Aangezien u groepsbeleid kunt gebruiken om veel instellingen van het client-besturingssysteem en de applicaties die op de client draaien vanaf een centrale locatie te regelen, is het zinvol om zelf groepsbeleidbestanden te maken voor alle register-database-items als er geen ADM-bestanden of geschikt groepsbeleid van de fabrikant is.
Deel 1 – Inleiding tot groepsbeleid
Deel 2 – Gebruik van Windows XP groepsbeleid
Deel 4 – Microsoft Office op het netwerk
| Deze reeks artikelen is een uittreksel uit “Integrationshandbuch Microsoft-Netzwerk” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld. |
Inhoudsopgave
Sjabloonbestanden aanmaken met de “Registry System Wizard” tool
U kunt de ADM-sjablonen die u zelf in dit artikel hebt gemaakt hier downloaden.
Alleen de takken HKEY_CURRENT_USER en HKEY_LOCAL_MACHINE van de registerdatabase kunnen worden gewijzigd via groepsbeleid, maar niet vermeldingen in de takken HKEY_CLASSES_ROOT, HKEY_USERS of HKEY_CURRENT_CONFIG. Deze hoofdtakken van de registerdatabase worden in Microsoft-jargon “hives” genoemd.
Het maken van uw eigen ADM-bestand is niet zo ingewikkeld als u misschien denkt. Een hulpmiddel zoals de Registry System Wizard, die je op de DVD van het boek vindt, kan hierbij bijzonder nuttig zijn. Na het starten van de RegistrySystem Wizard selecteert u via een tabblad het Windows XP of Windows 2000 besturingssysteem waarvoor u wijzigingen in de registerdatabase wilt aanbrengen. Vervolgens worden, gesorteerd op categorie, alle mogelijke tips opgesomd waarmee u de registerdatabase naar wens kunt wijzigen.
 |
|
Wizard registersysteem |
Als u bijvoorbeeld wilt weten welke wijziging in de registerdatabase moet worden aangebracht om vervolgens een muis met een wiel te activeren, gaat u naar de categorie Muis/toetsenbord en vindt u daar de betreffende tip en, na een druk op de knop KeyInfo, de te wijzigen registerwaarde.
 |
|
Register Systeem Wizard |
U kunt nu de “Registry System Wizard” installeren op een computer met Windows XP Professional en vervolgens zoeken naar interessante instellingsmogelijkheden waarvoor de door Microsoft geleverde Windows XP group policy files geen richtlijnen bieden.
Als u in de “Registry System Wizard” het menu-item Tips oproept, zult u merken dat u een REG-bestand of een ADM-bestand kunt aanmaken en vervolgens verdere instellingen aan het aangemaakte bestand kunt toevoegen via de opdrachten Add Tip to REG File List of Add Tip to ADM File List. Het menuonderdeel ADM-bestand maken van de huidige tip of het menuonderdeel Tip toevoegen aan ADM-bestandslijst is echter niet voor alle tips beschikbaar. Een reden hiervoor is dat alleen de takken HKEY_LOCAL_MACHINE en HKEY_CURRENT_USER kunnen worden gemanipuleerd met een beleidsbestand (*.adm-bestand), maar niet de andere drie takken HKEY_CLASSES_ROOT, HKEY_USERS en HKEY_CURRENT_CONFIG.
Zodra u echter uw eigen ADM-bestand met de tool hebt gemaakt, kunt u dit ASCII-bestand met elke willekeurige editor openen, terwijl de originele ADM-bestanden alleen kunnen worden geopend en bewerkt met speciale editors zoals Notepad. Bovendien hebben deze bestanden een gemakkelijk te begrijpen formaat. Als u regelmatig “bladert” door computertijdschriften, nieuwsbrieven en de Knowledge Base-artikelen van Microsoft, zult u snel meer tips oppikken over het besturingssysteem Windows XP, Microsoft Office of andere toepassingen die de registerwaarden in de takken HKEY_LOCAL_MACHINE of HKEY_CURRENT_USER beïnvloeden. Zodra u met de “Registry System Wizard” uw eigen ADM-bestand hebt gemaakt en de eenvoudige structuur ervan hebt begrepen, kunt u gemakkelijk de gewenste registersleutels aan uw eigen ADM-bestand toevoegen. Hierdoor kunt u al deze wijzigingen centraal beheren via de Active Directory. U zult snel een expert worden in het maken van uw eigen group policy bestanden.
De structuur van sjabloonbestanden voor groepsbeleid
Een zeer eenvoudig group policy-bestand dat slechts twee policies bevat om de APIPA-functie onder HKEY_LOCAL_MACHINE en de Persistent Connections key onder HKEY_CURRENT_USER in of uit te schakelen, ziet er bijvoorbeeld als volgt uit:
KLASSE MACHINE
CATEGORIE "APIPA-functie voor DHCP uitschakelen".
TOETSNAAM "System\CurrentControlSet\Services\TCPIP".
POLICY "IpAutoConfigurationEnabled".
VALUENAME "IpAutoConfigurationEnabled".
ValueON NUMERIC "0"
ValueOff NUMERIC "1"
Deel "Als er geen DHCP-server beschikbaar is wanneer een Windows XP
-client wordt gestart, "Tekst Einde Deel
Deel "de client ... beschrijvende tekst "Tekst Einde Deel
EINDE BELEID
EINDE CATEGORIE
KLASSE GEBRUIKER
CATEGORIE "Netwerkverbindingen niet opslaan tussen sessies
sessies"
TOETSENNAME "Software
Netwerkverbindingen".
BELEID "Verbindingen opslaan"
VALUENAME "SaveConnections"
WaardeON "YES"
ValueOFF "NO
Part "Standaard is deze functie geactiveerd.
Dit betekent ... beschrijvende tekst "Tekst Einde Deel
EINDE BELEID
EINDE CATEGORIE
Het schema van een ADM-bestand ziet er dus als volgt uit: Een ADM-bestand bestaat uit de twee categorieën CLASS MACHINE en/of CLASS USER. Alle policies onder CLASS MACHINE verschijnen later onder Computer Configuration – Administrative Templates en leiden tot wijzigingen in de HKEY_LOCAL_MACHINE tak van de registerdatabase.
 |
|
Groepsbeleid |
Alle beleidsregels onder CLASS USER verschijnen later onder User Configuration – Administrative Templates en leiden tot wijzigingen in de HKEY_CURRENT_USER tak van het register.
De categorieën CLASS MACHINE en CLASS USER kunnen nu worden onderverdeeld in subcategorieën met behulp van de uitdrukking CATEGORY Category name … END CATEGORY.
Vervolgens komt de KEYNAME, die de sleutel in het register specificeert waar de daaropvolgende VALUENAMES zich bevinden. Dit wordt gevolgd door een of meer beleidsregels, elk met een VALUENAME.
Elk beleid wordt ingeleid door het sleutelwoord POLICY en beëindigd door END POLICY. Beleidsregels kunnen een beschrijvende tekst krijgen. Elke regel beschrijvende tekst begint met Part en eindigt met Text End Part. De beschrijvende tekst kan echter ook worden samengevat in een aparte sectie genaamd [Strings] helemaal aan het einde van het ADM-bestand. Deze optie wordt hieronder beschreven. Twee adm-voorbeeldbestanden genaamd WindowsExplorer.adm en ExchangeProvider.adm zijn te vinden op de DVD van het boek.
