Tips und Tricks zur Windows NT Registry Teil 1

frei

Windows NT Tips & Tricks Registry 1

frei

Hier gibt es Informationen und Hilfestellung, sowie Tips und Tricks im Umgang mit Windows NT Server und Workstation. Die meisten Veränderungen die hier beschrieben werden, sollten jedoch nur von erfahrenen Systemadministratoren durchgeführt werden. Auf jeden Fall sollte man die Registry sichern, bevor irgendwelche Veränderungen daran durchgeführt werden.

Weitere Seiten 1 2 3 REGISTRY TIPS

Übersicht in Stichpunkten:

	Registry Schlüssel im Überblick
	Die Abbildung der Registry auf Dateien
	Registry Tools aus dem Resource Kit
	Termin der Paßwortwarnung festlegen
	Feintuning der Druckersettings
	Konfiguration von Drucker-Ports
	Konfiguration der seriellen Ports
	Zugriffsberechtigungen auf die Registry
	Remote Zugriff auf die Registry I
	Remote Zugriff auf die Registry II
	Diverse Zugriffssperren aktivieren
	Lokale Sperren aktivieren
	Netzwerkfunktionen einschränken

Registry Schlüssel im Überblick

1 1 1

1 Die Registry von Windows 95 und Windows NT 4.0 sind sich zwar in einigen Punkten ähnlich, untereinander aber nicht kompatibel. Am deutlichsten werden die Unterschiede im Schlüssel HKEY_LOCAL_MACHINE: Sind unter Windows 95 hier die Plug-and-Play-Informationen für Hardwarekomponenten zu finden, so fehlen diese Einträge bei Windows NT, das bekanntlich keine Unterstützung von Plug-and-Play-Hardware bietet. statt dessen sind hier die Einträge des Hardware Abstraction Layers (HAL) zu finden.
Die NT-Registry ist in fünf Bereiche aufgeteilt, die im Englischen als »Hives« bezeichnet werden. Welche Daten Sie in welchen Teilbäumen finden, zeigt die folgende Aufstellung:

HKEY_LOCAL_MACHINE: Systemnahe Informationen und Details über die Konfiguration der Hardware

HKEY_CLASSES_ROOT: Informationen über OLE- und Active-X-Komponenten sowie die Zuordnung von Datei-Endungen

HKEY_CURRENT_CONFIG: Daten über die aktuelle Hardwarekonfiguration, die auch im Schlüssel HKEY_LOCAL_MACHINE zu finden sind

HKEY_CURRENT_USER: Benutzerspezifische Einstellungen sowie alle weiteren relevanten Daten des aktuellen Benutzers

HKEY_USERS: Daten aller dem System bekannten Benutzer, inklusive des gerade angemeldeten Benutzers
1

1 1 1

Die Abbildung der Registry auf Dateien

1 1 1

1 Gespeichert werden die Schlüssel der Registry in Form von Teilbäumen, die jeweils einer Datei zugeordnet sind. Der Zuordnungsmechanismus ist jedoch anders als der bei Windows 95. Abgelegt werden die Dateien im Unterverzeichnis System32/Config des Windows-NT-Verzeichnisses Eine Ausnahme bilden die Benutzerprofile, die unter \Profiles\username in jeweils separaten Ordnern gesichert werden. Um eine bestmögliche Datensicherheit zu gewährleisten, werden die Daten grundsätzlich in zwei Dateien gesichert: Eine Datei enthält die aktuellen Werte, die andere Datei mit der Extension log nimmt die Veränderungen auf. Um Änderungen an der Registry zu speichern, geht NT in mehreren Schritten vor: Zunächst werden die neuen Daten in der entsprechenden LOG-Datei gespeichert. Wurde dieser Schreibvorgang erfolgreich abgeschlossen, wird die zu verändernde Datei eines Teilbaumes mit einem Flag markiert. Jetzt werden die Daten aus dem LOG-File übertragen und nach Abschluß das Flag wieder gelöscht. Tritt während einer dieser Schritte ein Systemabsturz ein, hat Windows NT immer die Möglichkeit, die Konsistenz der Registry zu erhalten. Die Zuordnung der Dateien zu den Schlüsseln gestaltet sich wie folgt:
HKEY_LOCAL_MACHINE\SAM: SAM und SAM.LOG

HKEY_LOCAL_MACHINE\SECURITY: SECURITY und SECURITY.LOG

HKEY_LOCAL_MACHINE\SOFTWARE: SOFTWARE und SOFTWARE.LOG

HKEY_LOCAL_MACHINE\SYSTEM: SYSTEM und SYSTEM.ALT

HKEY_USERS\DEFAULT: DEFAULT und DEFAULT.LOG

HKEY_CURRENT_USER: NTUSER.DAT und NTUSER.DAT.LOG im Verzeichnis des jeweiligen Benutzerprofils
1

