicher. Aber das wahre Potenzial der MS Windows 200x Active Directory- und Gruppen-Richtlinien-Objekte (GPOs) für Benutzer und Maschinen wurde nur zögerlich angenommen. Dies konnte man daran erkennen, dass auf der Samba-Mailingliste in den Jahren 2000 und 2001 nur wenige Anfragen zu den GPOs und deren Nutzung in einer Samba-Umgebung gestellt wurden.
Wenn wir von dem Traffic-Volumen seit Mitte des Jahres 2002 ausgehen, wurden GPOs ein grundlegender Bestandteil von Entwicklungen vielerorts. Dieses Kapitel betrachtet Techniken und Methoden, die dazu genutzt werden können, Vorteile bei der Automatisierung der Kontrolle über Benutzeroberflächen und vernetzte Client-Arbeitsplätze zu erzielen.
In diesem Dokunent wird ebenfalls ein neues Samba-Werkzeug beschrieben das editreg Werkzeug , das in Zukunft ein wichtiger Bestandteil der Arbeit von Samba-Administratoren werden könnte.
Auf MS Windows-Plattformen, speziell auf denen, die den Veröffentlichungen von MS Windows NT4 und MS Windows 95 folgten, ist es möglich, einen Dateityp zu erzeugen, der in der NETLOGON-Freigabe des Domänencontrollers abgelegt werden kann. Sobald sich ein Client am Netzwerk anmeldet, wird diese Datei ausgelesen und der Inhalt dazu benutzt, Änderungen an der Registry der Clientmaschine durchzuführen. Diese Datei erlaubt Änderungen an den Teilen der Registry, die die Benutzer, Benutzergruppen oder Maschinen betreffen.
Für MS Windows 9x/ME muss diese Datei Config.POL heißen. Sie kann dadurch erzeugt werden, daß das Werkzeug poledit.exe, auch besser unter dem Namen „Policy Editor“ bekannt, benutzt wird. Der „Policy Editor“ wurde auf der Windows 98-Installations-CD zur Verfügung gestellt, aber verschwand wieder durch die Einführung von MS Windows Me (Millenium Edition). Nach Angaben von MS Windows-Netzwerk-Administratoren sollte dieses Werkzeug Bestandteil des MS Windws Me Resource Kits werden.
MS Windows NT4 Server-Produkte enthalten den System-Richtlinien-Editor unterhalb von . Für MS Windows NT4 und spätere Clients muss diese Datei NTConfig.POL heißen.
Die Microsoft Management Konsole (MMC) war eine Neuheit von MS Windows 2000. Dieses Werkzeug ist die neue Welle in der sich ständig ändernden Landschaft der Methoden, die Microsoft für das Management von Netzwerk-Zugriff und -Sicherheit einsetzt. Jedes neue Microsoft-Produkt oder jede neue Technologie scheint die alten Regeln überflüssig zu machen und führt gleichzeitig neuere und wieder komplexere Werkzeuge und Methoden ein. Zu Microsofts Ehrenrettung muss man sagen, dass MMC ein Schritt vorwärts war, aber die gesteigerte Funktionalität hat auch einen großen Preis.
Bevor wir die Konfiguration von Netzwerk- und System-Richtlinien in Angriff nehmen, ist es höchst ratsam, die unter Implementing Profiles and Policies in Windows NT 4.0 erhältliche Dokumentation von Microsofts Webseite zu beachten. Es gibt eine große Anzahl von zusätzlichen Dokumenten zu dieser etwas älteren Dokumentation, die Sie ebenso lesen und verstehen sollten. Versuchen Sie, auf der Microsoft-Webseite nach „Gruppen Richtlinien“ zu suchen.
Nachfolgend finden Sie eine kurze Erörterung des Themas mit einigen hilfreichen Anmerkungen. Diese Informationen sind nicht vollständig Sie wurden gewarnt!