Het schema ziet er dus als volgt uit:
KLASSE MACHINE CATEGORIE "eerste categorie voor HKEY_LOCAL_MACHINE". KEYNAME "registerpad POLICY "Beschrijving van het eerste beleid VALUENAME "Naam van de waarde". ValueON NUMERIC "0" ValueOff NUMERIC "1" Deel "beschrijvende tekst "Tekst Einde Deel Deel "verdeeld over verschillende regels "Tekst Einde Deel EINDE BELEID EINDE CATEGORIE CATEGORIE "tweede categorie voor HKEY_LOCAL_MACHINE". KEYNAME "Registerpad POLICY "Beschrijving van het beleid VALUENAME "Naam van de waarde ValueON NUMERIC "0" ValueOff NUMERIC "1" Deel "beschrijvende tekst "Tekst Einde Deel Deel "verdeeld over meerdere regels "Tekst Einde Deel EINDE BELEID EINDE CATEGORIE KLASSE GEBRUIKER CATEGORIE "eerste categorie voor HKEY_CURRENT_USER KEYNAME "Registerpad". POLICY "Beschrijving van het beleid VALUENAME "Naam van de waarde ValueON NUMERIC "0" ValueOff NUMERIC "1" Deel "beschrijvende tekst "Tekst Einde Deel Deel "verdeeld over meerdere regels "Tekst Einde Deel EINDE BELEID POLICY "Beschrijving van het volgende beleid VALUENAME "Naam van de waarde". ValueON NUMERIC "0 ValueOff NUMERIC "1" Deel "beschrijvende tekst "Tekst Einde Deel Deel "verdeeld over verschillende regels "Tekst Einde Deel EINDE BELEID EINDE CATEGORIE
Mogelijke waardetypes voor ValueName kunnen zijn:
REG_DWORD waarden, dat zijn binaire waarden met getallen als 0, 1, 2. Een voorbeeld:
CLASS MACHINE
CATEGORIE "Waarschuwingsbericht wanneer harde schijf vol is".
KEYNAME "System\CurrentControlSet\LanmanServer\Parameters".
POLICY "Waarde: DiskSpaceThreshold".
DEEL "in procenten" Numeriek Vereist
Min 0 Max 99
ValueName "DiskSpaceThreshold" Default "10
Standaard "10
EINDE DEEL
EINDE BELEID
EINDE CATEGORIE
CATEGORIE "APIPA-functie voor DHCP uitschakelen".
KEYNAME "System\CurrentControlSet\Services\TCPIP".
POLICY "IpAutoConfigurationEnabled".
VALUENAME "IpAutoConfigurationEnabled".
ValueON NUMERIC "0"
ValueOff NUMERIC "1
EINDE BELEID
EINDE CATEGORIE
REG_SZ waarden, dit zijn stringwaarden zoals C:\Programs. Voorbeeld:
KLASSE MACHINE CATEGORIE "Standaard installatiepad voor toepassingen wijzigen". TOETSENNAME "Software\MicrosoftWindowsCurrentVersion". BELEID "ProgramFilesDir". ValueON "" ValueOff "" PART "Path:" EDITTEXT VALUENAME "ProgramFilesDir". DEFAULT "C:\Program Files". EINDE DEEL EINDE BELEID EINDE CATEGORIE
REG_EXPAND_SZ waarden, dat zijn waarden die worden opgelost met behulp van variabele inhoud tijdens runtime. Een voorbeeld:
KLASSE MACHINE CATEGORIE "Standaard installatiepad wijzigen". KEYNAME "Software\MicrosoftWindowsCurrentVersion". POLICY "ProgramFilesPath". Deel "Pad:" EDITTEXT VALUENAME "ProgramFilesPath". DEFAULT "%ProgramFiles%". VERPLICHT #if VERSIE >= 2 EXPANDABLETEXT #endif EINDE DEEL EINDE BELEID EINDE CATEGORIE
REG_EXPAND_SZ waarden werden niet ondersteund tot Windows 2000. Daarom vindt u in bovenstaand voorbeeld de query #if VERSION >= 2 EXPANDABLETEXT #endif. De specificatie van een DEFAULT-waarde, zoals u die in bovenstaande voorbeelden aantreft, is niet verplicht.
U kunt echter ook een ander formaat gebruiken waarbij de beschrijvende teksten worden samengevat in een aparte sectie [strings] aan het eind van het sjabloonbestand in plaats van rechtstreeks in de bijbehorende beleidssectie. In dit geval wordt naar de beleidsnaam(POLICY !!) verwezen door twee inleidende aanhalingstekens, evenals naar de beschrijvende tekst (EXPLAIN !!). Zowel de eigenlijke beleidsnaam als de beschrijvende tekst staan dan in de sectie [Strings]. In de beschrijvende tekst kunnen regeleinden worden aangegeven met \n (één regeleinde) of \n (twee regeleinden).
Een uittreksel van het bestand WindowsExplorer.adm op de DVD van het boek illustreert deze opmaak:
KLASSE GEBRUIKER
CATEGORIE "Microsoft Explorer
CATEGORIE "Beeld
POLICY !!viewoptionsforallfolderstores
KEYNAME "Software.
. huidige versie van de verkenner".
EXPLAIN !ViewOptionsforallFolderStores_Explain
VALUENAME "ClassicViewState".
VALUEON NUMERIEK 1
VALUEOFF NUMERIEK 0
EINDE BELEID
BELEID !Weergave van bestandsextensies
KEYNAME "Software.
Huidige versie.
EXPLAIN !!fileextension_displays_Explain
VALUENAME "HideFileExt".
VALUEON NUMERIEK 0
VALUEOFF NUMERIEK 1
EINDE BELEID
POLICY !!hideprotectystemfiles
TOETSENNAME "Software.
Huidige versie.
EXPLAIN !!!hide_protected_system_files
VALUENAME "ShowSuperHidden".
VALUEON NUMERIEK 0
VALUEOFF NUMERIEK 1
EINDE BELEID
EINDE CATEGORIE ; "Weergave
EINDE CATEGORIE ; "Microsoft Explorer"
[strings]
ViewOptionsfuerallFolderStore="Pas set .view options toe op alle mappen".
.view options voor alle mappen".
ViewOptionsfuerallFolderStore_Explain="Wanneer deze instelling
instelling is geactiveerd, worden instellingen die gemaakt zijn in een map
map worden toegepast op alle mappen.
Het is zinvol om dit te activeren.
\Wanneerdeze instelling is uitgeschakeld, worden de instellingen niet voor elke map opgeslagen, maar alleen voor de huidige map."
File extension display="Geef bestandsextensie ook weer voor
bekende bestandstypen"
File extension show_explain="Als deze instelling is geactiveerd
geactiveerd is, worden alle bestandsextensies van de bestanden weergegeven.
Extensies zoals doc, xls, exe en com worden ook weer weergegeven.
Het is zinvol dit beleid te activeren.
\Als deze instelling isuitgeschakeld, worden bestandsextensies voor bekende bestandstypen verborgen.
worden verborgen."
Merk op dat het einde van een categorie wordt aangegeven door de uitdrukking END CATEGORY. Als een ADM-bestand veel categorieën bevat en deze ook nog eens in elkaar genest zijn, moet de EINDE CATEGORIE-uitdrukking worden aangevuld met commentaartekst voorafgegaan door een puntkomma (bijv. EINDE CATEGORIE ; naam van categorie). Als de naam van een categorie uit meerdere woorden bestaat, moet hij tussen aanhalingstekens staan.
De door Microsoft geleverde ADM-bestanden hebben verschillende formaten. De Microsoft Office ADM-bestanden, die niet tot de levering van de Office-versie behoren, maar in de map C:\WindowsInf terechtkomen na installatie van de bijbehorende Office Resource Kit, kunnen met elke editor worden geopend. Hun formaat is hetzelfde als dat wat je ziet wanneer je je eigen ADM-bestand maakt met de “Registry System Wizard”. Helaas bevatten de Microsoft Office ADM-bestanden geen verklarende teksten voor de afzonderlijke beleidsregels, zodat je vaak alleen maar kunt raden wat ze doen.
In de ADM-bestanden met Windows 2000 of Windows XP staan de teksten met uitleg over de afzonderlijke beleidsregels helemaal aan het einde van het ADM-bestand in een speciale sectie genaamd [Strings].
Belangrijke opmerking: Breng geen wijzigingen aan in de originele ADM-bestanden van Microsoft. Als er ooit een nieuw servicepack wordt uitgebracht, kan dit ook nieuwe ADM-bestanden bevatten. Wanneer u het servicepack installeert, kunnen de door u aangebrachte wijzigingen weer verloren gaan, of moet u de wijzigingen moeizaam integreren in de nieuwe ADM-bestanden van het servicepack om de verbeteringen van de nieuwe ADM-bestanden te kunnen gebruiken en tegelijkertijd uw aanpassingen niet te verliezen.
