Registry-Schlüssel mit Group Policy Preferences erstellen und löschen

Jedoch lassen sich nicht alle Aspekte eines Windows-PCs auf diesem Weg verwalten. Dennoch besteht häufig die Möglichkeit, das Verhalten von Anwendungen oder des Betriebssystems durch Registry-Einträge zu modifizieren.

Diese Einstellungen kann man allerdings kaum gegen Änderungen durch den Benutzer schützen, solange er innerhalb der GUI die entsprechenden Funktionen vorfindet. Trotzdem ist es oft sinnvoll, bestimmte Registry-Schlüssel mit vernünftigen Vorgabewerten zu belegen.

Diese Aufgabe lässt mit Hilfe von verschiedenen Mitteln bewältigen. Eine Variante besteht darin, dass man den Registry-Schlüssel samt Wert, den er erhalten soll, in eine .reg-Datei packt und diese über ein Logon-Script ausführt. Auf diese Weise könnte man viele PCs zentral konfigurieren.

Eine alternative Option bestünde darin, dass man eine eigene .admx-Datei erstellt und auf deren Basis GPOs definiert. Den Aufwand dafür kann man reduzieren, indem man eine .reg-Datei mit einem Script zu einem ADMX-Template konvertiert.

Group Policy Preferences als eleganteste Lösung

Eine dritte und besonders interessante Variante besteht in der Verwendung von Group Policy Preferences (GPP). Sie bieten eine Wizard-geführte Konfiguration von Registry-Einträgen, so dass man sich die Prozedur für die Erstellung und Verteilung von .admx-Dateien ersparen kann.

Außerdem erlauben die GPP über das Item Level Targeting eine viel genauere Eingrenzung der Computer und User, auf die eine Einstellung angewandt werden soll.

Das Konfigurieren eines GPO, das Registry-Werte auf PCs in der Domäne verteilt, ist relativ einfach. Nach dem man es in der Gruppen­richt­linien­verwaltung angelegt hat, bearbeitet man es mit dem GPO-Editor. Dort findet sich sowohl unter Computer- als auch Benutzerkonfiguration im Zweig Einstellungen => Windows-Einstellungen der Eintrag Registrierung.

Registry-Schlüssel definieren

Wenn man im Kontextmenü des rechten Fensters das Submenü von Neu öffnet, dann finden sich dort die Optionen Registrierungselement, Sammlungselement und Registrierungs-Assistent. Der erste Befehl dient dazu, einen einzelnen Schlüssel inklusive Wert festzulegen, der im GPO-Editor dann direkt innerhalb des Registry-Knotens gespeichert wird.

Alternativ hat man die Möglichkeit, die Registry-Schlüssel in einer Ordnerhierarchie ("Sammlungen") zu organisieren. Diese sollen nur die Übersicht innerhalb des Editors verbessern und haben keinen Einfluss auf den Ort in der Registrierdatenbank, an dem der Schlüssel angelegt wird.

Nutzt man den Assistenten, dann legt dieser automatisch eine solche Baumstruktur an, wobei er genau die Gliederung der Registry übernimmt.

Wenn man nicht zu viele Einträge verwalten möchte, dann wird man den Befehl Neu => Registrierungselement ausführen.

Im folgenden Dialog wählt man den Registry-Hive (HKEY_Local_Machine, HKEY_Current_User, etc.) aus und legt danach den Schlüsselpfad fest. Zu diesem Zweck kann man sich im GPO-Editor durch die Hierarchie der Registry klicken und den gewünschten Ort auswählen.

Aktion und Filter festlegen

Wie generell bei den GPP muss man sich für eine Aktion entscheiden. Zur Auswahl stehen Aktualisieren (das ist der Vorgabewert), Ersetzen, Erstellen und Löschen. Die beiden Letzten tun, was man von ihnen erwartet, wobei Erstellen nur wirkt, wenn der entsprechende Schlüssel noch nicht vorhanden ist.

Aktualisieren ist eine interessante Option, wenn man eventuelle Änderungen durch die Benutzer regelmäßig wieder auf den Vorgabewert zurücksetzen möchte. Vorsicht ist hingegen bei der Aktion Ersetzen geboten, weil es einen Schlüssel inklusive aller Subschlüssel entfernt und an dieser Position dann nur die Werte aus dem GPO speichert.

Die Eingrenzung auf bestimmte Computer oder Benutzer erfolgt wie gewohnt über den Reiter Gemeinsame Optionen => Zielgruppen­adressierung.