Sie benötigen den Gruppen-Richtlinien-Editor von Windows 98, um Gruppenrichtlinien unter Windows 9x/Me zu bearbeiten. Diesen finden Sie auf der Original-CD einer Vollversion von Windows 98 unterhalb von tools/reskit/netadmin/poledit. Installieren Sie ihn, indem Sie „Hinzufügen/Entfernen von Programmen“ verwenden und dann auf Datenträger klicken.
Benutzen Sie den Gruppen-Richtlinien-Editor, um eine Richtliniendatei zu erzeugen, die den Ort der Benutzerrichtlinien und/oder Eigene Dateien festlegt und so weiter. Dann speichern Sie diese Einstellungen in einer Datei namens Config.POL, die Sie im Hauptverzeichnis der Freigabe [NETLOGON] ablegen. Falls Sie Windows 98 zum Anmelden an der Samba-Domäne konfiguriert haben, so wird diese Datei automatisch gelesen und die Windows 9x/Me-Registry der Maschine beim Anmelden aktualisiert.
Weitere Details werden in der Dokumentation zum Windows 98 Resource Kit behandelt.
Falls Sie sich nicht an die korrekten Schritte halten, wird es oft dazu kommen, dass Windows 9x/Me die Integrität der Registry überprüft und anschließend seine Einstellungen aus der Sicherungskopie der Registry wiederherstellt, die sich auf jeder Windows 98/Me-Maschine befindet. Also werden Sie vielleicht bemerken, dass gelegentlich Einstellungen auf ihren Originalwert zurückgesetzt werden.
Installieren Sie den Systemrichtlinien-Editor von Windows 9x/Me, um Gruppenrichtlinien zu benutzen. Sehen Sie dazu auf der Windows 98-CD in tools\reskit\netadmin\poledit nach. Installieren Sie die Gruppenrichtlinien, indem Sie auf die Datei grouppol.inf doppelklicken. Melden Sie sich mehrmals ab und wieder an, und beobachten Sie, ob Windows 98 die Guppenrichtlinien annimmt. Leider müssen Sie dies für jede Windows 98/Me-Maschine machen, die Gruppenrichtlinien nutzen soll.
Um die Datei ntconfig.pol zu erzeugen oder zu editieren, müssen Sie den NT Server-Richtlinieneditor poledit.exe benutzen, der nicht in NT Workstation, sondern nur in NT4 Server enthalten ist. Es gibt zwar einen Richtlinieneditor in NT Workstation, dieser eignet sich jedoch nicht, um Domänen-Richtlinien zu erzeugen. Ebenso könnte man den Richtlinien-Editor von Windows 95 auf NT4 Workstation/Server installieren; dieser arbeitet jedoch nicht mit NT-Clients. Die Dateien vom NT Server werden jedoch gut mit einer NT4-Workstation laufen.
Sie benötigen poledit.exe, common.adm und winnt.adm. Es ist zweckmäßig, die beiden *.adm-Dateien in das Verzeichnis c:\winnt\inf zu legen, das dazu dient, dass das Programm hier nachschaut (wenn nichts anderes eingestellt ist). Dieses Verzeichnis ist normalerweise „Versteckt (Hidden).“
Der Richtlinien-Editor für Windows NT 4.0 ist ebenfalls im Service Pack 3 (und später) enthalten. Entpacken Sie die Datei durch servicepackname /x, dies wäre für Service Pack 6a Nt4sp6ai.exe /x. Der Richtlinien-Editor poledit.exe und die zugehörigen Vorlagendateien (*.adm) sollten ebenfalls ausgepackt werden. Es ist des Weiteren möglich, die Richtlinien-Vorlagen für Office 97 und somit eine Kopie des Richtlinien-Editors downzuloaden. Eine mögliche weitere Quelle stellt das Zero Administration Kit als Download von Microsoft dar.