Maak in plaats daarvan uw eigen ADM-bestanden met betekenisvolle namen. Test uw eigen ADM-bestanden zorgvuldig in een testdomein. Kopieer deze bestanden naar een van de domeincontrollers in de map %SystemRoot%\inf en upload de ADM-bestanden die u zelf hebt gemaakt.
Als u wilt weten welke registersleutel een beleid van een van de sjabloonbestanden die Microsoft bij de besturingssysteemwijzigingen levert, is, noteer dan de naam van het beleid of de beschrijvende tekst, open het bijbehorende ADM-bestand met Notepad.exe en zoek naar de naam of de beschrijvende tekst van het beleid. U vindt het dan ergens in de sectie [Strings]. Ga naar het begin van de regel waar het gevonden is en noteer de waarde voor het gelijkheidsteken. Zoek dan in het ADM-bestand, beginnend bij het begin, naar deze genoteerde waarde. U zult een regel vinden die begint met POLICY !!genoteerde waarde, en direct daaronder de KEYNAME en VALUENAME. Nu hoef je alleen nog maar te controleren of deze KEYNAME onder CLASS MACHINE of CLASS USER staat om te weten of de waarde in het register te vinden is in de tak HKEY_LOCAL_MACHINE of HKEY_CURRENT_USER.
Gebruik het zelfgemaakte groepsbeleidbestand “WindowsXP-HLM
Op de bij het boek gevoegde DVD staan twee ADM-bestanden genaamd WindowsXP-HLM.ADM en WindowsXP-HCU.ADM, waarmee nog meer interessante instellingen in het Windows XP-register kunnen worden gemaakt.
Het groepsbeleidbestand WindowsXP-HLM.ADM brengt alleen wijzigingen aan in de HKEY_LOCAL_MACHINE-tak van het register. Daarom zijn in de bestandsnaam de drie letters HLM gebruikt. U kunt dit sjabloonbestand toepassen op de organisatie-eenheid Computer.
Het groepsbeleidbestand WindowsXP-HCU.ADM brengt alleen wijzigingen aan in de HKEY_CURRENT_USER-tak van het register. Daarom zijn in de bestandsnaam de drie letters HCU gebruikt. U kunt dit sjabloonbestand toepassen op de organisatie-eenheid Gebruikers.
Kopieer de twee bestanden naar de map C:\Windowsinf van de domeincontroller. Open vervolgens in de organisatie-eenheid Computers Group Policy XP Default Computers, klik met de rechtermuisknop op Administrative Templates in de categorie Computerconfiguratie en selecteer Add/Remove Templates, en klik in het venster Add/Remove Templates nogmaals op Add. Voeg de sjabloon WindowsXP-HLM toe.
U zou nu een nieuwe categorie moeten zien met de naam Custom Windows XP Policies voor Hive HKEY_LOCAL_MACHINE. De hoofdtakken van het register hebben in Microsoft-jargon de naam “Hives”.
Als u in Windows Server 2003 de muis op Administratieve sjablonen zet en vervolgens onder Beeld – Filteren de optie Alleen volledig beheerbare beleidsinstellingen weergeven niet uitvinkt, ziet u de afzonderlijke beleidsregels niet en kunt u ze niet instellen! Onder Windows 2000 Server moet u de optie Toon alleen beleid direct onder Beeld uitschakelen.
 |
|
Filter |
Belangrijke opmerking: Als de muisaanwijzer boven Administratieve sjablonen staat, ziet u niet de optie Filteren… onder Beeld, maar DC Opties. Plaats de muis op Administratieve sjablonen voordat u het menu-item Beeld selecteert.
Echt en onecht groepsbeleid
Er zijn twee soorten beleid, we noemen ze echt en onecht beleid: Bij echt beleid worden wijzigingen aangebracht in een van de volgende registersleutels:
HKEY_LOCAL_MACHINE\SOFTWAREPolicies HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows . huidige versie beleidsregels HKEY_CURRENT_USER SOFTWARE-policies HKEY_CURRENT_USER\SOFTWAREMicrosoftWindows Huidige versie
De gebruiker heeft geen recht om subsleutels en waarden van deze echte beleidsregels te wijzigen en kan deze instellingen dus niet manipuleren. Als u echter zelf bijvoorbeeld een ADM-bestand aanmaakt, kunt u met deze ADM-bestanden ook alle andere sleutels en waarden in de takken HKEY_LOCAL_MACHINE en HKEY_CURRENT_USER beheren, d.w.z. waarden die niet onder de bovengenoemde sleutels staan. De gebruiker heeft echter het recht om waarden te wijzigen die ergens in de HKEY_CURRENT_USER-sleutel liggen, behalve de bovengenoemde sleutels. Bijgevolg kan een gebruiker deze waarden ten minste tijdens een sessie opnieuw wijzigen. Echter, uiterlijk bij de volgende aanmelding zou het ingestelde niet-oorspronkelijke beleid van het ADM-bestand dat u hebt gemaakt weer van kracht worden.
Als u echter een groepsbeleid wilt bewerken via de Active Directory Users and Computers snap-in en een ADM-bestand met nepbeleid hebt geladen, krijgt u het nepbeleid standaard niet te zien.
 |
|
Eigen groepsbeleid niet zichtbaar |
De oorzaak: Onder Beeld – Filteren is de optie Alleen volledig beheerbare beleidsinstellingen weergeven standaard ingeschakeld. Plaats de muis boven Administrative Templates voordat u het menu-item View selecteert. Als de muis erboven staat, ziet u onder Beeld niet de optie Filteren…, maar DC Opties! Pas als u de optie Toon alleen volledig beheerbare beleidsinstellingen deactiveert, ziet u ook de nepbeleidsregels. Onder Windows 2000 Server moet je de optie Toon alleen beleid direct onder Beeld deactiveren.
 |
|
Eigen beleid is nu toch zichtbaar |
Het bijgevoegde groepsbeleidbestand WindowsXP-HLM.ADM maakt het mogelijk de volgende beleidsregels in te stellen:
APIPA-functie voor DHCP-werking uitschakelen
Als u via een DHCP-server dynamisch IP-adressen aan clients toewijst, de DHCP-server uitvalt en er geen vervangende DHCP-server beschikbaar is, moet de client het toegewezen DHCP-adres daadwerkelijk behouden gedurende de geldigheidsperiode van de lease. Als bijvoorbeeld in de opties van de DHCP-server een geldigheidsperiode van 30 dagen is ingevoerd en aan de client 10 dagen geleden voor het laatst een nieuw IP-adres is toegewezen, is dit IP-adres nog 20 dagen geldig.
Een Windows 2000 Professional-computer zal ook geen problemen veroorzaken bij het opstarten als de enige DHCP-server om een of andere reden momenteel niet beschikbaar is. Windows XP-cliënten zullen echter een toegewezen DHCP-adres vergeten als de registersleutel IpAutoConfigurationEnabled onder HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIPParameters niet in 0 wordt veranderd.
Dit gedrag is het gevolg van de nieuwe APIPA-functie ( Automatic Private IP Addressing ) die automatisch een IP-adres uit het bereik 169.254.0.1 tot 169.254.255.254 en een subnetmasker van 255.255.0.0 toewijst wanneer het TCP/IP-protocol is geconfigureerd voor dynamische adressering en er geen DHCP-server beschikbaar is.
U kunt dit gedrag eenvoudig testen door de netwerkkabel bij de Windows XP-client los te koppelen en vervolgens in te loggen met het profiel in de cache. Open de opdrachtprompt en voer het commando ipconfig /all in. U krijgt een foutmelding, althans niet als IP-adres het laatst door de DHCP-server toegewezen adres. Zodra u echter de waarde van IpAutoConfigurationEnabled van 1 naar 0 hebt gewijzigd en de netwerkkabel weer hebt aangesloten, kunt u het commando ipconfig /renew en vervolgens ipconfig /all invoeren of de computer opnieuw opstarten en inloggen. De client krijgt een nieuw IP-adres van de DHCP-server. Als u nu uitlogt, de netwerkkabel weer loskoppelt en vervolgens weer inlogt en het commando ipconfig /all opnieuw invoert, zult u merken dat de computer nog steeds het door de DHCP-server toegewezen IP-adres heeft.
