festplatte.ch

Generelle Struktur von ADM Files:

Alle verschiedenen Syntaxe um das Template zusammenbauen zu können, sind via Google leicht auffindbar.
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1176.htm

Im Zusammenhang mit dem RegKey für langsame Netzlaufwerkverbindungen sieht das ADM File wie folgt aus:

CLASS MACHINE
   CATEGORY "Serverexclude Novell Client"
      POLICY "BadServer Settings"
          EXPLAIN "For fast connection to MS Server"
          KEYNAME "SYSTEM\CurrentControlSet\Services\NetwareWorkstation\Parameters"
             PART "Modify your Serverlist here:" TEXT
	     END PART
             PART "ServerListe:"
                EDITTEXT
                DEFAULT "DFS-Einstiegspunkt oder Servernamen"
                VALUENAME "BadServer"
                EXPANDABLETEXT
             END PART
         END POLICY
    END CATEGORY

Nach dem Import in die Policy, kann der Regkey bequem via GPO verteilt werden.

Wichtig: Damit das eigenständig erstellte ADM File überhaupt im GrouppolicyEditor erscheint muss unter Ansicht -> Filterung -> „Haken“ entfernen bei => Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen duchgeführt werden!

Links:
http://www.gruppenrichtlinien.de/index.html?/adm/Wie_funktioniert_ein_ADM_Template.htm

Im Windows Resource Kit befindet sich eine kleine aber sehr hilfreiche DLL, die manuell registriert werden muss.
Es werden danach die SID-History, den Zeitpunkt der letzten Anmeldung etc. zusätzlich direkt im AD Benutzer/Computer Snap-in angezeigt.

Das SnapIn rsop.msc (ResultanceSet of Policies) gibt über eine grafische Oberfläche nicht nur die angewendeten Richtlinien aus, wie gpresult, sondern auch die einzelnen Werte innerhalb des Richtliniensatzes.

http://www.gruppenrichtlinien.de

rsop.msc download

ID Description
—————————————–
624 A user account was created.
627 A user password was changed.
628 A user password was set.
630 A user account was deleted.
631 A global group was created.
632 A member was added to a global group.
633 A member was removed from a global group.
634 A global group was deleted.
635 A new local group was created.
636 A member was added to a local group.
637 A member was removed from a local group.
638 A local group was deleted.
639 A local group account was changed.
641 A global group account was changed.
642 A user account was changed.
643 A domain policy was modified.
644 A user account was auto locked.
645 A computer account was created.
646 A computer account was changed.
647 A computer account was deleted.
648 A local security group with security disabled was created.
649 A local security group with security disabled was changed.
650 A member was added to a security-disabled local security group.
651 A member was removed from a security-disabled local security group.
652 A security-disabled local group was deleted.
653 A security-disabled global group was created.
654 A security-disabled global group was changed.
655 A member was added to a security-disabled global group.
656 A member was removed from a security-disabled global group.
657 A security-disabled global group was deleted.
658 A security-enabled universal group was created.
659 A security-enabled universal group was changed.
660 A member was added to a security-enabled universal group.
661 A member was removed from a security-enabled universal group.
662 A security-enabled universal group was deleted.
663 A security-disabled universal group was created.
664 A security-disabled universal group was changed.
665 A member was added to a security-disabled universal group.
666 A member was removed from a security-disabled universal group.
667 A security-disabled universal group was deleted.
668 A group type was changed.
684 Set the security descriptor of members of administrative groups.
685 Name of an account was changed.
—————————————-

http://technet.microsoft.com/en-us/library/cc737542.aspx

Nach 10 AD integrationen erscheint in der Standardkonfiguration folgende Fehlermeldung

Der Computer konnte der Domäne nicht beitreten. Die maximale Anzahl der Computerkonten, die in dieser Domäne erstellt werden können, wurde überschritten. Wenden Sie sich an den Systemadministrator.

Ursache
Windows 2003 und Windows XP gewähren der Gruppe der authentifizierten Benutzer standardmässig die Berechtigung zum Hinzufügen von Workstations zu einer Domäne. Wenn diese Berechtigung aktiviert ist, können authentifizierte Benutzer die Prüfung der Zugriffsteuerungsliste (ACL = Access Control List) bis zu einem vordefinierten Maximalwert umgehen. Die maximale Anzahl der Computerkonten, die ein authentifizierter Benutzer hinzufügen kann, beträgt standardmässig 10, um Missbrauch zu verhindern.

Möglicher Workaround:
Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

1. Supporttools installieren
2. Als Administrator der Domäne Adsiedit.msc ausführen. Den entsprechenden DC wählen und die Eigenschaften öffnen.
3. Ms-DS-MachineAccountQuota suchen.
4. Werte entsprechend anpassen
5. Mit OK bestätigen.

Andere Workarounds sind im KB 251335 von Microsoft zu finden