Mit NT4 änderten sich Registry-basierende Richtlinien: Eine große Anzahl von Einstellungen werden nicht automatisch zurückgesetzt, wenn der Benutzer sich abmeldet. Die Einstellungen, die in der Datei NTConfig.POL in die Arbeitsstations-Registry des Clients gesetzt werden und durch den Registrykey HKEY_LOCAL_MACHINE bereits gesetzt sind, bleiben so lange bestehen, bis sie anderweitig zurückgesetzt werden. Dies ist auch als „tatooing“ bekannt. Es kann ernsthafte Probleme damit geben, und der Administrator muss extrem vorsichtig im Umgang damit sein, um sich nicht die Möglichkeit zu verbauen, die Maschine später noch verwalten zu können.
Windows NT4-System-Richtlinien erlauben das Setzen von Registry-Parametern für Benutzer, Gruppen und Maschinen (Client-Workstations), die Mitglied einer NT4-Domäne sind. Derartige Richtlinien-Dateien werden mit Windows 200x/XP-Clients ebenfalls funktionieren.
Als Neuigkeit in Windows 2000 stellte Microsoft kürzlich eine Art von Gruppenrichtlinien vor, die, verglichen mit NT4-Richtlinien, eine Erweiterung der Möglichkeiten darstellten. Natürlich ist das Werkzeug zum Erzeugen wieder anders. und die Mechanismen für die Einbindung sind deutlich erweitert.
Die älteren NT4-basierenden Registry-Richtlinien sind als Administrative Vorlagen in MS Windows 2000/XP-Gruppen-Richtlinien-Objekten (GPOs) bekannt. Diese beinhalten die Möglichkeit, zahlreiche Sicherheitskonfigurationen zu setzen, Browser-Einstellungen des Internet Explorers zu erzwingen und Aspekte zu ändern und umzuleiten, die den Benutzer-Desktop betreffen (inklusive des Pfads zu Eigene Dateien (Verzeichnis) sowie der Möglichkeit zu beeinflussen, an welcher Stelle im Start-Menü Einträge erscheinen sollen). Ein weiteres neues Feature ist die Möglichkeit, bestimmte Windows-Software bestimmten Benutzern und/oder Gruppen zuzuordnen.
Denken Sie daran, dass NT4-Richtlinien-Dateien NTConfig.POL heißen und im Hauptverzeichnis der NETLOGON-Freigabe des Domänencontrollers gespeichert werden. Ein Windows NT4-Benutzer gibt einen Benutzernamen und ein Passwort ein und wählt dann den Namen der Domäne aus, an der er sich anmelden möchte. Während des Anmeldeprozesses liest die Client-Machine die Datei NTConfig.POL aus der NETLOGON-Freigabe aus und modifiziert die lokalen Registry- Einstellungen gemäß den Werten in dieser Datei.
Windows 200x-GPOs (Gruppenrichtlinien-Objekte) bieten viele Möglichkeiten. Sie werden nicht in der NETLOGON-Freigabe gespeichert, denn ein Teil einer Windows 200x-Richtlinie wird in Active Directory selbst abgelegt und ein weiterer Teil wird in einem freigegebenen (und replizierten) Laufwerk abgelegt, das „SYSVOL-Ordner“ genannt wird. Dieser Ordner ist auf allen Active Directory-Domänencontrollern vorhanden. Der Teil, der im Active Directory selbst gespeichert ist, wird „Gruppen-Richtlinien-Container“ (GPC) genannt. Der andere Teil, der im replizierten Ordner SYSVOL gespeichert wird, wird „Gruppen-Richtlinien-Vorlage“ (GPT) genannt.
