Tags: Gruppenrichtlinien, Registry
Viele Anwendungen und einige Windows-Komponenten unterstützen zwar keine zentrale Administration über GPOs, aber man kann sie trotzdem oft über Registry-Schlüssel konfigurieren. Group Policy Preferences eignen sich dazu, um solche Einträge in der Registrierungsdatenbank von vielen PCs zentral zu setzen oder zu entfernen.
GPOs auf Basis von administrativen Vorlagen verändern Registry-Einträge nach der Vorgabe von .adm- oder .admx-Dateien. Applikationen oder Windows-Features, für die solche Templates existieren, passen nicht nur ihre Einstellungen an, sondern hindern zusätzlich die Benutzer, die zentral verwaltete Konfiguration über die GUI zu modifizieren. Zu diesem Zweck werden dann Menü-Einträge ausgegraut oder Einstellungsdialoge gesperrt.
Programme über Registry-Schlüssel zentral verwalten
Jedoch lassen sich nicht alle Aspekte eines Windows-PCs auf diesem Weg verwalten. Dennoch besteht häufig die Möglichkeit, das Verhalten von Anwendungen oder des Betriebssystems durch Registry-Einträge zu modifizieren.
Diese Einstellungen kann man allerdings kaum gegen Änderungen durch den Benutzer schützen, solange er innerhalb der GUI die entsprechenden Funktionen vorfindet. Trotzdem ist es oft sinnvoll, bestimmte Registry-Schlüssel mit vernünftigen Vorgabewerten zu belegen.
Diese Aufgabe lässt mit Hilfe von verschiedenen Mitteln bewältigen. Eine Variante besteht darin, dass man den Registry-Schlüssel samt Wert, den er erhalten soll, in eine .reg-Datei packt und diese über ein Logon-Script ausführt. Auf diese Weise könnte man viele PCs zentral konfigurieren.
Eine alternative Option bestünde darin, dass man eine eigene .admx-Datei erstellt und auf deren Basis GPOs definiert. Den Aufwand dafür kann man reduzieren, indem man eine .reg-Datei mit einem Script zu einem ADMX-Template konvertiert.
Group Policy Preferences als eleganteste Lösung
Eine dritte und besonders interessante Variante besteht in der Verwendung von Group Policy Preferences (GPP). Sie bieten eine Wizard-geführte Konfiguration von Registry-Einträgen, so dass man sich die Prozedur für die Erstellung und Verteilung von .admx-Dateien ersparen kann.
Außerdem erlauben die GPP über das Item Level Targeting eine viel genauere Eingrenzung der Computer und User, auf die eine Einstellung angewandt werden soll.
Das Konfigurieren eines GPO, das Registry-Werte auf PCs in der Domäne verteilt, ist relativ einfach. Nach dem man es in der Gruppenrichtlinienverwaltung angelegt hat, bearbeitet man es mit dem GPO-Editor. Dort findet sich sowohl unter Computer- als auch Benutzerkonfiguration im Zweig Einstellungen => Windows-Einstellungen der Eintrag Registrierung.
Registry-Schlüssel definieren
Wenn man im Kontextmenü des rechten Fensters das Submenü von Neu öffnet, dann finden sich dort die Optionen Registrierungselement, Sammlungselement und Registrierungs-Assistent. Der erste Befehl dient dazu, einen einzelnen Schlüssel inklusive Wert festzulegen, der im GPO-Editor dann direkt innerhalb des Registry-Knotens gespeichert wird.
Alternativ hat man die Möglichkeit, die Registry-Schlüssel in einer Ordnerhierarchie ("Sammlungen") zu organisieren. Diese sollen nur die Übersicht innerhalb des Editors verbessern und haben keinen Einfluss auf den Ort in der Registrierdatenbank, an dem der Schlüssel angelegt wird.
Nutzt man den Assistenten, dann legt dieser automatisch eine solche Baumstruktur an, wobei er genau die Gliederung der Registry übernimmt.
Wenn man nicht zu viele Einträge verwalten möchte, dann wird man den Befehl Neu => Registrierungselement ausführen.
Im folgenden Dialog wählt man den Registry-Hive (HKEY_Local_Machine, HKEY_Current_User, etc.) aus und legt danach den Schlüsselpfad fest. Zu diesem Zweck kann man sich im GPO-Editor durch die Hierarchie der Registry klicken und den gewünschten Ort auswählen.
Aktion und Filter festlegen
Wie generell bei den GPP muss man sich für eine Aktion entscheiden. Zur Auswahl stehen Aktualisieren (das ist der Vorgabewert), Ersetzen, Erstellen und Löschen. Die beiden Letzten tun, was man von ihnen erwartet, wobei Erstellen nur wirkt, wenn der entsprechende Schlüssel noch nicht vorhanden ist.
Aktualisieren ist eine interessante Option, wenn man eventuelle Änderungen durch die Benutzer regelmäßig wieder auf den Vorgabewert zurücksetzen möchte. Vorsicht ist hingegen bei der Aktion Ersetzen geboten, weil es einen Schlüssel inklusive aller Subschlüssel entfernt und an dieser Position dann nur die Werte aus dem GPO speichert.
Die Eingrenzung auf bestimmte Computer oder Benutzer erfolgt wie gewohnt über den Reiter Gemeinsame Optionen => Zielgruppenadressierung.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Registry-Auditing: Änderungen in der Registrierdatenbank überwachen
- Einstellungen für Remotedesktop über lokale Richtlinien oder Registry konfigurieren
- PDF-Dokumente mit Windows Desktop Search durchsuchen
- Geänderte GPO-Einstellungen von Windows 10 bearbeiten: Central Store deaktivieren
- Eingabeaufforderung: Schriftgröße und QuickEdit über GPO ändern
Weitere Links
4 Kommentare
Danke für die ausführliche Beschreibung!
Falls ich einen Registry Eintrag in Classes_root über das GPP ändern möchte übernimmt er das nicht, gibst da einen Trick mit dem das funktionieren würde?
HKEY_CLASSES_ROOT ist ein dynamischer Wert aus zwei Bereichen:
1) HKEY_LOCAL_MACHINE\Software\Classes
2) HKEY_CURRENT_USER\Software\Classes
(Mehr dazu: https://learn.microsoft.com/de-de/windows/win32/sysinfo/hkey-classes-roo...)
Falls du maschinenseitig was anpassen möchtest, ändere den Wert im HKLM und wenn du userseitig was anpassen möchtest, mache es im HKCU.
PS: Wenn du mehrere User (z. B: User1 und User2) hast und den Wert nur für den User1 im HKCU geändert hast, bekommt der User2 diese Änderung natürlich nicht mit.
Weiss jemand wie ich via regostry schlüssel ein Programm also exe file oder script .bat das diese Programm starte vor windows 10 Anmeldung ausführen kann alle anderen möglichkeiten funktionieren nicht so auch nicht aufgabenplanung oder in Dienste einbinden oder gpo variante!