Aanmeldingsopties onder Windows tonen/verbergen
Als u deze functie activeert, worden de uitgebreide aanmeldingsopties direct bij het opstarten van de computer weergegeven en hoeft u niet eerst op de knop Opties te drukken. Dit is vooral handig als u regelmatig op verschillende domeinen moet inloggen.
De functie Ctrl+Alt+Delete voor het aanmelden uitschakelen
Als u deze functie activeert, hoeven gebruikers niet langer de toetsencombinatie[Ctrl]+[Alt]+[Delete] in te drukken om zich aan te melden. Dit is echter ook een klein beveiligingslek, want deze toetsencombinatie zorgt ervoor dat een hacker die mogelijk nog in het systeem zit, de verbinding verliest.
Pad naar de installatiebestanden en pad naar de installatiebestanden van de toepassing
Als er onder Windows XP of Windows 2000 onderdelen opnieuw moeten worden geïnstalleerd, zoekt het besturingssysteem in de paden die onder de volgende sleutelwaarden zijn opgegeven:
Software: Bronpad Software voor Windows: Bronpad Software voor Windows: Installatie bronnen Software: Installatiebronnen: ServicePackBronnenPad
Afhankelijk of het besturingssysteem vanaf een CD of vanaf een RIS-server is geïnstalleerd, bevatten deze sleutels dan inhoud zoals E:, E:\386 of \S1\RemInst\Setup\Duitsland\IMAGES\WindowsXP. U moet echter in staat zijn om deze padinvoeren aan te passen indien nodig. In het hoofdstuk “Het aanmeldingsscript” (in het boek) vindt u de paragraaf “Software installeren vanuit een centraal softwarearchief”, waarin wordt uitgelegd waarom een softwarearchief op minstens één server van elke locatie moet worden aangemaakt of tussen deze verschillende servers moet worden gesynchroniseerd en telkens moet worden vrijgegeven, bijv. onder de naam Installeren. Als ook via het aanmeldingsscript wordt verzekerd dat steeds dezelfde netwerkschijf wordt verbonden met het softwarearchief van de server op de betreffende locatie (bijv. door het commando net use u: \\ serverA1 op locatie A en door het commando net use u : \ServerB1 op locatie B), kunt u de twee richtlijnen Pad naar installatiebestanden en Pad naar toepassingsinstallatiebestanden gebruiken om de registerwaarden om te schakelen naar u:\WindowsXP. Op voorwaarde dat op elk van deze software archief servers een administratieve installatie van Windows XP met geïntegreerd service pack in de WindowsXP directory onder de Install share staat. Op die manier worden de te herinstalleren driverbestanden altijd gevonden en hoeft u niet meer naar de computers met de installatie-cd’s te lopen. Dit is vooral belangrijk als de computers geen ingebouwde CD-stations hebben.
Als u het besturingssysteem Windows 2000 of Windows XP vanaf een RIS-server hebt geïnstalleerd, hebben deze registerwaarden een pad als \S1\RemInst\Setup\WindowsXP. Na de installatie van de standaardtoepassingen wordt later een complete image getrokken en op de RIS-server geplaatst. Als deze server S1 heet en zich op locatie A bevindt, maar een computer met deze complete image later op locatie B staat, loopt u tegen het volgende probleem aan. Zelfs als u ook op locatie B een RIS-server instelt, zal de computer, wanneer hij probeert een onderdeel van het besturingssysteem of een onderdeel van Microsoft Office opnieuw te installeren, zoeken naar de oorspronkelijke bron en vervolgens waarschijnlijk via de trage WAN-verbinding verbinding maken en de vereiste stuurprogramma’s downloaden van de server waarop Windows XP of Microsoft Office oorspronkelijk was geïnstalleerd. Als u echter voor alle installaties altijd een subdirectory van de vaste stationstoewijzing u: gebruikt en bijgevolg alle stuurprogramma’s bij een volgende installatie onder u:\WindowsXP, u:\OfficeXP (of u:\Office2003) enz. worden gezocht, zorgt dit ervoor dat altijd contact wordt opgenomen met de software-archiefserver ter plaatse en niet met de server die oorspronkelijk bij de eerste installatie als bron werd gebruikt.
Standaard installatiepaden wijzigen
In het bestand WindowsXP-HLM.adm zijn nog drie richtlijnen te vinden, die u waarschijnlijk niet nodig zult hebben. Toch is het interessant om te weten waar in het register is vastgelegd dat de directory C:\Programs altijd wordt voorgesteld voor de installatie van verdere toepassingen en de directory C:\ProgramsShared Files voor gedeelde componenten.
Onder HKEY_LOCAL_MACHINE\MicrosoftWindowsCurrentVersion staan de sleutels ProgramFilesDir met de standaardwaarde C:\Programs, ProgramFilesPath met de standaardwaarde %ProgramFiles% en CommonFilesDir met de standaardwaarde C:\ProgramsCommon Files. Hier staat ook het MediaPath met de standaardwaarde C:\WINDOWS\Media. Als u op een gegeven moment deze paden wilt verplaatsen, weet u nu waar u moet zoeken.
Informatie tour uitschakelen
Als u dit beleid inschakelt, wordt een nieuw ingestelde gebruiker niet langer gevraagd of hij de Windows XP-tour wil starten wanneer hij zich voor het eerst aanmeldt bij Windows XP. Hiervoor verandert het beleid onder HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Tour de waarde van de sleutel RunCount van 1 in 0.
Waarschuwing wanneer de harde schijf vol is
Als er minder dan 10% vrije ruimte is op de systeempartitie van Windows XP, krijgt de gebruiker regelmatig een waarschuwing en kunnen er geen toepassingen meer worden geïnstalleerd totdat deze is opgeschoond of andere toepassingen zijn verwijderd. Bij een partitie van 10 GB betekent dit echter dat er te weinig geheugen wordt gemeld, ondanks 1 GB vrij geheugen. Als u het beleid Waarschuwingsbericht bij volle harde schijf activeert, wordt u gevraagd een waarde tussen 0 en 99 in te voeren, waarmee u de standaardwaarde van 10 (d.w.z. 10 % van de partitie) kunt verlagen. Hierdoor wordt de sleutel DiskSpaceThreshold onder HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServicesLanmanServer\Parameters opnieuw ingesteld. Een waarde van 5 lijkt passend. Zelfs met een kleine partitie van 2 GByte is 5% nog altijd 100 megabyte vrije schijfruimte. Voordat u onder deze drempel komt, zou een waarschuwing overdreven zijn.
Systeemfout
Via de categorie richtlijnen kunt u voor alle computers in de organisatie-eenheid Computer de instellingen van Windows XP centraal regelen, die het gedrag bij een systeemcrash bepalen. Als u in Windows XP het Configuratiescherm start via Start – Instellingen – Configuratiescherm – Systeem, het tabblad Geavanceerd selecteert en in de onderste sectie Start en herstel de knop Instellingen kiest, vindt u daar dezelfde instellingsmogelijkheden. De categorie Systeemfouten heeft de volgende richtlijnen:
- Gebeurtenis invoeren in het systeemlogboek
- Waarschuwingsbericht van de beheerder bij een systeemcrash
- Automatisch herstarten als het systeem crasht
- Debug informatie opslaan
- Specificeert de locatie en het bestand waar het foutenlogboek moet worden opgeslagen
- Specificeert of een logbestand mag worden overschreven
Ik stel voor dat u alle beleidsregels inschakelt en alleen het beleid Debug-informatie opslaan uitschakelt. Als het beleid Debug-informatie opslaan is geactiveerd, wordt een geheugenafbeelding van ten minste 64 KB gemaakt onder C:\Windows in geval van een systeemcrash. Dit proces kost tijd en geheugen. Als u dit geheugenbeeld echter niet kunt interpreteren (en vaak kunnen alleen technische ondersteuningsexperts van Microsoft dat), heeft het beeld geen nut. Als een Windows XP-computer regelmatig crasht, zult u hem op de een of andere manier vervangen en door een nieuwe vervangen.
