Effiziente zentrale Verwaltung wichtiger Systemeinstellungen

So ändern Sie Registry-Einstellungen über Gruppenrichtlinien

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit Group Policy Preferences lassen sich auf Windows-Rechnern Einstellungen über Gruppenrichtlinien steuern.
Mit Group Policy Preferences lassen sich auf Windows-Rechnern Einstellungen über Gruppenrichtlinien steuern. (Bild: Joos)

Viele Systemeinstellungen und Konfigurationen für Anwendungen erfordern Änderungen an der Windows-Registrierung. Müssen Administratoren solche Änderungen an mehreren Rechnern durchführen, bietet sich die Verwendung von Gruppenrichtlinien an.

Mit den Group Policy Preferences lassen sich auf Windows-Rechnern Einstellungen über Gruppenrichtlinien steuern. Die durchzuführenden Einstellungen legen Administratoren im Gruppenrichtlinien-Editor einer Gruppenrichtlinie über Einstellungen (Preferences) fest. Dazu erstellt man ein neues Gruppenrichtlinien-Objekt (GPO) oder bearbeitet eine bereits vorhandene Gruppenrichtlinie. Sinnvoll bei der Verwendung von Gruppenrichtlinien ist es, wenn spezielle Einstellungen in eigenständigen Richtlinien weitergegeben werden.

Systemeinstellungen mit Group Policy Preferences

Über Group Policy Preferences lassen sich Einstellungsvorschläge in Windows einbauen, die Anwender aber nicht zwingend übernehmen müssen. Das heißt, Administratoren geben bestimmte Einstellungen vor, die jedoch vom Anwender geändert werden können. Die Einstellungen setzt das Betriebssystem um, lässt aber Anwendern die Möglichkeit, Einstellungen selbst zu ändern.

Wenn Administratoren aber Registry-Änderungen vornehmen, werden diese in die lokale Registry des Rechners geschrieben. Solche Änderungen lassen sich nur dann rückgängig machen, wenn Anwender das Recht haben, die Registry.

Außerdem können Administratoren über Gruppenrichtlinien die Änderungen an der Registry auf lokalen Rechnern untersagen. Um Änderungen also effektiv umzusetzen, kann man bestimmte Einstellungen in der Registry über Group Policy Preferences verteilen und gleichzeitig erneute Änderungen an der Registry durch Anwender unterbinden. Wir zeigen nachfolgend wie beides geht.

Sperren der Registry für bestimmte Benutzer

Besteht die Gefahr, dass Benutzer versuchen, Änderungen an der Registry vorzunehmen, wäre es sinnvoll, lediglich dem Administrator Zugriff auf den Registrierungs-Editor zu gewähren. Zum Sperren des Editors führen Administratoren die folgenden Schritte aus:

  • Melden Sie sich am Computer mit dem Benutzerkonto des Benutzers an, für den der Zugriff gesperrt werden soll.
  • Öffnen Sie in der Registry den Pfad HKCU\Software\Microsoft\Windows\CurentVersion\Policies\System. Ist er nicht vorhanden, legen Sie ihn an.
  • Erstellen Sie einen neuen Wert vom Typ DWORD mit dem Namen DisableRegistryTools und setzen Sie für diesen den Wert 1.

Nachdem der Computer neu gestartet wurde, kann nur noch der Administrator den Registrierungs-Editor aufrufen.

Diese Einstellung lassen sich auch über Gruppenrichtlinien vornehmen. Administratoren finden die Einstellung „Zugriff auf Programme zum Bearbeiten der Registrierung verhindern“ entweder über die lokalen Richtlinien (gpedit.msc) oder in den Gruppenrichtlinien über den Pfad Benutzerkonfiguration/Administrative Vorlagen/System.

Group Policy Preferences nutzen

Um Group Policy Preferences zu nutzen, legen Administratoren ein neues Gruppenrichtlinien-Objekt an und öffnen den Editor. Nimmt man im Knoten „Einstellungen“ des Gruppenrichtlinien-Editors Einstellungen vor, verwendet der Editor die gleiche grafische Oberfläche, wie das entsprechende Verwaltungsprogramm auf dem Computer selbst, also zum Beispiel wie der Registry-Editor. Die Vorgehensweise ist folgende:

Administratoren wählen im Gruppenrichtlinieneditor entweder Computerkonfiguration oder Benutzerkonfiguration vor, abhängig davon wo die Registry-Änderung durchgeführt werden soll, klicken auf Einstellungen und navigieren zu Windows-Einstellungen\Registrierung. Danach wird mit der rechten Maustaste in den Ergebnisbereich geklickt und die Option Neu\Registrierungselement ausgewählt (siehe Abbildung 1).

Im neuen Fenster lassen sich jetzt vorhandene Einstellungen anpassen, aktualisieren, oder ein neuer Wert erstellen (siehe Abbildung 2). Diese Option dient also vor allem der Anpassung einzelner Werte. Administratoren können aber auch Sammlungen erstellen. Dabei handelt es sich um mehrere Werte, die in einer Ordnerhierarchie angeordnet werden können.

Um einen neuen Wert in der Registry zu erstellen wählen Administratoren „Registrierungselement“ aus. Über einen Browser kann der gewünschte Registry-Pfad bequem ausgewählt werden, ähnlich zum Registry-Editor auf dem lokalen Rechner. Wird als Option „Aktualisieren“ gewählt, setzt die Preference den Wert immer auf den festgelegten Wert zurück, auch wenn ein Benutzer diesen lokal ändert. Bei der Auswahl von „Ersetzen“ wird der lokale Pfad auf dem Rechner dagegen gelöscht und gegen den Wert in der Preference ersetzt. Das ist nicht immer zu empfehlen. Als Aktion lassen sich aber auch neue Werte erstellen oder Werte löschen (siehe Abbildung 3).

Über die Option „Neu\Registrierungs-Assistent“ können Administratoren Einstellungen von einem Quell-Rechner exportieren und auf die Ziel-Rechner importieren, denen die gewünschte Group Policy Preference zugeordnet wird. Auf den neuen Fenstern können Administratoren jetzt Einstellungen vorgeben, welche an die Computer übergeben werden sollen.

Über die Registerkarte „Gemeinsame Optionen“ einer neuen Preference können Administratoren darüber hinaus mit Filtern genau auswählen, auf welche Art von Rechnern die Richtlinie angewendet werden soll. Dieser Filter ist dann unabhängig von der tatsächlichen Gruppenrichtlinie. Das heißt die Gruppenrichtlinie wird auf eine bestimmte OU mit Computerkonten oder Benutzer angelegt, danach legt der Filter in den Preference noch fest, auf welcher Rechner in dieser OU die Registry-Einstellung angepasst wird (siehe Abbildung 4). Die Übernahme dieser Einstellungen funktioniert neben Windows 7/8/8.1 auch bei Windows Vista und teilweise noch bei Windows XP. Die Einstellungen sind alle selbsterklärend.

Wählen Administratoren auf der Registerkarte „Gemeinsame Optionen“ über die Schaltfläche „Zielgruppenadressierung“ die Filterung aus, auf deren Basis sie die Durchführung der Richtlinie starten wollen, stehen verschiedene Optionen zur Verfügung (siehe Abbildung 5). Anschließend muss die neue Richtlinie mit den Einstellungen noch mit der Domäne oder einer bestimmten Gruppe verknüpft werden. Die Vorgehensweise dazu entspricht der Vorgehensweise von normalen Richtlinien.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42503747 / Administration)