Wenn es darum geht, Anwendern in einem Unternehmen die Ausführung eines Programms wie des Media Player oder einer Programmfunktion zu versagen, dann sind Gruppenrichtlinien das Mittel der Wahl. Sie kommen allerdings auch zum Einsatz, um ein Programm mit veränderten Grundeinstellungen zu starten oder das Programmverhalten anzupassen.
Das GPE-Snap-In der MMC
Gruppenrichtlinien werden über ein Snap-In der Microsoft Management Konsole (MMC) editiert. Die MMC wird üblicherweise über das Startmenü/Ausführen und Eingabe des Programmnamens MMC.exe gestartet. Im Gegensatz zu den Verknüpfungen im Verwaltungsordner, die ebenfalls die MMC verwenden, öffnet dies eine leere Konsole. Über das Menü Datei/Snap-In hinzufügen/entfernen können verschiedene Verwaltungs-Snap-Ins in die Konsole geladen werden. In dem erscheinenden Dialog können über Hinzufügen Snap-Ins zur aktuellen Konfiguration hinzugefügt werden. In der Auswahlliste findet sich das benötigte Snap-In Gruppenrichtlinienobjekt-Editor (GPE). Wird dieses ausgewählt, dann erscheint ein Dialog, in dem der Geltungsbereich der zu editierenden Gruppenrichtlinien angegeben werden kann. Dies kann der lokale Computer, die Domäne oder ein Domänencontroller sein. Nach Schließen der verschiedenen Dialoge lassen sich dann die Einstellungen editieren.
Die oben genannte Vorgehensweise ist bei der mit Windows XP und 2003 ausgelieferten Version 2.0 und der kürzlich zur Verfügung gestellten Version 3.0 identisch (http://support.microsoft.com/?kbid=907265). Allerdings besitzt die neue Version eine versteckte, überarbeitete Benutzerschnittstelle, in der die Auswahl der Snap-Ins direkt im ersten Dialog möglich ist (siehe hierzu auch die Information im Kasten ).
Anwendungsrichtlinien
Gruppenrichtlinien für Anwendungen bestehen im Wesentlichen aus Registry-Einstellungen. Sie werden beim Anlegen eines neuen Benutzers oder dem Installieren eines neuen Domänencomputers oder Domänencontrollers, je nach Geltungsbereich, automatisch in der Registry angelegt. Die Registry unterscheidet sich damit von dem, wie sie standardmäßig ohne Gruppenrichtlinien aussehen würde. Die Registry-Werten steuern versteckte Funktionen in den Anwendungen, die über die Benutzerschnittstelle zumeist nicht zugänglich sind. Sie können einfach in geänderten Standardeinstellungen, einem anderen Anwendungsverhalten oder auch deaktivierten Funktionen liegen.
Die neue Benutzerschnittstelle der MMC 3.0 aktivieren
Die neue Version 3.0 der MMC bitet neben der gewohnten Benutzerschnittstelle auch eine neue. Standardmäßig wird allerdings auch nach einer Aktualisierung nur die aus der Version 2.0 bekannte Schnittstelle angezeigt. Erst durch Setzen eines Registry-Eintrags wird das neue Gesicht der MMC sichtbar.
Hierzu muss in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC ein neuer Schlüssel (kein Wert!) mit der Bezeichnung UseNewUI erstellt werden.
ADM-Dateien
Standardmäßig können im Gruppenrichtlinien-Editor nur die Einstellungen von im Lieferumfang enthaltenen Anwendungen, wie dem Media Player oder dem Internet Explorer, über Gruppenrichtlinien festgelegt werden. Die Einstellungsmöglichkeiten anderer Anwendungen lassen sich allerdings zusätzlich in den GPE integrieren. Hierzu dienen die ADM-Dateien, die für Microsoft Office beispielsweise im Resource Kit enthalten sind. Auch für einige in Windows enthaltene Programme gibt es solche Dateien. Diese administrativen Vorlagen lassen sich im GPE hinzufügen, indem der Zweig Administrative Vorlagen unter Computer- oder Benutzerkonfiguration selektiert und im Menü Aktion der Punkt Vorlagen hinzufügen/ entfernen ausgewählt wird.