Mit NT4-Clients wird die Richtlinien-Datei nur gelesen und ausgeführt, wenn der Benutzer sich am Netzwerk anmeldet. MS Windows 200x-Richtlinien sind wesentlich komplexer GPOs werden beim Maschinenstart (maschinenspezifischer Teil) ausgeführt und zugewiesen, und bei der Benutzeranmeldung am Netzwerk wird der benutzerspezifische Teil zugewiesen. Bei einer Windows 200x-basierenden Richtlinien-Verwaltung kann jede Maschine und/oder jeder Benutzer Teil einer Anzahl von gleichzeitigen Anwendungen (und anwendbaren) Richtlinien-Sets (GPOs) sein. Active Directory erlaubt dem Administrator dabei auch Filter über die Richtlinien-Einstellungen zu setzen. Eine vergleichbare Möglichkeit existiert in NT4-basierenden Richtlinien-Dateien nicht.
Anstatt das Werkzeug System-Richtlinien-Editor, gemeinhin auch Poledit genannt (nach dem Programmnamen poledit.exe), zu nutzen, werden GPOs durch Nutzung der Microsoft Management Console (MMC) erzeugt und verwaltet. Die Snap-Ins sind dabei folgende:
Gehen Sie in das Windows 200x/XP-Menü , und suchen Sie nach dem MMC Snap-In .
Wählen Sie die Domäne oder Organisatorische Einheit (OU) aus, die Sie verwalten möchten. Dann klicken Sie mit der rechten Maustaste, um den Menükontext zu diesem Objekt aufzurufen, und suchen dann heraus.
Klicken Sie mit der linken Maustaste auf denGruppen-Richtlinien-Reiter, und klicken Sie dann auf . Geben Sie einen Namen für die neue gewünschte Richtlinie ein, die Sie erzeugen möchten.
Klicken Sie mit der linken Maustaste auf Bearbeiten um die Schritte zur Erzeugung der GPO einzuleiten.
Alle Optionen zur Richtlinienkonfiguration werden durch die Nutzung der Vorlagen für die Administrationsrichtlinie kontrolliert. Diese Dateien haben die Endung .adm, sowohl bei NT als auch bei Windows 200x/XP. Achten Sie darauf, dass die .adm-Dateien nicht zwischen NT4 und Windows 200x austauschbar sind. Die zweite Möglichkeit beinhaltet eine Menge neuer Features und auch erweiterte Definitionsmöglichkeiten. Es ist jedoch nicht das Ziel dieser Dokumentation zu erklären, wie man .adm-Dateien programmiert; für diesen Zweck wird der Administrator auf das Microsoft Windows Resource Kit für die jeweilige MS Windows-Version verwiesen.
Das MS Windows 2000 Resource Kit enthält ein Werkzeug namens gpolmig.exe. Dieses Werkzeug kann zur Migration einer NT4-NTConfig.POL-Datei in eine Windows 200x-GPO genutzt werden. Seien Sie SEHR vorsichtig bei der Nutzung dieses mächtigen Werkzeugs. Bitte ziehen Sie die Resource-Kit-Handbücher für weitergehende Informationen hinzu.
Richtlinien können bestimmte Benutzereinstellungen oder Einstellungen für eine Gruppe von Benutzern definieren. Die daraus entstehende Richtliniendatei enthält die Registry-Einstellungen für alle Benutzer, Gruppen und Maschinen, die die Richtliniendatei nutzen werden. Gesonderte Richtliniendateien für einzelne Benutzer, Gruppen oder Maschinen sind nicht mehr notwendig.
Falls Sie eine Richtlinie erzeugen, die automatisch von gültigen Domänencontrollern heruntergeladen werden soll, so müssen Sie den Dateinamen NTConfig.POL verwenden. Als Systemadministrator haben Sie durch Änderungen auf der Windows NT-basierenden Arbeitsstation die Möglichkeit, die Richtliniendatei umzubenennen, indem Sie die Maschine anweisen, die Aktualisierung der Richtlinien durch einen manuell eingegebenen Pfad durchzuführen. Sie können dies entweder durch manuelles Ändern der Registristrierungswerte tun oder durch Nutzung des System-Richtlinien-Editors. Es kann sogar ein lokales Verzeichnis sein, in dem die Machine Ihre eigene Richtliniendatei hat, aber wenn eine Änderung für alle Maschinen notwendig ist, muss diese an jeder Arbeitsstation durchgeführt werden.
