Erfahrungsbericht zu Gruppenrichtlinien in Windows 2000

[hommling]

Moin!

Mann, ich bin echt fertig mit den Nerven! Seit geschlagenen drei Tagen schlage ich mich schon mit dem Thema "Zugriff auf das CD-ROM-LW sperren" herum und hier meine Leidensgeschichte. Sorry, ist kein Thread im eigentlichen Sinne, soll aber für zwei Dinge gut sein.

a) Ich kann mir den Frust aus den Fingern tippen

Ihr könnt auch etwas wissenswertes für Euch mitnehmen

And all began when...

Ich bin Systemadministrator an einem großen Berufskolleg und muss mich Tag für Tag mit den Nickligkeiten der Schüler rumärgern. Deshalb habe ich mit Ihnen abgerechnet - und zwar über Userbeschränkungen, die sie vorher noch nicht hatten. So sind wir schon mal beim Thema Gruppenrichtlinien. Als ich die ersten Gehversuche damit machte, schränkte ich zunächst den Zugriff auf das CD-ROM-Laufwerk ein. Das klappte auch prima, doch ich wunderte mich teils immer noch über große Datenmengen auf den Homeverzeichnissen der Schüler. Ich forschte nach und stellte fest, dass die GruRiLi ja keinerlei Auswirkung auf die Kommandozeile hat, worüber man ja über einen einfachen copy-Befehl die Daten Ruck-Zuck von der CD kopieren kann. Also suchte ich nach einem Registry-Key, der das Ausführen der Eingabeaufforderung unterbindet. Diesen fand ich, aktivierte ihn und war für meinen Teil glücklich.

Doch dann kam einen Tag drauf eine Lehrerin an, die auf einmal keine Java-Programme mehr komipilieren konnte. "Hm, ja muss wohl ein Systemfehler sein", sagte ich und korrigierte ganz schnell den Registry-Key. Also war das auch essig und ich musste mir was neues einfallen lassen. Da der Mensch ja von Natur aus faul ist, machte ich mir nicht die Arbeit, an allen Arbeitsplätzen (immerhin 225 Stück) die CD-LW abzuklemmen bzw. im BIOS zu deaktivieren, da ich ja wusste, es würde bestimmt eine elegantere Lösung geben.

Also befragte ich das Board und bekam verschiedene Tipps, von denen mir letztlich nur einer sinnvoll erschien. Einfach eine Nachricht für jeden User bei der Anmeldung erzeugen, die darauf hinweist, was mit denen geschieht, die Schrott auf unseren Server kopieren. Tja, dachte ich so bei mir, es wird aber dennoch ein paar Unkumpel geben, die es dennoch versuchen werden. Also entschloss ich mich doch, per Geräte-Manager das Laufwerk zu deaktivieren und den Zugang zur Systemsteuerung ebenfalls per GruRiLi zu sperren.

Das ging auch ganz gut, bis ich dann tags drauf dachte: "Was ist mit USB-Sticks?". Also Rechner an, um zu prüfe, ob der Zugriff auf diese funktioniert. Das tat er nicht. Stattdessen kam die Fehlermeldung, dass der Zugriff auf dieses Laufwerk vom Administrator gesperrt worden sei. Moment mal, dachte ich, ich habe doch gar keine GruRiLi mehr dafür aktiviert, oder doch ? Also ging ich die Liste aller GruRiLis durch, um herauszufinden, ob ich nicht doch irgendwo was übersehen hätte. Leider blieb dies ohne Erfolg.

Also fing ich nun an, den Testuser aus der OU "Klassen" nach "Users" zu verschieben, damit nur noch die Default Domain Policy (DDP) auf ihn greift. Doch immer noch dasselbe Problem. Ich versuchte mich nun als Lehrer an das System anzumelden und stellte fest, dass diese den Einschränkungen nicht unterlagen. Doch wie konnte das jetzt sein. Ich dachte zum einen, eventuell ist in der DDP etwas diesbezüglich konfiguriert, doch Irrtum: alles sauber. Da die OU "Lehrer" ja ebenfalls eigene GruRiLis bekommt, dachte ich, es wäre dort sozusagen eine Gegenrichtlinie, die die Sperre negiert, also alles wieder normal macht. Aber auch Fehlanzeige!!!

Unter normalen Umständen hätte ich mich zu diesemschon mit der Winterjacke in den Serverraum begeben und wäre an den Hitzefolgen erschwitzt. Aber nein, selbst hier machte ich weiter. Es führte sogar dazu dass ich sämtliche GruRiLis für die OU "Klassen" deaktivierte und immer noch keinen Zugriff aus das Laufwerk D: erhielt.

Bis zu diesem Zeitpunkt war mir eins noch nicht in den Sinn gekommen: Die Obligatorischen Profile (Mandatory Profiles). Was wäre, wenn ich zum Zeitpunkt der Erstellung des Schüler-Profils die Gruppenrichtlinie aktiviert hätte, welche mir den Zugriff auf das Laufwerk D: verbietet. Würde diese mit in der Registry des Profils gespeichert? Es gab nur eins: AUSPROBIEREN !!! Gesagt, getan, dem User schnell die Profilzuweisung geklaut, angemeldet und auf das Laufwerk D: geklickt. Und siehe da: NÄ! DIE GEHT! ISCH RESCH MISCH HIER UFF UN DIE ******E GEHT! OAAAAAAAHHH! WUNDERBOOAAARR!!!

Das lehrt uns jetzt folgendes: Wenn Ihr ein Obligatorisches Profil erstellt, befreit den Testuser von jeglicher Gruppenrichtlinie und weist ihm auch kein Benutzerprofil zu oder Ihr werdet es bitter bereuen!!!

So! Und nun :OD :OD :OD :floet: :floet: :floet: :marine :marine :marine

In diesem Sinne

Gruß

Hommling

[DownAnUp]

Hallo,

interessanter Hinweis... Wäre ich so schnell nicht drauf gekommen :uli

Wir haben bei uns das sperren der CD-Rom Laufwerke mit einem kleinen selbst entwickelten Programm gelöst, das auf allen PCs als Dienst läuft. Freigaben für einzelne User die die CD-Roms benutzen dürfen werden über eine zentrale Datenbank geregelt.

Hat ein Benutzer KEINE Freigabe und versucht eine CD einzulegen wirft der Dienst die CD ganz einfach sofort wieder aus :bimei

Das ganze mit Gruppenrichlinien zu lösen haben wir noch nicht versucht da wir das Programm schon seit Zeiten von NT 4 haben und es bei der migration auf Windows 2000 dann auch einfach weiterbenutzten.