Wijziggebruikersnaam RegisteredOwner en wijzig organisatienaam RegisteredOrganisation
Stel dat u de RIPrep image van Windows XP met alle standaardtoepassingen hebt geïnstalleerd op vele computers in het hoofdkantoor en enkele filialen, en plots fuseert uw bedrijf en krijgt het een nieuwe bedrijfsnaam. Of stel dat u één en dezelfde volledige image wilt gebruiken voor verschillende filialen, maar die hebben verschillende bedrijfsnamen. Een ander voorbeeld: Stel dat u een bepaalde naam hebt ingevoerd, zoals “Systeembeheerder” op de voorbeeldcomputer bij de installatie van Windows XP, maar u wilt deze naam wijzigen nadat u de complete image op alle computers hebt gedistribueerd.
Met de twee beleidsregels Wijzig User Name RegisteredOwner en Wijzig Organisation Name RegisteredOrganisation kan dit heel gemakkelijk vanaf uw werkstation. Deze beleidsregels wijzigen de RegisteredOrganisation en RegisteredOwner sleutels onder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NTCurrentVersion.
Automatischde “wielmuis“ functie detecteren
Als een computer met een muis zonder wiel wordt geïnstalleerd met Windows XP en vervolgens een muis met wiel (Wheels Mouse) wordt aangesloten, zal het wiel niet werken. Alleen wanneer de sleutel onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters de DWord sleutel EnableWheelDetection wordt aangemaakt en op 1 wordt gezet, zal het wiel worden gedetecteerd en daarna werken.
Met behulp van het zelfgemaakte “WindowsXP-HCU” groepsbeleid bestand
In de vorige subparagraaf is uitgelegd hoe het groepsbeleid op basis van de WindowsXP-HLM.ADM-sjabloon kan worden toegepast op de organisatie-eenheid Computer. Nu behandelen we het groepsbeleid WindowsXP-HCU, dat alleen wijzigingen aanbrengt in de tak HKEY_CURRENT_USER en moet worden toegepast op de organisatorische eenheid Gebruikers. Op de DVD van het boek staat het sjabloonbestand WindowsXP-HCU.ADM. Kopieer dit bestand naar de map C:\Windowsinf van de domeincontroller. Open vervolgens in de Users OU Group Policy XP-Standard Users, klik met de rechtermuisknop op Administrative Templates in de categorie User Configuration en selecteer Add/Remove Templates en voeg de sjabloon WindowsXP-HCU toe.
U zou nu een nieuwe categorie moeten zien genaamd Zelfgemaakt Windows XP-beleid voor Hive HKEY_CURRENT_USER. Als u de optie Alleen volledig beheerbare beleidsinstellingen weergeven onder Beeld – Filteren niet hebt uitgeschakeld, ziet u de afzonderlijke beleidsregels niet en kunt u ze niet instellen!
 |
|
Filters aanpassen |
Belangrijke opmerking: Als de muisaanwijzer boven Administratieve sjablonen staat, ziet u niet de optie Filteren… onder Beeld, maar DC Opties. Plaats de muis eerst op Administratieve sjablonen voordat u het menu-item Beeld selecteert.
 |
|
Eigen beleid |
Het toegevoegde sjabloonbestand voor groepsbeleid biedt de volgende beleidsregels voor configuratie:
Animatie van vensters uitschakelen bij minimaliseren/maximaliseren
Wanneer u een venster van een toepassing minimaliseert of maximaliseert, wordt dit proces standaard onnodig vertraagd door een kleine animatie. U ziet hoe het venster groter of kleiner wordt. Door de animatiefunctie uit te schakelen, wordt de sleutel MinAnimate onder HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics gewijzigd van 1 in 0. Net als bij sommige andere wijzigingen in de registersleutel kan het zijn dat u het effect pas merkt na de volgende aanmelding of zelfs na de volgende herstart. Toepassingsvensters worden dan zonder vertraging geminimaliseerd of gemaximaliseerd.
Controle van de harde schijf uitschakelen
Windows XP controleert automatisch de beschikbare ruimte op de harde schijf. Als de vrije schijfruimte onder een bepaalde grootte komt, krijgt u de melding“Zeer weinig schijfruimte – moet de partitie worden opgeschoond?“. Als u dit beleid activeert, wordt de sleutel NoLowDiskSpaceChecks onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\PoliciesExplorer gewijzigd van 0 in 1 en zal de melding in de toekomst niet meer worden weergegeven. De standaard drempelwaarde van vrije schijfruimte is 10 % van de Windows XP partitie. Deze kan worden ingesteld (zie het zelfgemaakte beleid “Waarschuwingsbericht wanneer schijf vol is” in het WindowsXP-HLM.ADM bestand in de vorige sectie) op een waarde tussen 0 en 99 met de DiskSpaceThreshold sleutel onder HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters.
Ik stel voor deze sleutel in te schakelen en zo het waarschuwingsbericht volledig uit te schakelen, of de standaardwaarde voor de drempelwaarde te verlagen van 10 naar 5. Als u complete beelden afspeelt met alle standaard toepassingen op de harde schijven van de computers, dan hoeven er waarschijnlijk maar een paar toepassingen toegevoegd te worden. Als u partities van 10 gigabyte aanmaakt als systeempartities en niets wijzigt in de toetsen, zou de gebruiker al een waarschuwing krijgen als de ruimte onder 10% van 10 gigabyte komt, dus 1 gigabyte vrije ruimte. Deze drempel lijkt mij erg hoog.
Muis: Muisaanwijzer automatisch instellen op de standaardknop
Als u deze functie activeert, zet Windows de muisaanwijzer altijd automatisch op de standaardknop van de betreffende toepassing. Dit beleid stelt de sleutel SnapToDefaultButton onder HKEY_CURRENT_USER\Control Panel\Mouse in op de waarde 1. Handmatig kunt u deze instelling onder Windows XP maken via Configuratiescherm – Muis in het tabblad Beweging.
 |
|
De muis aanpassen |
Netwerkverbindingen wel/niet opslaan tussen sessies
Het uitschakelen van dit beleid verandert de waarde van de sleutel Verbindingen opslaan van Ja naar Nee onder HKEY_CURRENT_USER Software\MicrosoftWindows NTCurrentVersionNetworkPesistent Connections. In Windows XP is deze functie standaard ingeschakeld. Dit betekent dat het maken van netwerkverbindingen wordt opgeslagen en dat bij het opnieuw opstarten van de computer automatisch wordt geprobeerd deze verbinding te herstellen. Vooral bij notebooks die niet altijd met het netwerk verbonden zijn, kan dit tot onnodige foutmeldingen leiden. Aangezien u later de stationstoewijzingen dynamisch via het aanmeldingsscript wilt uitvoeren, zou het ook hinderlijk zijn als bepaalde stationsletters al bezet waren toen de gebruiker zich aanmeldde en de toewijzing via het aanmeldingsscript dan tot fouten zou leiden. Zet dit beleid daarom op uitgeschakeld.
Paden instellen voor mappen en documentopslag
U zult dit beleid waarschijnlijk niet gebruiken omdat u de mappen Mijn documenten, Mijn afbeeldingen en Bureaublad naar de server verplaatst via het beleid Mapomleiding en door het instellen van op de server opgeslagen gebruikersprofielen. Toch is het interessant en in speciale situaties nuttig en belangrijk om te weten waar in het register de paden voor bepaalde mappen zijn ingesteld en kunnen worden gemanipuleerd.
Onder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders vindt u de volgende sleutels:
| Start Menu | Mijn afbeeldingen | Persoonlijk | Bureaublad |
| AppData | NetHood | Programma’s | Recente |
| SendTo | Opstarten | Sjablonen | Lokale instellingen |
| Cache | Cookies | Geschiedenis | Favorieten |
| LokaleAppData |
Hier kunnen de paden van de persoonlijke mappen van de gebruiker worden gemanipuleerd. Onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\Shell Folders vindt u ook sleutels en bijbehorende paden die de locatie van het menu Start en de submenu’s Alle gebruikers beïnvloeden.