Sobald eine Windows NT4/200x/XP-Maschine sich am Netzwerk anmeldet, sieht der Client in der NETLOGON-Freigabe des authentifizierten Domänencontrollers nach, ob die Datei NTConfig.POL existiert. Falls ja, wird diese heruntergeladen, durchgesehen und dann in den Benutzerteil der Registry eingelesen.
MS Windows 200x/XP-Clients, die sich an einer MS Windows-Active-Directory-Sicherheitsdomäne anmelden, werden ggf. zusätzliche Richtlinieneinstellungen durch Gruppen-Richtlinien-Objekte (GPOs) erwerben, die im Active Directory selbst abgespeichert sind. Die Hauptvorteile bei der Nutzung von AD-GPOs sind, dass diese keine störenden Effekte durchsetzen, die man in der Registry nicht brauchen kann. Dies hat beträchtliche Vorteile gegenüber der Nutzung von Richtlinien-Aktualisierungen, die auf NTConfig.POL im NT4-Stil basieren.
Zusätzlich zu Benutzerzugriffskontrollen, die durch System- und/oder Gruppen-Richtlinien in einer Weise durchgesetzt oder angewandt werden, die zusammen mit Benutzerprofilen arbeitet, erlaubt die Benutzerverwaltung unter MS Windows NT4/200x/XP sowohl eine Per-Domänen- als auch eine Per-Benutzer-Zugriffsverwaltung. Zu den allgemeinen Einschränkungen, welche häufig genutzt werden, zählen:
Samba-3.0.0 hat nicht alle Zugriffskontrollen implementiert, die unter MS Windows NT4/200x/XP üblich sind. Während es möglich ist, viele Zugriffe durch Nutzung der Domänen-Benutzerverwaltung unter MS Windows NT4 zu setzen, ist derzeit nur der Passwortverfall implementiert. Die meisten der verbleibenden Kontrollen haben derzeit nur Subroutinen, die vielleicht einmal komplettiert werden, um alle Kontrollen zur Verfügung zu stellen. Vergessen Sie dabei aber auch nicht die Tatsache, dass Parameter auch durch Nutzung der NT4-Domänen-Benutzerverwaltung oder durch die Datei NTConfig.POL gesetzt werden können.
Jeder, der sich wünscht, Gruppen-Richtlinien erzeugen oder verwalten zu können, muss mit einer Reihe von Werkzeugen vertraut sein. Die folgenden Abschnitte beschreiben ein paar der wichtigsten Werkzeuge, die Ihnen helfen werden, mit geringem Aufwand eine Benutzerumgebung anzulegen.
Ein neues Werkzeug, editreg genannt, befindet sich derzeit in der Entwicklung. Dieses Werkzeug kann dazu genutzt werden, Registry-Dateien (NTUser.DAT genannt) zu bearbeiten, die in den Benutzer- und Gruppenprofilen enthalten sind. NTConfig.POL-Dateien haben diesselbe Struktur wie die Datei NTUser.DAT und können mit diesem Werkzeug bearbeitet werden. editreg wurde mit der Absicht geschrieben, NTConfig.POL-Dateien im Textformat abzuspeichern und die Erzeugung neuer NTConfig.POL-Dateien mit erweiterten Möglichkeiten zu gewährleisten. Es ist nachgewiesen, dass diese Möglichkeiten schwer zu realisieren sind, also seien Sie nicht überrascht, wenn Sie diese nicht gleich in die Tat umsetzen können. Offizielle Möglichkeiten werden zu dem Zeitpunkt publiziert, wenn das Werkzeug im Produktionsstadium ist.
