Windows Server 2008 R2 Gruppenrichtlinie für lokalen Account exportieren?

[Die wilde Inge]

Moin Moin,


ich hätte da mal eine Frage,

bei mir auf Arbeit werden die Domänen Accounts durch Gruppenrichtlinien gesteuert.

Wir haben aber auch lokale Accounts, z.B. auf Laptops, die nicht im Netzwerk sind, weil unser Haus auch verlassen und dann aus Sicherheitsgründen nicht mehr ins Netz dürfen. Die Lapis sind dann idR feste Standalone-Geräte.

Nun ist es aber so, dass diese lokalen Accounts keinerlei Richtlinie unterworfen sind, z.B. das Recht auf die USB-Schnittstellen zugreifen zukönnen.


Die Frage ist jetzt, ob man die Richtlinien 1:1 wie sie in der Domäne vorhanden sind so zu exportieren, dass ich sie auf einen lokalen Account anwenden kann.

Ich habe mir sagen lassen, dass man die Richtlinien zwar exportieren kann, diese Exportobjekte aber nur auf andere Server angewandt werden können, nicht aber auf Windows 7 Clients.


Muss ich jetzt echt hingehen und so ein Security Template aus dem Nichts selber zusammenstellen oder gibts da irgendeinen Kniff die Richtlinie auch lokal durchzusetzen um sie dann zu exportieren und verteilen zu können?


Herzlichen Dank im Vorfeld,

 

[Simanova]

Ich würde als Systemadministrator die Geräte mit der Domäne verbinden, mit dem Domänenbenutzer einloggen und das lokale Profil dort migrieren (z.b mit EasyTransfer von Microsoft). Das Domänenprofil kann auch außerhalb der Domäne weiterhin genutzt werden.

Wie lange das Profil außerhalb des entsprechenden Netzwerkes genutzt werden kann, entzieht sich allerdings meiner Kenntnis (evtl. 30-60 Tage, vielleicht kann man dies auch irgendwo einstellen).

 

[ryan_blackdrago]

Nur so als alternativen Denkanstoß: statt Richtlinie, setzen in der Registry

Durfte mich mit der Bitlocker-Verschlüsselung mit TPM-Modul-Aktivierung rumärgern. Hierfür muß die ''Zusätzliche Authentifizierung beim Start anfordern' aktiviert sein um TPM zu aktivieren (Computerkonfiguration : Administrative Vorlagen > Windows-Komponenten > Betriebssystemlaufwerke).
Jetzt entweder eine Richtlinie hierfür schreiben oder entsprechend das Installationsscript um die Registry-Einträge erweitern. Vor der Installation werden nun bei der Registry folgende Werte gesetzt (was analog die Einträge bei gesetzter Richtlinie entspricht):

@echo off    
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "UseAdvancedStartup" /t REG_DWORD /d "1" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "EnableBDEWithNoTPM" /t REG_DWORD /d "1" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "UseTPM" /t REG_DWORD /d "2" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "UseTPMPIN" /t REG_DWORD /d "2" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "UseTPMKey" /t REG_DWORD /d "2" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v "UseTPMKeyPIN" /t REG_DWORD /d "2" /f
EXIT

Wie ich darauf gekommen bin? Habe das Programm what changed benutzt und die Registry vorher/nachher verglichen. Es müssen daher nicht immer Richtlinien sein, sondern es kann über Setzen der entsprechenden Einträge in der Registry über die Software-Verteilung ebenfalls gelöst werden.

 

[Die wilde Inge]

Auf Anhieb würde ich aber sagen, dass nicht alles Registry ist, was man mit der GPO verteilen kann.

Z.B. Berechtigungen auf Registries sind keine Registriy Schlüssel, das wird per SecEdit gemacht.


Ich kann ja einfach in die gpedit.msc rein und dort für lokale Benutzer einstellen, was ich einstellen will, um die Machbarkeit geht es also nicht.

Worum es mir geht ist, dass ich wenig begeistert bin die gesamte GPO lokal umzumünzen, sofern es auch anders geht.

Eine temporäre offline-Verfügbarkeit für Domänenbenutzer kommt nicht in Frage, da die Gerät, wenn sie mal außerhalb waren nicht wieder ans Netz dürfen. Außerdem müssten dann teilweise etliche Leuter hier antanzen und sich mindestens 1x einloggen, bevor ich den Rechner rausgeben kann - das ist also absolut keine Alternative.

 

[ryan_blackdrago]

Klar, daß man nicht alles mit der Registry abdecken kann. Für bestimmte Vorhaben i.V.m der Softwareverteilung kann es aber so gelöst werden. Muß eben im einzelnen geprüft werden..

 

[Die wilde Inge]

Zur Lösung:

mit dem Security Compliance Manager von MS kann man komplette Richtlinien exportieren, bearbeiten und wieder importieren und umgedreht und das für für bestimmte Nutzer(-Gruppen)

Die Registry muss man mit dem Tool gar nicht anfassen und hat alles im kompakt Überblick. Auch das Zusammenführen von einzelnen Richtlinien ist kein Problem. Kostenlos ist es auch, also absolut das Mittel der Wahl wenn es um die Bearbeitung und Verteilung von Richtlinien (auch) abseits vom AD geht.


Ich habe mir am Ende ein Script geschrieben, welches einen neuen Nutzer anlegt und gleich die richtige Richtlinie zuweist, so wie ich es brauche.