Startmenu: Sneller openen van het menu Start
Dit beleid moet worden gebruikt om de vertraging bij het openen van de submenu’s van het menu Start uit te schakelen of ten minste te verminderen door 0 of 100 milliseconden als waarde in te voeren. De standaardwaarde van de bijbehorende toets MenuShowDelay onder HKEY_CURRENT_USERControl Panel\Desktop is 400 milliseconden.
Dit is nogal vreemd: Windows XP concurreert met andere besturingssystemen zoals Linux, en de fabrikant bouwt standaard vertragingen in die de gebruiker de indruk kunnen geven dat het besturingssysteem traag is en een halve seconde rekentijd nodig heeft om alleen maar een submenu te openen. Welke gebruiker die daadwerkelijk teksten wil schrijven en met het internet wil werken, zal alle tips over Windows XP willen doorlezen en vervolgens in de registerdatabase gaan experimenteren om alle animaties en onnodige ingebouwde vertragingen uit te schakelen zodat de duur betaalde hardware niet onnodig wordt vertraagd?
Startmenu: Pop-up in Startmenu ook voor andere functies inschakelen
Onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\Advanced vindt u enkele sleutels die standaard op Nee staan. Als het Startmenu is ingesteld op de klassieke weergave – de weergave zoals in Windows 2000 – en je selecteert de knop Aanpassen, zul je zien dat belangrijke opties standaard zijn uitgeschakeld:
- “Printers uitbreiden”
- “Mijn afbeeldingen uitbreiden
- “Mijn documenten uitbreiden
- Uitloggen tonen
- Scrollen voor programma’s
- Favorieten tonen
- Kleine pictogrammen in startmenu tonen
- Netwerkverbindingen uitbreiden
- Bedieningspaneel openen
- Administratie tonen
Zelfs voor de beheerder zijn deze submenu’s dus niet zichtbaar voordat hij de nodige instellingen doet. Maar ook voor de gewone gebruiker is het bijvoorbeeld handiger als de voor hem in het startmenu beschikbare pictogrammen van het configuratiescherm als submenu’s worden geopend in plaats van als aparte vensters te verschijnen die naderhand weer moeten worden gesloten. De toetsen onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\Advanced zijn als volgt toegewezen:
| StartMenuAdminTools | Toon Administratie |
| CascadeMijnDocumenten | “Mijn documenten” openen |
| CascadeMijnFoto’s | “Mijn afbeeldingen openen |
| CascadeControlPanel | Open configuratiescherm |
| CascadeNetworkConnections | Netwerkverbindingen uitbreiden |
| CascadePrinters | Printers uitbreiden |
Vink All Policies aan als u wilt dat het submenu Administration verschijnt en dat de menu-items My Documents, My Pictures, Control Panel, Network Connections en Printers verschijnen als submenu’s in plaats van als nieuwe vensters.
Startmenu: Het verbergen van zelden gebruikte menu-items uitschakelen
Dit beleid regelt de IntelliMenus sleutel onder HKEY_CURRENT_USER Software van Windows. Wanneer deze functie is geactiveerd, worden zelden gebruikte menu-items uit het Startmenu verborgen. Als u en uw gebruikers het verbergen van zelden gebruikte menu-items vervelend vinden, kunt u deze functie uitschakelen. Daarna worden alle beschikbare menu-items altijd onmiddellijk weergegeven. De IntelliMenus-toets met de optie Gepersonaliseerde menu’s gebruiken is identiek.
Startmenu: Taakbalkinstellingen uit het menu Start verwijderen
Door dit beleid te activeren, kunt u voorkomen dat de standaardgebruiker de eigenschappen van de taakbalk opent en wijzigt door met de rechtermuisknop op de taakbalk te klikken. Door het beleid te activeren, stelt u de sleutel NoSetTaskbar onder HKEY_CURRENT_USER\Sofware\MicrosoftWindowsCurrentVersion\PoliciesExplorer in op 1.
Startmenu: Favorieten wel/niet tonen in startmenu
Als de gebruiker in Internet Explorer of Word al objecten in zijn of haar Favorietenmap mag aanmaken en wijzigen via de opdracht Bestand openen, dan moet de inhoud van de Favorietenmap ook gemakkelijk beschikbaar zijn in het Startmenu. Activeer daarom dit beleid en stel de sleutel StartMenuFavourites in het register onder HKEY_CURRENT_USER.
Zoeken: Schakel de assistent in de zoekfunctie uit
Vanaf Windows XP heeft Microsoft een assistent voor de zoekfunctie geïntroduceerd. Voor het zoeken wordt u gevraagd wat u wilt zoeken, waarna Windows automatisch de instellingen voor het zoeken maakt. Wie echter vertrouwd was met de oude zoekfunctie, zal dit nogal omslachtig vinden en heeft liever de oude zoekweergave terug. Als u de wizard voor de zoekfunctie voor alle standaardgebruikers wilt uitschakelen, activeert u dit beleid. De corresponderende sleutel Use Search Asst is te vinden in het register onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\CabinetState.
Systeemluidsprekers uitschakelen
In een kantoor waar meerdere werknemers werken, is het vervelend als de systeemluidspreker van de computer een geluid laat horen telkens als er een fout wordt gemaakt. U kunt de systeemluidsprekers van alle clients voor de standaardgebruiker vanaf een centrale locatie uitschakelen door de twee items Pieptoon en Uitgebreide geluiden in dit beleid uit te schakelen. Dit zal de twee sleutels Beep en ExtendedSounds veranderen in NO onder HKEY_CURRENT_USER\Control Panel\Sound. Een echt handige tip als u niet elke computer wilt losschroeven en de kabel van de interne luidspreker wilt loskoppelen.
Taakbeheer: Knoppen in het beveiligingsvak uitschakelen
Onder Taakbeheer : Knoppen in het Beveiligingsvak uitschakelen kunt u de knop Computer vergrendelen verbergen met het item Vergrendel werkstation uitschakelen, de knop Wachtwoord wijzigen verbergen met het item Verander wachtwoord uitschakelen en de knop Taakbeheer verbergen met het item Taakbeheer uitschakelen. De gebruiker ziet deze knoppen wanneer hij de toetsencombinatie[Ctrl]+[Alt]+[Del] indrukt en zo het venster Windows Beveiliging opent.
U moet deze beleidsregels niet activeren voor de standaardgebruiker, omdat de gebruiker zowel “Wachtwoord wijzigen” als “Computer vergrendelen” moet kunnen gebruiken wanneer hij bijvoorbeeld even de kamer verlaat. U kunt het beleidsbestand WindowsXP-HCU.ADM echter gebruiken voor een speciale organisatorische eenheid, bijvoorbeeld voor de kiosk-computerstations, om de mogelijkheden tot manipulatie verder te beperken. Denk aan computers voor bezoekers waar automatisch een bepaalde identificatie wordt geregistreerd en een bepaalde toepassing zoals een informatiesysteem wordt gestart wanneer de computer wordt opgestart.
De bijbehorende sleutels heten DisableLockWorkstation, DisableChangePassword en DisableTaskMgr en staan onder HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System in het register.
Updates: Automatische verwerving van licenties voor mediaspelers configureren
Schakel dit beleid in als u niet langer wilt dat licenties automatisch worden verworven wanneer Windows Media Player wordt uitgevoerd. De sleutel waarop dit beleid betrekking heeft heet SilentAcquisition en bevindt zich in HKEY_CURRENT_USER.
Updates: Automatisch downloaden van codecs voor Media Player voorkomen
Activeer dit beleid als u niet langer wilt dat codecs die zogenaamd nodig zijn in de Windows Media Player-toepassing automatisch worden gedownload van internet. De sleutel waarop het beleid betrekking heeft heet UpgradeCodecPrompt en bevindt zich in HKEY_CURRENT _USERSoftware\Microsoft\MediaPlayer\Preferences in het register.
