Hallo,

 

die meisten AD Administratoren werden mir zustimmen: Group Policies sind ein sehr mächtiges Werkzeug um komplexe AD Umgebungen vernünftig verwalten zu können (aber auch nicht immer einfach zu verstehen). Um hier noch einen Schritt weiter zu kommen, wird mittlerweile eine weitere „Spielart“ von GPOs angeboten, die sog. Group Policy Preferences (GPP). Diese sind ein sog. Out of Band Produkt, quasi ein Quereinsteiger in die Windows Familie. GPPs ermöglichen viele neue Konfigurationen und bieten auch eine größere Flexibilität. Z.B. kann ich hier eine Vor-Konfigurationen erstellen und der Anwender kann diese Vor-Konfiguration nutzen, jedoch eigene Anpassungen vornehmen die dann auch bestehen bleiben und nicht wieder überschrieben werden. Genau das ist eine fundamentaler Unterschied zu GPOs, die ja in bestimmten Intervallen immer wieder erneut angewandt werden und somit in der Regel immer einen definierten Ausgangswert setzen. Konfiguriert werden die GPPs mit der Group Policy Management Console von Windows 2008 Server bzw. aus den Remote Server Administration Tools (RSAT) für Windows Vista SP1, für die Clients Windows Vista und Windows XP sowie auch für Windows 2003 Server gibt es über Windows Download auch die notwendigen Client Extensions die die GPPs dann umsetzen.

 

Bei meinen Tests bin ich letztens über folgendes Verhalten der GPPs gestolpert. Ziel war es, mittels GPP die sog. Folder Options (also wie im Explorer ein Ordner dargestellt wird) zu konfigurieren. Die Anwender sollten dann die Möglichkeit haben diese Settings selber anzupassen und das sollte auch so bestehen bleiben. Daher wurde hier der Schalter „Apply once“ gesetzt.

 

Nur war das Ergebnis nicht so wie gewünscht. Nach jedem neuen Anwenden der Policy wurden auch die GPP wieder neu angewandt und damit die Änderungen des Anwenders wieder überschrieben. Leider gibt es da derzeit für einzelne Komponenten noch einige Probleme bei der Umsetzung in der Praxis, wodurch ich auf folgende einfache und sinnvolle Workarounds stieß, die ich Euch nicht vorenthalten möchte. Da die GPPs ja prinzipiell die Registry Werte der entsprechenden Komponenten direkt beschreiben, hilft hier als Workaround nur das Setzen der Registry Werte direkt. Auch da bieten die Goup Policy Preferences eine Alternative. Unter "User Configuration - Preferences - Windows Settings - Registry" kann man diese Registry Werte vordefinieren. Alternativ ist auch der Einsatz eines Scriptes möglich. Als ein Beispiel hier die Werte, die durch die GPP Folder Options gesetzt werden können (und somit alternativ via GPP Registry Keys oder per Script gesetzt werden müssen):

 

#########################################################

Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer findet Ihr den Wert für die Folder Option "Hidden files and folders": ShowDriveLettersFirst, wobei:

Value: 1,2, or 4

If the value is 1, the drive letter is displayed first for remote drives.

If the value is 2, drive letters are not displayed.

If the value is 4, the drive letter is displayed first for all drives.

 

Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState ist der Wert für die Folder Option "Display the full path in the title bar": FullPath

 

Alle anderen Werte sind unter dem Registry Pfad HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced:

 

"Always show icons, never thumbnails": IconsOnly

"Always show menus": AlwaysShowMenus

"Display file icon on thumbnails"": ShowTypeOverlay

"Display file size information in folder Tips": FolderContentsInfoTip

"Diplay simple folder view in Navigation pane": FriendlyTree

"Show hidden files and folders": Hidden

"Hide extensions for known file types": HideFileExt

"Hide protected operating system files": ShowSuperHidden

"Launch folder windows in a separate process": SeparateProcess

"Remember each folder’s view settings": ClassicViewState

"Restore previous folder windows at logon": PersistBrowsers

"Show encrypted or compressed NTFS files in color": ShowCompColor

"Show pop-up description for folder and desktop items": ShowInfoTip

"Show preview handlers in preview pane": ShowPreviewHandlers

"Use check boxes to select items": AutoCheckSelect

"Use Sharing Wizard": SharingWizardOn

"When typing into list view": TypeAhead

 

Damit lassen sich die Werte lokal vorkonfigurieren.

 

(Änderungen in der Registry selbstverständlich nur auf Eigene Gefahr hin und nur nach vorherigem Testen)

#########################################################

 

Nun gibt es noch eine weitere Besonderheit: Diese Folder Options gelten ja für den Explorer - und manche Anwendungen (wie auch der Explorer) haben die Eigenart ihre Registry Einstellungen häufiger zu speichern, z.B. auch beim Beenden. Was dazu führt, dass Änderungen die vorher gemacht wurden wieder überschrieben werden. Und leider ist der Explorer ein Prozess der recht spät beendet wird.

 

Somit werden manche Einstellungen, die ich also über die GPP Registry Keys oder ein Script mache, wieder vom Explorer überschreiben. Dagegen lässt sich leider nichts machen. Am besten, man sucht sich die Einstellungen heraus die für einen wirklich wichtig sind und testet das zuvor entsprechend aus.

 

Zugegebener weise, das Verhalten der GPP ist in diesem Fall unerwartet. Aber wir arbeiten an einer Lösung dafür. Mit den hier vorgestellten Workarounds kommt man jedoch auch noch recht einfach zum gewünschten Ergebnis. Wenn es hierzu Änderungen zu den Clients Windows Vista und Windows XP sowie auch für Windows 2003 Server gibt, werden wir in diesem Blog wieder darauf hinweisen.

 

Update 24.07.2009: In dem folgenden Blog Eintrag gibt es zu dem Thema noch einige zusätzliche Hinweise: http://blogs.technet.com/deds/archive/2009/07/24/ein-mal-und-nie-wieder-gp-preferences-apply-once-option.aspx

 

Tschau, Hans-Jürgen