ADM-Dateien sind in einem Textformat mit einer eigenen Syntax geschrieben. Daraus ergeben sich die zu manipulierenden Registry-Einträge, deren mögliche Werte sowie Klartext-Erklärungen hierzu. Wichtigste Funktion von Gruppenrichtlinien ist sicherlich die Möglichkeit, geänderte Grundkonfiguration in größeren Netzwerkumgebungen zur Verfügung zu stellen. Sie erlauben es aber auch einem Anwender, solche versteckten Einstellungen auf eine Weise zugänglich zu machen, ohne dass er oder sie gleich mit dem Registry-Editor herumhantieren muss. Eine Einführung in die Syntax von ADM-Dateien findet sich beispielsweise in http://www.microsoft.com/ windows2000/docs/rbppaper.doc.
Aktualisierungen
Auch bei kleineren Aktualisierungen ergeben sich, gerade im Bereich der weniger öffentlichen Funktionen eines Programms, öfters Änderungen, die dann in der Regel auch eine Anpassung der ADMDateien erfordern, weil einige Registry-Werte nicht mehr beachtet oder anders interpretiert werden. Im Austausch dafür sind eventuell andere, neue Funktionen hinzugekommen. Aus diesem Grund werden mit den meisten Service Packs auch neue ADM-Dateien ausgeliefert. Bei Windows Service Packs sind sie in der Regel direkt im Installationspaket enthalten. Für Office oder Outlook müssen ADM-Dateien hingegen von der Resource Kit-Website heruntergeladen werden. Sie finden sich unter http://www.microsoft.com/office/orkarchive/2003ddl.htm. Die Datei ORKSP2AT.EXE enthält die entsprechenden Dateien. Das Archiv kann grundsätzlich überallhin entpackt werden. Die Windows-eigenen ADM-Dateien finden sich im Verzeichnis C:\Windows\inf. Wenn die Office-ADM-Dateien dahin verschoben werden, muss man sie über den Gruppenrichtlinien-Editor nicht lange suchen.
Änderungen in Office SP2
Da die ADM-Dateien in einem Textformat verfasst sind, lassen sich unterschiedliche Versionen einfach mit einem Texteditor vergleichen. Dies bringt einige Einblicke über die Änderungen, die in einem Service Pack durchgeführt wurden. Es sind die folgenden:
-
Der neue Registry-Wert DisableMeetingRegeneration (Tools|Options/Preferences/Calender Options/Meeting regeneration) steuert das geänderte Verhalten bei der Verwaltung von Besprechungseinträgen im Kalender. Durch Setzen des Wertes kann das alte Verhalten wiederhergestellt werden. Das neue Verhalten soll vielfach aufgetretene Probleme mit verschwundenen Besprechungseinträgen im Exchange Cached-Modus beheben. Genauere Informationen finden sich in der Microsoft Knowledgebase unter http://support.microsoft.com/kbid=899919.
-
JunkMailEnableLinks(Tools|Options/Security/Enable links in e-mail messages) steuert eine neue Sicherheitsmaßnahme zur Spam-Abwehr. Unerwünschte Werbung enthält häufig Links, die dem Empfänger suggerieren, dass sie ihre Adresse von der Versandliste löschen können. Meistens dienen solche und andere Links in Werbenachrichten aber vielmehr dem Zweck die Existenz und um das Lesen der Werbebotschaft zu verifizieren und haben damit genau den gegenteiligen Effekt. Oder sie führen gar zu Downloadseiten mit Viren-und Trojaner-Programmen. Service Pack 2 erlaubt es Administratoren, Internet-Verknüpfungen in Nachrichten, die sich im Junk-Mail-Ordner befinden, zu deaktivieren. Dieses Verhalten wird durch den Wert JunkMailEnableLinks gesteuert.
Der Wert MSGFormat(Tools|Options/Other/Advanced/MSG Unicode format when dragging to file system) gibt eine Möglichkeit, das Format, in dem Nachrichten, die auf den Desktop gezogen werden, zu speichern. Dies kann nun auf ANSI anstelle des standardmäßigen Unicode-Formats festgelegt werden. Nachrichten im ANSI-Format lassen sich auch durch ältere Outlook-Versionen laden. In ihnen gehen aber eventuell Zeichen erweiterter Zeichensätze, etwa Kyrillisch, verloren. Drei neue Registry-Werte steuern Änderungen in der Verwendung von Offline-Adressbüchern (OAB).