Snelkoppelingen met relatieve paden opslaan
Activeer dit beleid zodat bij het opslaan van een nieuw gemaakte snelkoppeling die verwijst naar een object op de lokale harde schijf, geen UNC-paden worden opgeslagen, maar alleen relatieve paden. Bijvoorbeeld C:\Windows\system32\notepad.exe in plaats van \musterpc\windows\system32\notepad.exe. Als deze snelkoppeling op de server is opgeslagen en men zich aanmeldt op een andere computer en de snelkoppeling start, wordt namelijk geprobeerd een verbinding te starten met de oorspronkelijke computer in plaats van het bestand notepad.exe te laden vanaf C:\Windows\system32. De sleutel waarop het beleid betrekking heeft heet LinkResolveIgnoreLinkInfo en bevindt zich in het register onder HKEY_CURRENT_USER.
Belangrijke opmerking: Deze wijziging is vooral belangrijk voor de voorbeeldclient van waaruit images worden gemaakt.
Visuele effecten: alles uitschakelen, systeem aanpassen voor optimale prestaties
Schakel dit beleid in om in Windows XP onder Configuratiescherm – Systeem op het tabblad Geavanceerd onder Systeemprestaties – Instellingen op het tabblad Visuele effecten over te schakelen naar Aanpassen voor optimale prestaties.
 |
|
Beeldscherm automatisch aanpassen voor prestaties |
Hiermee worden alle animaties uitgeschakeld die de systeemprestaties belasten. Standaard is deze optie ingesteld op Automatisch optimale instelling kiezen. Het inschakelen van het beleid verandert de VisualFXSetting sleutel onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Explorer\VisualEffects van 0 in 2. Op de computerwerkplekken van een bedrijf gaat het niet om de effectenvariant van het besturingssysteem, maar om de prestaties van bedrijfskritische toepassingen, of wat denkt u?
Definieer proxyserver en poorten
Met dit beleid kunt u het IP-adres en het poortnummer definiëren voor een proxyserver in Microsoft Internet Explorer. U gebruikt het om de ProxyServer sleutel in te stellen in het register onder HKEY_CURRENT_USER.
Standaard instelling pdfMachine opslag map
Dit beleid en de volgende twee beleidsregels stellen registerwaarden in voor producten van derden. Met de pdfMachine van www.broadgun.de kunt u gemakkelijk vanuit elke toepassing PDF-documenten maken en deze naar wens compileren. Het beleid bepaalt waar de standaard opslaglocatie voor deze PDF-documenten moet zijn.
Adobe Reader niet automatisch bijwerken
Met dit beleid kunt u instellen dat niet elke client in het netwerk waarop Acobe Reader is geïnstalleerd elke 30 dagen probeert een update van internet te downloaden.
Adobe Reader openingsafbeelding niet tonen
Het opstarten van Adobe Reader duurt lang omdat er veel plug-ins worden geladen en het openingsscherm geeft dit weer. U kunt dit beleid gebruiken om de weergave van het openingsscherm uit te schakelen en het opstarten van Adobe Reader te versnellen.
Gebruik het groepsbeleidbestand “Windows Explorer” dat u zelf hebt gemaakt
Op de DVD van het boek vindt u het sjabloonbestand WindowsExplorer.adm. Dit sjabloonbestand voor groepsbeleid voegt beleidsregels voor Windows Explorer toe die de door Microsoft geleverde sjablonen voor groepsbeleid voor Windows XP niet bieden.
 |
|
WindowsExplorer.adm |
U kunt dit sjabloonbestand één keer laden en configureren voor de standaardgebruiker, maar voor krachtige gebruikers kunt u het bestand een tweede keer laden onder een andere ADM-naam en de afzonderlijke beleidsregels anders configureren. Een standaardgebruiker mag waarschijnlijk geen beschermde bestanden kunnen zien, zoals de bestanden in de hoofdmap van de systeempartitie(config.sys, ntdetect.com, enz.), noch de inhoud van systeemmappen zoals C:^Windows. Helpdeskmedewerkers moeten deze bestanden en mappen kunnen zien om fouten te onderzoeken. Voor beide soorten gebruikers moeten echter in het beleid weergaveopties voor alle mappen worden vastgesteld en moeten bestandsextensies ook voor bekende bestandstypen worden getoond, zodat de weergaveopties niet in elke map afzonderlijk hoeven te worden ingesteld en bijvoorbeeld Word- of Excel-bestanden de extensies doc of xls laten zien.
De volgende registerwaarden worden gemanipuleerd door de richtlijnen van het sjabloonbestand WindowsExplorer.adm:
Verberg extensie voor bekende bestandstypen:
HKCU Software Software Windows Huidige Versie. Verberg bestandsextensie 0=inschakelen 1=uitschakelen
Verberg beveiligde systeembestanden:
HKCUWindows. .Explorer\ShowSuperHidden 0=inschakelen 1=uitschakelen
Toon inhoud van systeemmappen:
HKCU software van Windows. .Explorer. 1=inschakelen 0=uitschakelen
Geef gecodeerde en gecomprimeerde NTFS bestanden in verschillende kleuren weer:
HKCU Software van Windows. .Explorer. 1=inschakelen 0=uitschakelen
Verborgen bestanden en mappen: Toon alle bestanden en mappen:
HKCU software van Microsoft Windows. .Explorer Verbergen 1=alle bestanden 2=verborgen bestanden verbergen
Volledig pad tonen in titelbalk
HKCU software van Microsoft Windows. Volledige pad tonen in titelbalk 1=inschakelen 0=uitschakelen
Toont het volledige pad in de adresbalk:
HKCUsoftWindowsCurrentVersion. Verkenner volledig pad weergeven. 1=inschakelen 0=uitschakelen
Gebruik het zelfgemaakte groepsbeleidbestand “ExchangeProvider
U vindt een ander group policy template bestand genaamd ExchangeProvider.adm op de DVD van het boek. Dit ADM-bestand biedt een oplossing voor een probleem dat kan optreden als u meerdere domeincontrollers op verschillende locaties hebt ingesteld, de functie Global Catalogue Server aan deze domeincontrollers hebt toegewezen, maar slechts één centrale Exchange Server voor alle locaties gebruikt. Het probleem en de oplossingen worden beschreven in de volgende artikelen in de Microsoft Knowledge Base:
KB272290 – OL2000 Outlook voert Load Balancing uit met Global Catalog Servers
KB319206 – OL2002 Hoe Outlook te configureren naar een specifieke globale catalogusserver of …
KB317209 – XADM Hoe uw globale catalogus server te identificeren met Outlook 2000 en Outlook 2002
Ook als dit probleem zich in uw netwerk niet voordoet omdat u maar één locatie heeft of op alle locaties Exchange Servers gebruikt, moet u nu verder lezen en de structuur van dit template bestand bekijken. Want dit ADM-bestand biedt een principiële aanpak voor het oplossen van andere problemen. U kunt hetzelfde principe gebruiken om bijvoorbeeld aan alle computers van een locatie of alle gebruikers van een locatie vanaf een centrale locatie een bepaalde registersleutel en een registerwaarde toe te wijzen en deze dynamisch te wijzigen wanneer de computer of de gebruiker van locatie verandert. Vervolgens kunt u deze toegewezen registerwaarde op een andere locatie opvragen (bijvoorbeeld in het aanmeldingsscript) en acties starten die bijvoorbeeld afhankelijk zijn van de locatie.
KB artikel 319206 beschrijft het volgende probleem: Wanneer een nieuwe werknemer MS Outlook 2002 voor de eerste keer opstart en verbinding maakt met zijn Exchange Server, zoekt de computer naar een beschikbare globale catalogus server en schrijft de naam daarvan naar de registersleutel HKEY_CURRENT_USER\Software\MicrosoftWindows NTCurrentVersion\Windows MessagingSubsystem\Profiles\Outlookdca740c8c042101ab4b908002b2fe182.
Als deze globale catalogusserver tijdelijk uitvalt of wordt vervangen door een andere server met een andere naam, wordt de nieuwe dichtstbijzijnde globale catalogusserver niet noodzakelijkerwijs automatisch gebruikt. De beheerder kan echter bijvoorbeeld aan elke gebruiker een globale catalogusserver toewijzen afhankelijk van de locatie via een nieuw aangemaakte sleutel HKEY_CURRENT_USER\Software\MicrosoftExchange\Exchange Server.
 |
|
DS Server opnieuw toewijzen aan een globale catalogusserver |
Als je bijvoorbeeld voor elk van de vestigingen Aken, Bielefeld, Dortmund, Essen en Keulen in je domein een organisatorische eenheid had aangemaakt, zou je nu het ExchangeProvider group policy bestand voor elke site OU kunnen laden en, door de dichtstbijzijnde globale catalogusserver uit de serverlijst te selecteren, de server kunnen selecteren die de naamresolutie in Outlook moet overnemen voor alle gebruikers in de vestiging.
 |
|
Voor elke locatie |
Het sjabloonbestand ExchangeProvider.adm heeft de volgende inhoud:
CLASS USER
CATEGORIE "specificeer globale catalogus server
BELEID !!GlobalCatalogServer
KEYNAME "SoftwareExchangeProvider".
EXPLAIN !!GlobalCatalogServer_Explain
DEEL "Servernaam" DROPDOWNLIST VERPLICHT
VALUENAME "DS Server
ITEMLIST
NAME "Aachen S1AA" VALUE "S1AA"
NAME "Bielefeld S1BI" VALUE "S1BI".
NAME "Dortmund S1DO" WAARDE "S1DO".
NAME "Essen S1ES" WAARDE "S1ES".
NAME "Cologne S1KO" WAARDE "S1KO".
EINDE ITEMLIST
EINDE DEEL
EINDE BELEID
EINDE CATEGORIE ; "specificeer globale catalogus server".
[strings]
GlobalCatalogServer="specificeer globale catalogus server".
GlobalCatalogServer_Explain="Deze instelling specificeert de globale catalogus
catalogus server voor de respectievelijke locatie.
\nAken S1AA = Server S1AA
\nBielefeld S1BI = Server S1BI
\nDortmund S1DO = Server S1DO
\nEssen S1ES = Server S1ES
\Keulen S1KO = Server A1KO
Met dit sjabloonbestand kunt u een waarde selecteren uit een lijst en deze vervolgens invoeren onder een registersleutel. Als u in dit voorbeeld de sleutel achter KEYNAME en de waarde achter VALUENAME vervangt door andere waarden, wordt al snel duidelijk dat een soortgelijk sjabloonbestand ook heel andere problemen kan oplossen. Overigens, het deactiveren van het beleid Specificeer globale catalogusserver verwijdert DS Server weer in het register.
Gebruik van het sjabloonbestand CorelDraw11.ADM
Op de DVD van het boek vindt u het sjabloonbestand CorelDraw11.ADM, waarmee u een aantal standaardmappen van CorelDraw 11 centraal kunt definiëren. Standaard maakt CorelDraw elke 20 minuten een reservekopie van tekeningen in een tijdelijke directory onder C:\Documents and Settings%Username%. Bij het afmelden worden dergelijke temp-bestanden, die vaak veel geheugen in beslag nemen, vervolgens naar de server gerepliceerd bij gebruik van op de server opgeslagen gebruikersprofielen. Niet alleen duurt het aan- en afmelden hierdoor langer, maar na verloop van tijd hoopt zich ook aanzienlijke gegevensrommel op in de map Roaming Profiles op de server. Je zou deze map voor automatische back-ups moeten verplaatsen naar bijvoorbeeld C:\Temp.
U kunt het sjabloonbestand ook gebruiken om richtlijnen in te stellen voor een sjabloonmap voor CorelDraw en om het volume te bepalen voor primaire en secundaire CorelDraw wisselbestanden.
Met behulp van een tool als GetFolderSize moet u regelmatig de share op de server analyseren waar de op de server opgeslagen gebruikersprofielen zich bevinden. De gratis tool sorteert alle mappen op basis van hun geheugengebruik. U kunt snel nagaan welke andere toepassingen tijdelijke tussenbestanden en andere geheugenintensieve mappen aanmaken in de profielen van de gebruikers. Maak vervolgens ook voor deze toepassingen een eigen groepsbeleidssjabloonbestand en gebruik dat om de registerdatabase van de clients zodanig te wijzigen dat deze gegevensrommel niet meer op de server en de back-upbanden terechtkomt.
Analyse van de voorbeeldcomputer na het importeren van de zelfgemaakte groepsbeleidssjabloonbestanden
Zodra beide zelfgemaakte sjabloonbestanden WindowsXP-HLM.ADM en WindowsXP-HCU.ADM zijn geïmporteerd en geconfigureerd, dient u zich aan te melden op de voorbeeldcomputer onder de verschillende identifiers zoals administrator, testgebruiker en power user en te controleren of de gewenste resultaten zijn bereikt. U kunt op indrukwekkende wijze zien welke effecten de voorgestelde instellingen van het groepsbeleid, die deel uitmaken van de leveringsomvang van Windows XP en die u kunt vinden op de DVD van het boek, hebben als u naast de voorbeeldcomputer een andere computer instelt, die niet is aangesloten op de server en waarop een maagdelijke Windows XP is geïnstalleerd.
Het besturingssysteem Windows XP Professional is nu op de voorbeeldcomputer nog niet in de ideale staat voor het later maken van een image om op vele computers te verspreiden. Zo zijn bijvoorbeeld de startmenu’s van Alle gebruikers en Standaardgebruiker nog niet herzien. Hierdoor zou de standaardgebruiker menu-items als Toegang tot programma’s en Standaardinstellingen en Windows-catalogus boven de startknop kunnen zien. Hij zou toegang kunnen krijgen tot de administratieprogramma’s, MSN Explorer, spelletjes of, onder het menu-item Accessoires, de Programma Compatibiliteit Assistent en systeemprogramma’s zoals Bestanden overbrengen en Instellingen. Waarschijnlijk wilt u dit echter voorkomen.
Bovendien zijn dergelijke systeeminstellingen nog niet gemaakt die niet automatisch kunnen worden afgedwongen via groepsbeleidbestanden en handmatig moeten worden gemaakt voordat de image wordt gemaakt. Als voorbeeld kan de nieuwe Windows XP-functie Hibernate worden genoemd. Zoals u kunt zien wanneer u het tabblad Slaapstand opent via Configuratiescherm – Energie-opties, is de slaapstand standaard geactiveerd. Als de gebruiker de toetsencombinatie[Ctrl]+[Alt]+[Del] indrukt en de knop Afsluiten selecteert, kan hij of zij beslissen of de computer wordt afgesloten, afgemeld of in de slaapstand wordt gezet. De computer slaat dan eerst alle gegevens in het werkgeheugen op in het bestand hyperfil.sys alvorens af te sluiten. Dit bestand is enkele honderden megabytes groot en bestaat al wanneer de hibernation optie actief is. Het wordt dus niet aangemaakt wanneer de computer in de slaapstand wordt gezet. Als u de hibernation optie deactiveert, wordt het geheugenintensieve bestand hiberfil.sys verwijderd. Het wordt niet opgenomen in een image, ongeacht of de image is gemaakt met de RIPrep-methode of een image-tool van derden.
De installatie van standaardtoepassingen zoals Adobe Reader of Microsoft Office creëert echter ook pictogrammen in het startmenu van bijvoorbeeld Alle gebruikers en Standaardgebruiker, die moeten worden herzien voordat de volledige image kan worden gemaakt. Daarom worden in onze testomgeving deze standaardtoepassingen nu eerst automatisch geïnstalleerd. Vervolgens worden de door de installatie van Microsoft Office toegevoegde group policy-bestanden onderzocht op een zinvolle configuratie voor de standaardgebruiker. Pas daarna wordt de voorbeeldcomputer opnieuw onderzocht om te zien welke wijzigingen nu automatisch of handmatig door een speciaal script moeten worden aangebracht om tot een definitieve toestand te komen waaruit vervolgens de image wordt genomen.
| Deze serie artikelen is een uittreksel uit de “Integratiehandleiding Microsoft Network” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld. |
Ulrich Schlüter