Hallo allseits,
haut mich tot, aber nachdem ich seit Jahren ein domänenverwöhnter Gruppenrichtlinienklicker geworden bin, fällt mir nicht mehr ein, wie es war, als es Domänen und Gruppenrichtlinien nicht gab.
Das Problem: ich soll einige 100 Computer automatisch konfigurieren. Die Anforderungen listen Kraut und Rüben einen Haufen Firlefanz auf, der irgendeinem Desktop-Designer (den Beruf gibt es wohl neuerdings) eingefallen ist. Technisch gesehen läuft es darauf hinaus, unter HKLM und HKCU einen Haufen Einträge zu machen, und außerdem zu verhindern, dass der Benutzer daran herumpfuscht --> unter HKLM kann er das idR sowieso nicht, unter HKCU soll er nur noch „Read“ Rechte auf die entsprechenden Reg Keys bekommen, sofern sie nicht sowieso per Default so gesetzt sind, soll ich sie „einfach umsetzen“.
Klingt beherrschbar, aber der Teufel steckt wie immer bei Microsoft bereits 0,2 Millimeter hinter der bunten Fassade.
* die Clients dürfen aus Gründen, über die ich nicht diskutieren kann, nicht Mitglieder einer Domäne sein.
* Neue Benutzerprofile sollen die Einträge bekommen, und es müssen auch bereits existierende Benutzerprofile nachkorrigiert werden.
Ich habe mal angerufen und den Herrn „Desktop-Designer“ interviewt, wie er sich das denn *rein technisch* vorgestellt hat. Überraschender Weise meinte der, das sei doch alles kein Problem. Der gute Mann stellt sich das so vor, dass ein (mir umbekannter) Mechanismus beim Start der Maschine und beim Login eines Benutzers eine Datenbank liest, und darin sollen dann diese Einträge stehen, und die soll dieser unbekannte Mechanismus mit Systemberechtigung in das Maschinen- und Benutzerprofil schreiben. Erinnert an Gruppenrichtlinien. Ich habe 3 mal nachgefragt, er behauptet stur und steif, das ginge *wenn man es kann* auch ohne Domäne, weil die entsprechenden Mechanismen in jeder Windows maschine sowieso vorhanden wären.
Er ist also kein Träumer mit Halbwissen, sondern ich kann das nicht. Das trifft mich tief. Ich habe trotzdem so viele Details wie möglich aus dem Herrn herausgekitzelt.
Angeblich ist das gesuchte Dienstchen die Basis der der lokalen Sicherheitsrichtline, greift auf eine Datei namens c:\windows\security\secedit.sdb zu, und mach das netter Weise bei jedem Start und bei jedem User-Login, und das auch bei nicht-Domänenmitgliedern.
Ich halte das für vollkommenen Humbug, konnte aber bei Microsoft (wie üblich) zur oben genannten Datei, die zweifellos existiert, nur ein paar dubiose Fetzen Halbinformation finden. Sie kann von Zeit zu Zeit wohl kaputt gehen, und dann muss man sie über irgendeinen Voodoo wieder flicken. Was sie genau macht, und ob das was sie macht wirklich das ist was sich der Mensch da vorstellt, bleibt im Dunkeln.
Betriebssysteme: Windows 2003 Server R2, Windows XP SP-2+
Wer weiß was?
Armin.
