Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Das Forum rund um Windows sowie Hard- und Software, die mit diesem Betriebssystem laufen.

Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » Fr 12 Feb, 2010 10:45

hallo leute,

ich stehe vor der frage wie ich auf einer grösseren zahl von stand-alone pc's sauber und elegant gruppenrichtlinien verteile, jeder PC ist eine insellösung für sich selber, d.h. es gibt KEIN AD (was nicht daran liegt, dass hier gespart wird, sondern andere hintergründe hat)

die GPO's müssen vorerst nur ein einziges mal gesetzt werden (spätere änderungen sind zwar vorgesehen, derzeit aber nicht relevant)

ich habe mir 2 varianten ĂĽberlegt
1. die maschinen per sysprep entsprechend konfigurieren
2. entsprechende tools basteln, welche die einstellungen und GPO's auf einem beliebiges system setzen

hat jemand schonmal was ähnliches in die richtung gemacht?
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon martin » Fr 12 Feb, 2010 12:47

nachdem GPOs ja auch nur registry keys sind, mĂĽsste das ganze eigentlich relativ einfach zu bewerkstelligen sein.

die policies sind fĂĽr HKLM, HKCU und HKU jeweils unter \SOFTWARE\Policies\Microsoft gespeichert. ich hab noch nie probiert sie per ex- und import zu kopieren, es mĂĽsste aber so funktionieren.
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon wicked_one » Fr 12 Feb, 2010 12:53

Für mich zum recherchieren ... meinst du wirklich Gruppenrichtlinien oder die lokalen Sicherheitsrichtlinien? in letzteren finde ich zumindest die möglichkeit, ein template (.inf dateien in $WINDOWS/Security/templates) zu importieren, und dieses könnte man auch entsprechend anpassen.

Allerdings sitze ich hier an WinXP, werde mal die möglichkeiten von Win7 am Abend durchstöbern ...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » Fr 12 Feb, 2010 13:55

@martin
>die policies sind fĂĽr HKLM, HKCU und HKU jeweils unter \SOFTWARE\Policies\Microsoft gespeichert.
>ich hab noch nie probiert sie per ex- und import zu kopieren
genau so wollt ich's ursprünglich machen, aber da ich relativ viele einschränkungen setzen muss, is das wohl eher nicht der richtige weg, weilst jeden schei** erst in der registry finden musst, da hilft regmon oder was ähnliches auch ned viel ...

@wicked
ja ich mein gruppenrichtlinien, die richtlinien sollen NUR für eine benutzergruppe gelten, nicht jedoch für admins (allein das würd per default ohne AD schon gar ned gehen, lässt sich aber mit etwas tricksen sauber lösen)
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon wicked_one » Fr 12 Feb, 2010 14:05

Dann werd ich heute Abend mal mein Win7 am Abend traktieren =)
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » Fr 12 Feb, 2010 14:11

des scheint in der tat eine herausforderung zu sein - der nächste schritt, wenn diese gschicht gelöst ist, sollte dann sein, dass normale user die möglichkeit haben, hardware zu installieren - wozu diese natürlich admin rechte brauchen, aber kein admin-kennwort kriegen sollen, aber da schwirrt mir schon was im kopf herum, wie ich das lösen könnte ...
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon martin » Fr 12 Feb, 2010 17:21

lordpeng hat geschrieben:@martin
>die policies sind fĂĽr HKLM, HKCU und HKU jeweils unter \SOFTWARE\Policies\Microsoft gespeichert.

aber da ich relativ viele einschränkungen setzen muss, is das wohl eher nicht der richtige weg, weilst jeden schei** erst in der registry finden musst


ich kann mich auch täuschen, aber es sah auf meiner win7 enterprise maschine wo ich nachgeschaut habe eigentlich so aus, als wären dort sämtliche aktivierten policies in diesem key drin? third party policies (sprich mit separaten .adm(x) files erstellt) waren in eigenen keys parallel zum "Microsoft" key zu finden.

mangels AD könnte man evtl. diese keys mit ACLs versehen und somit definieren, für wen die settings gelten.

lordpeng hat geschrieben:...dass normale user die möglichkeit haben, hardware zu installieren - wozu diese natürlich admin rechte brauchen, aber kein admin-kennwort kriegen sollen...


also wenn du dafür eine lösung findest würde mich echt interessieren, wie du das angestellt hast ;)

wenn man die hardware die der user verweden soll (sprich die device ID) kennt sollte es machbar sein, bei beliebiger hardware wirds aber echt tricky. ich kenn eigentlich kein OS, welches die installation von treibern ohne admin rechte einfach so zulässt...
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » Fr 12 Feb, 2010 19:04

>also wenn du dafür eine lösung findest würde mich echt interessieren, wie du das angestellt hast
ich möchte eine art zeitlich limitierte administrator-shell laufen lassen, welche einmalpasswörter verwendet ... soviel zur theorie :-) ... wie das ganze softwaremässig funktionieren soll, hab ich in etwa schon im kopf, ich muss das dem programmierer dann nur noch ausdeutschen

im grunde brauchst ja nur ein programm, welches per runas eine admin-shell startet, dann musst nämlich NUR dieses programm selber schützen - da stell ich mir einfach eine art challenge response verfahren vor, %USER% sagt mir seine derzeitige computerid (die sich dann bsp. stündlich ändert) und kriegt ein temporäres passwort zurück ...

das schĂĽtzt zwar nicht davor, dass %USER% in diesem zug gleich irgendwelchen anderen schrott mitinstalliert, aber fĂĽrs erste wĂĽrde es ausreichen ... zumindest bis ich eine bessere idee hab
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon xp » Sa 13 Feb, 2010 16:50

Bild
xp
Board-User Level 1
Board-User Level 1
 
Beiträge: 596
Registriert: Do 27 Okt, 2005 11:13

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » Sa 13 Feb, 2010 20:58

ich glaub nicht, dass das was ich bräuchte mit tasks lösbar wäre
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon martin » So 14 Feb, 2010 10:38

lordpeng hat geschrieben:ich glaub nicht, dass das was ich bräuchte mit tasks lösbar wäre


ich hab am anfang auch den kopf geschĂĽttelt, ABER:

dies ist vermutlich die einfachste möglichkeit, anwendungen mit anderen credentials auszuführen ohne dass irgendwo hässlich ein passwort hardcoded drinnen steht.

einfach einen task fĂĽr cmd.exe anlegen, admin credentials hinterlegen, jedoch keinen fixen zeitplan. bei bedarf dann manuell ausfĂĽhren :)
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Re: Win7 Gruppenrichtlinien auf Stand Alone PC's verteilen?

Beitragvon lordpeng » So 14 Feb, 2010 16:59

>einfach einen task fĂĽr cmd.exe anlegen, admin credentials hinterlegen
>jedoch keinen fixen zeitplan. bei bedarf dann manuell ausfĂĽhren
wäre natürlich auch eine möglichkeit, wobei in dem fall dann halt gesteuert werden müsste, WER den task ausführen darf %USER% soll ihn ja NUR dann ausführen können, wenn er es erlaubt bekommt ...
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45


ZurĂĽck zu WINDOWS

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 27 Gäste

cron