Die Werkzeuge, die für diese Art der Verwaltung aus der MS Windows-Umgebung genutzt werden können, sind: der NT4-Benutzer-Manager für Domänen, der NT4-System- und Gruppen-Richtlinien-Editor und der Registry-Editor (regedt32.exe). Unter MS Windows 200x/XP kann dies mit der Microsoft Management Console (MMC) und geeigneten „Snap-Ins“ erfolgen, mit dem Registry-Editor und ggf. auch mit dem NT4 System- und Gruppen-Richtlinien-Editor.
In einem Samba-Domänencontroller sind die neuen Werkzeuge für die Benutzerzugriffsverwaltung und Richtlinien-Informationen enthalten: smbpasswd, pdbedit, net und rpcclient. Wenn Sie Administrator sind, sollten Sie die Manpages für diese Werkzeuge lesen und sich mit deren Bedienung vertraut machen.
Die folgenden Zeilen versuchen die Reihenfolge zu erklären, in der System- und Benutzerrichtlinien durchgesetzt werden. Anschließend folgt ein Neustart des Systems und ein Teil einer Benutzeranmeldung:
Starten Sie das Netzwerk, dann den Remote Procedure Call System Service (RPCSS) und die Multiple Universal Naming Convention Provider (MUP).
Sobald Active Directory involviert ist, wird eine Liste von Gruppen-Richtlinien-Objekten (GPOs) heruntergeladen und ausgeführt. Diese Liste kann GPOs enthalten, die:
den Ort der Maschinen in einem Directory betreffen.
nur zutreffen, wenn Änderungen durchgeführt wurden.
auf Einstellungen basieren, die die Anwendbarkeit von Möglichkeiten betreffen: lokal, Ort, Domäne, Organisatorische Einheit (OU) und so weiter.
Kein Benutzer-Desktop wird angezeigt, bevor Obiges nicht vollständig ausgeführt worden ist.
Ausführung von Startskripts (standardmäßig versteckt (hidden) und synchronisiert).
Eine Tastatureingabe-Aufforderung, um den Anmeldeprozess zu ermöglichen (Strg-Alt-Entf).
Benutzer-Referenzen werden geprüft und Benutzerprofile geladen (basierend auf den Richtlinien-Einstellungen).
Eine sortierte Liste von Benutzer-GPOs wird angezeigt?. Der Inhalt der Liste richtet sich danach, was hier konfiguriert wurde:
Benutzer-Richtlinien werden durch Active Directory durchgesetzt. Merke: Es gibt mehrere Arten.
Anmeldeskripten werden ausgeführt. Als Neuheit in Windows 200x und Active Directory können Anmeldeskripten beschafft werden, die auf Gruppen-Richtlinien-Objekten basieren (versteckt (hidden) und synchron ausgeführt). NT4-basierende Anmeldeskripten werden dann in einem normalen Fenster ausgeführt.
Das Benutzerinterface, das durch die GPOs bestimmt wurde, wird angezeigt. Merke: In einer Samba-Domäne (wie in jeder NT4-Domäne), werden Maschinen-(System-)Richtlinien beim Start durchgesetzt; Benutzer-Richtlinien werden beim Anmeldevorgang durchgesetzt.
Mit Richtlinien verbundene Probleme können sehr schwer zu ermitteln und noch schwerer zu beheben sein. Die folgende Auswahl zeigt nur grundlegende Probleme.
„Wir haben die Datei Config.POL erzeugt und diese in der Freigabe NETLOGON abgespeichert. Es wurden keinerlei Änderungen an unseren Win XP Pro-Maschinen gemacht, wir sehen sie nicht einmal. Mit Windows 98 funktionierte dies prima, erst mit dem Update auf Win XP Pro nicht mehr. Ein paar Vorschläge?“
Richtlinien-Dateien können nicht zwischen Windows 9x/Me- und MS Windows NT4/200x/XP-basierenden Plattformen ausgetauscht werden. Sie müssen den NT4-Gruppen-Richtlinien-Editor benutzen, um die Datei NTConfig.POL zu erzeugen, damit diese im richtigen Format für Ihre MS Windows XP Pro-Clients vorliegt.