-
DisableLogging(Exchange setting/Offline Address Book:Don't Log Full OAB Downloads) deaktiviert die Protokollierung bei Downloads des OABs.
-
OAB v4 Only(Miscellaneous/Use only OAB v4) beschränkt Outlook auf die mit Exchange Server 2003 SP2 eingeführte OAB v4-Version des Offline-Adressbuchs.
-
Max Full OAB Download Wait(Miscellaneous/Maximum wait time for Offline Address Book downloads) steuert das neue Verhalten, welches verhindern soll, dass alle OAB-Downloads gleichzeitig durchgeführt werden. Dies hat in der Vergangenheit immer wieder zu Netzwerkproblemen geführt. Mit SP2 wartet Outlook eine gewisse, zufällige Zeitspanne, bevor das OAB heruntergeladen wird. Der Wert Max Full OAB Download Wait gibt den Rahmen für diese Zeitspannenwahl in Stunden vor. Das OAB wird dann irgendwann in diesem Zeitraum heruntergeladen.
-
Zudem wurde die Beschreibung des Wertes Cached Mode/Enable auf Check to disable Cached Exchange Mode for all profiles angepasst, da dieser ohnehin immer alle Profile betraf und nicht, wie die alte Beschreibung suggerierte, nur neue.
-
Weitere Informationen zu den Änderungen in der Behandlung von OABs mit Outlook SP2 und Exchange SP2 finden sich unter http://support.microsoft.com/?kbid=906559.
Tipps und Tricks
Das Textformat der ADM-Dateien bringt zusätzlich die Möglichkeit, manuelle Änderungen an ihnen durchzuführen. Eine Änderung an der Outlook-Datei bietet sich dabei besonders an.
In der Registry gibt es zwei Arten von Texteinträgen: den normalen Textwert (REG_SZ) und den Wert im Expanded-Text-Format (REG_EXPAND_SZ). Ein Unterschied der beiden Werttypen besteht darin, dass in Expanded-Text Platzhalter für Systemverzeichnisse interpretiert (expandiert) werden. Im ersten Fall muss der Systemverwalter selbst darauf achten, dass in deutschen Versionen C:\Programme und in englischen Versionen C:\Program Files in dem Wert steht. Werden in einem Netzwerk Versionen mehrerer Sprachen eingesetzt, führt dies auf jeden Fall zu Problemen. Mit dem Expanded-Text-Typ passiert dies nicht so leicht.
Microsoft hat für die beiden Werte ForceOSTPath und ForcePSTPath jeweils den einfachen Texttyp vorgesehen. Um sich das Leben einfacher zu machen, kann die ADM-Datei so angepasst werden, dass hier stattdessen der Expanded-Text-Typ verwendet wird. Da diese Dateien normalerweise im Pfad Dokumente und Einstellungen, der sprachabhängig ist, abgelegt werden, ist dies sinnvoll. Hierzu müssen in den PART-Abschnitten der beiden Werte die Einträge EDITTEXT durch EDITTEXT EXPANDABLETEXT ersetzt werden, sodass sie wie in Listing 1 aussehen.
Listing 1: Mögliche Anpassungen in OUTLK11.ADM
.
.
.
PART "Default … PST files" EDITTEXT EXPANDABLETEXT
VALUENAME ForcePSTPath
END PART
.
.
.
PART "Default … OST files" EDITTEXT EXPANDABLETEXT
VALUENAME ForceOSTPath
END PART
.
.
.
Wie die Beschreibung von ForcePSTPath richtig aussagt, sorgt MAPI bei der Interpretation des PST-Pfads auch für Auflösung von Platzhaltern wie %USERPROFILE%. Die Änderung ist hier also nicht unbedingt notwendig. Bei ForceOSTPath passiert dies aber nicht. Das bei ForcePSTPath gegebene Beispiel ist zudem unglücklich, da die Ordnernamen Local Settings und Application Data lokalisiert wurden. Leider gibt es für die von Roaming Profiles ausgenommenen Benutzerdaten (unter Lokale Einstellungen) keine auflösbare Umgebungsvariable. Es ist nur mit %APPDATA%\Microsoft\Outlook ein Verweis auf das nichtlokale Verzeichnis Anwendungsdaten möglich.