Registry-Schlüssel mit Group Policy Preferences erstellen und löschen

Registry in Group Policy PreferencesViele Anwendungen und einige Windows-Komponenten unterstützen zwar keine zentrale Administration über GPOs, aber man kann sie trotzdem oft über Registry-Schlüssel konfigurieren. Group Policy Preferences eignen sich dazu, um solche Einträge in der Registrierungs­datenbank von vielen PCs zentral zu setzen oder zu entfernen.

GPOs auf Basis von administrativen Vorlagen verändern Registry-Einträge nach der Vorgabe von .adm- oder .admx-Dateien. Applikationen oder Windows-Features, für die solche Templates existieren, passen sich nicht nur automatisch an die Parameter in der Registrierdatenbank an, sondern hindern zusätzlich die Benutzer daran, die zentral verwaltete Konfiguration über die GUI zu modifizieren. Zu diesem Zweck werden dann Menü-Einträge ausgegraut oder Einstellungs­dialoge gesperrt.

Programme über Registry-Schlüssel zentral verwalten

Jedoch lassen sich nicht alle Aspekte eines Windows-PCs auf diesem Weg verwalten. Dennoch besteht häufig die Möglichkeit, das Verhalten von Anwendungen oder des Betriebssystems durch Registry-Einträge zu modifizieren. Diese Einstellungen kann man allerdings kaum gegen Änderungen durch den Benutzer schützen, solange er innerhalb der GUI die entsprechenden Funktionen vorfindet. Trotzdem ist es oft sinnvoll, bestimmte Registry-Schlüssel mit vernünftigen Vorgabewerten zu belegen.

Diese Aufgabe lässt mit Hilfe von verschiedenen Mitteln bewältigen. Eine Variante besteht darin, dass man den Registry-Schlüssel samt Wert, den er erhalten soll, in eine .reg-Datei packt und diese über ein Logon-Script ausführt. Auf diese Weise könnte man viele PCs zentral konfigurieren. Eine alternative Option bestünde darin, dass man eine eigene .admx-Datei erstellt und auf deren Basis GPOs definiert. Den Aufwand dafür kann man reduzieren, indem man eine .reg-Datei mit einem Script zu einem ADMX-Template konvertiert.

Group Policy Preferences als eleganteste Lösung

Eine dritte und besonders interessante Variante besteht in der Verwendung von Group Policy Preferences (GPP). Sie bieten eine Wizard-geführte Konfiguration von Registry-Einträgen, so dass man sich die Prozedur für die Erstellung und Verteilung von .admx-Dateien ersparen kann. Außerdem erlauben die GPP über das Item Level Targeting eine viel genauere Eingrenzung der Computer und User, auf die eine Einstellung angewandt werden soll.

Will man nur wenige Registry-Schlüssel konfigurieren, dann kann man auf Sammlungen und den Assistenten verzichten.

Das Konfigurieren eines GPO, das Registry-Werte auf PCs in der Domäne verteilt, ist relativ einfach. Nach dem man es in der Gruppen­richt­linien­verwaltung angelegt hat, bearbeitet man es mit dem GPO-Editor. Dort findet sich sowohl unter Computer- als auch Benutzerkonfiguration im Zweig Einstellungen => Windows-Einstellungen der Eintrag Registrierung.

Registry-Schlüssel definieren

Wenn man im Kontextmenü des rechten Fensters das Submenü von Neu öffnet, dann finden sich dort die Optionen Registrierungselement, Sammlungselement und Registrierungs-Assistent. Der erste Befehl dient dazu, einen einzelnen Schlüssel inklusive Wert festzulegen, der im GPO-Editor dann direkt innerhalb des Registry-Knotens gespeichert wird.

Alternativ hat man die Möglichkeit, die Registry-Schlüssel in einer Ordnerhierarchie ("Sammlungen") zu organisieren. Diese sollen nur die Übersicht innerhalb des Editors verbessern und haben keinen Einfluss auf den Ort in der Registrierdatenbank, an dem der Schlüssel angelegt wird. Nutzt man den Assistenten, dann legt dieser automatisch eine solche Baumstruktur an, wobei er genau die Gliederung der Registry übernimmt.

Der so genannte Registrierungselementbrowser erleichter das Auffinden des richtigen Contaners.

Wenn man nicht zu viele Einträge verwalten möchte, dann wird man den Befehl Neu => Registrierungselement ausführen. Im folgenden Dialog wählt man den Registry-Hive (HKEY_Local_Machine, HKEY_Current_User, etc.) aus und legt danach den Schlüsselpfad fest. Zu diesem Zweck kann man sich im GPO-Editor durch die Hierarchie der Registry klicken und den gewünschten Ort auswählen.

Aktion und Filter festlegen

Wie generell bei den GPP muss man sich für eine Aktion entscheiden. Zur Auswahl stehen Aktualisieren (das ist der Vorgabewert), Ersetzen, Erstellen und Löschen. Die beiden Letzten tun, was man von ihnen erwartet, wobei Erstellen nur wirkt, wenn der entsprechende Schlüssel noch nicht vorhanden ist.

Aktualisieren ist eine interessante Option, wenn man eventuelle Änderungen durch die Benutzer regelmäßig wieder auf den Vorgabewert zurücksetzen möchte. Vorsicht ist hingegen bei der Aktion Ersetzen geboten, weil es einen Schlüssel inklusive aller Subschlüssel entfernt und an dieser Position dann nur die Werte aus dem GPO speichert.

Die Eingrenzung auf bestimmte Computer oder Benutzer erfolgt wie gewohnt über den Reiter Gemeinsame Optionen => Zielgruppen­adressierung.

1 Kommentar

Bild von Thorsten Albrecht
Thorsten Albrecht (Besucher) sagt:

Danke für die ausführliche Beschreibung!

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen