|
Linux-Arbeitskreis am IfL Hamburg |
Auch in diesem Bereich bildet unser Server, bzw das Programm-Paket Samba wieder einen WindowsNT-Server nach. In Windows-Netzen kann man, im Server-Verzeichnis Netlogon eine Datei namens CONFIG.POL ablegen. In dieser Datei kann man für Rechner bzw. Benutzer Einstellungen festlegen, die die in den lokalen Konfigurationsdateinen SYSTEM.DAT und USER.DAT teilweise überschreiben. Die config.pol wird übrigens erst nach einem eventuellen Anmeldescript abgearbeitet.
Damit kann man erreichen, daß der Administrator an einem Windows-Arbeitsplatz alles darf, der normale Benutzer nicht.
Wenn auf einem System keine Benutzerprofile aktiviert sind, dann wird nur der Teil der Config.pol ausgeführt, der sich auf den Computer bezieht. Die Nutzerspezifischen Teile bleiben dann unberücksichtigt. Aus diesem Grund sollte man die Benutzerprofile aktivieren, wie im zweiten Teil für Win 95 beschrieben.
Im Prinzip kennt der Richtlinieneditor auch Gruppenspezifische Einstellungen. Doch dies funktioniert im Zusammenhang mit unserem Linux-Server leider (noch?) nicht.
An der Konfiguration sind auf der Server-Seite folgende Dateien beteiligt.
| /etc/smb.conf | Die zentrale Samba-Konfigurationsdatei enthält die wesentlichen Angaben für das Logon. |
| /home/dos/netlogon/scripts/win95.bat | Das Anmeldescript für Rechner mit Windows 95 |
| /home/dos/netlogon/config.pol | Die Datei mit den Windows-Richtlinien. |
Zum Erstellen bzw. Verändern von Systemrichtlinien benötigt man den Systemrichtlinieneditor POLEDIT.EXE. Dieses Programm befindet sich auf der Windows95 CD (Verzeichnis admin/apptool/poledit) und wird normalerweise nicht mit installiert. Das Programm sollte aber nur dem Systemverwalter zur Verfügung stehen. Eine Möglichkeit besteht darin, das komplette Poledit-Verzeichnis auf das User-Laufwerk des Administrators zu kopieren.
Mit dem Programm POLEDIT.EXE kann man auf drei Ebenen arbeiten
Für uns am interessantesten ist das Arbeiten mit Richtliniendateien, da man dann kaum an die einzelnen Rechner heran muß.
Wir starten also POLEDIT.EXE (falls man nach einer Vorlagendatei gefragt wird, dann gibt man die vorgeschlagene Datei admin.adm an):
Noch ist das Fenster leer. Wir wählen nun Datei >> Neu
Nun befinden sich zwei Icons auf der Oberfläche:
Das eine Icon steht für den Standardbenutzer das andere für den Standardcomputer. Als Standardbenutzer wird jeder Benutzer betrachtet, für den es hier kein eigenes Icon gibt.
Wir fügen sofort für uns selber einen Benutzer hinzu Berabeiten >> Benutzer hinzufügen und geben dem Benutzer den Namen, der unserem Linux-Benutzernamen entspricht.
Diesem Benutzer (also uns selbst) geben wir erst einmal alle Rechte, indem wir darauf doppelklicken und anschließend alle Kästchen weiß machen:
Für die Auswahlkästchen gibt es immer drei Möglichkeiten:
Bei einem weißen Kästchen wird die Funktion nicht aktiviert. Bei einem Lästchen mit Haken wird die Funktion bzw. Beschränkung aktiviert und bei einem grauen Kästchen bleibt die lokale Einstellung erhalten.
Für den Administrator (also für uns) sollten wir hier alle Beschränkungen aufheben.
Für den Standardbenutzer sollten wir sinnvolle Einschränkungen vornehmen. Was dabei genau eingeschränkt werden soll ist sicherlich Geschmackssache, deshalb hier nur ein Vorschlag.
Im Bereich Systemsteuerung habe ich alle Beschränkungen aktiviert. Man muß dabei darauf achten, daß Teilweise noch Kästchen im unteren, grauen Bereich des Fenster auftauchen:
Im Bereich Desktop wir nur kein Hintergundbild vorgegeben, aber ein
Farbschema. Im Bereich Netzwerk wird wieder alles beschränkt.
Im Bereich Shell >> Benutzerdefinierte Ordner mache ich keine
Vorgaben, dadurch sind die Ordner für alle gleich. Es gäbe aber
auch die Möglichkeit hier ein schreibgeschütztes Netzlaufwerk
vorzugeben, so die Einstellungen nicht verändert werden können.
Im Bereich Shell >> Zugriffsbeschränkungen müssen ein paar Kästchen abgehakt werden.
Im Bereich System >> Zugriffsbeschränkungen sollte man die Programme zum Bearbeiten der Registrierung deaktivieren.
Im Prinzip könnte man hier einen Computer hinzufügen und ihn damit zu einem speziellen Lehrerarbeitsplatz machen. Da wir für derartigen Luxus kein Geld haben, unterbleibt hier auch der entsprechende Eintrag.
Für den Standardcomputer solle man aber ein paar Einstellungen vornehmen:
Unter Netzwerk >> Microsoft-Client für Windows-Netzwerke habe ich die Windows NT-Anmeldung aktiviert und auch die Arbeitsgruppe noch einmal vorgegeben.
Unter Netzwerk >> Kennwörter mache ich zwei Vorgaben. Kennwortverschlüsselung deaktivieren bedeutet hierbei, daß keine Passwortlisten lokal abgelegt werden.
Wichtig ist der Eintrag unter Netzwerk >> Remote-Update. Nur wenn dies aktiviert ist, dann wird die CONFIG.POL überhaupt ausgewertet.
Unter System habe ich dann folgnde Einstellungen vorgenommen.
Die so erstellte Datei wird nun unter dem Dateinamen config.pol auf dem Server im Verzeichnis /home/dos/netlogon gespeichert. Von einem Windows-Rechner aus ist dies das Verzeichnis \\<Servername>\netlogon. Diese Datei muß für jeden Benutzer lesbar sein, beschreibbar darf sie aber nur für Administratoren sein.
Wenn die Benutzerprofile aktiviert sind, dann wird die config.pol anscheinend automatisch ausgewertet. Falls nicht, dann muß man an jedem Rechner einmal Poledit starten und unter lokaler Computer das Remote Update aktivieren, so wie es im vorangegangenen Abschnitt beschrieben ist.
Testen kann man die korrekte Funktion, indem man sich einmal als Administrator anmeldet. Dann muß unter Arbeitsplatz auch die Systemsteuerung vorhanden sein. Meldet man sich als normaler Benutzer an, so ist bei der beschriebenen Konfiguration die Systemsteuerung nicht vorhanden.
Für den Fall, daß ein Benutzer die Anmeldeprozedur abbricht, greifen die beschriebenen Einschränkungen natürlich nicht. Daher muß man auch für die lokale Registrierung auf jedem Rechner entsprechende Einschränkungen vornehmen.