1 1 1

Registry Tools aus dem Resource Kit

1 1 1

1 Im Windows NT Resource Kit finden Sie eine Reihe nützlicher Anwendungen, mit deren Hilfe Sie die Registry bearbeiten können. Die meisten der folgenden Tools arbeiten als DOS-Programme und werden daher über die Eingabeaufforderung gestartet:
Regkey
Mit Hilfe von Regkey (regkey.exe) können Sie einige Einstellungen der Windows-Anmeldung, des Dateisystems und der Oberfläche vornehmen, für die es unter Windows NT direkt keine Konfigurationsmöglichkeiten gibt. Statt die Einstellungen der Schlüssel über einen Registry-Editor zu ändern, rufen Sie Regkey auf. Über eine Dialogbox können Sie insgesamt sechs Parameter verändern, so zum Beispiel die Anzeige des zuletzt angemeldeten Benutzers oder die Anzeige der Option Herunterfahren im Anmeldedialog.

Compreg
Von der Eingabeaufforderung aus rufen Sie das Utility Compreg (compreg exe) auf. Mit diesem Tool können Sie zwei Schlüssel vergleichen, die sich auf unterschiedlichen Rechnern befinden. Rufen Sie Compreg mit dem Parameter -R auf, erhalten Sie eine ausführliche Hilfe mit einigen Anwendungsbeispielen.

Regback
Ebenfalls von einer DOS-Box aus starten Sie Regback (regback exe), das eine vollständige Sicherheitskopie der Registry anlegt. Die Besonderheit hierbei: Regback speichert die Registry auch im laufenden Betrieb von Windows NT. Um Regback zu starten, benötigen Sie das Benutzerrecht zum Sichern von Dateien und Verzeichnissen. Als Parameter übergeben Sie Regback ein Verzeichnis, in das die Registry gesichert werden soll. Rufen Sie Regback ohne Parameter auf, wird ein Hilfsbildschirm ausgegeben.

Regrest
Zum Wiederherstellen einer mit Regback gesicherten Registry verwenden Sie Regrest (regtest exe). Vorhandene Dateien können in einem optional anzugebenden Verzeichnis gespeichert werden. Neue Dateien müssen sich alle auf einem Volume befinden, da diese nicht kopiert, sondern umbenannt werden. Zum Aufruf von Regrest benötigen Sie das Benutzerrecht zum Wiederherstellen von Dateien und Verzeichnissen.

Regchange
Regchange (regchg.exe) läßt sich besonders sinnvoll in einer Batchdatei einsetzen, da Sie hiermit einen bestimmten Wert innerhalb der Registry verändern können. Als Parameter übergeben Sie den kompletten Teilbaum eines Schlüssels sowie den zu ändernden Wert. Ein Aufruf gestaltet sich wie folgt: Regchg Registry-Pfad Parameter Datentyp Wert - Um den Wert eines Schlüssels auf einem anderen Rechner zu modifizieren, verwenden Sie das Programm RRegchange (rregchg.exe).

Regdel
Um einen Schlüssel gezielt aus der Registry zu entfernen, verwenden Sie das Tool Regdel (regdel.exe). Als Parameter übergeben Sie den zu entfernenden Teilbaum. Optional können Sie auch einen Teilbaum von einem anderen Rechner löschen Der Aufruf für den Remote Zugriff sieht dann folgendermaßen aus: Regdel -r \\Servername "RegistrvPathToDelet"

Regread
Verwenden Sie Regread (regread.exe), um den Teilbaum HKEY_LOCAL_MACHlNE der Registry gezielt auszulesen. Der Aufruf erfolgt über die Kommandozeile regread \\Servername Teilbaum (optional) Schlüssel (optional)

Savekey
Verwenden Sie Savekey (savekey.exe), um einen Teilbaum der Registry in eine Textdatei zu speichern. Der Aufruf erfolgt über die Kommandozeile: savekey Teilbaum Dateiname

Regsec und Secadd
Die Zugriffsrechte auf Schlüssel im Teilbaum HKEY_LOCAL_MACHlNE können Sie über Regsec (regsec.exe) und Secadd (secadd.exe) modifizieren. Über Regsec können Sie die Benutzergruppe Jeder aus den Zugriffsrechten entfernen, während Sie mit Secadd die Leseberechtigung für einen Schlüssel setzen. Sie können Schlüssel entweder lokal oder auf einem Rechner im Netzwerk ändern. Um einen Lesezugriff für einen lokalen Schlüssel zu setzen, rufen Sie Secadd mit den Parametern Secadd -I Schlüsselname auf, für einen Rechner im Netzwerk lautet der Aufruf: secadd -r \\Servername Schlüsselname
1

1 1 1

Termin der Paßwortwarnung festlegen

1 1 1

1 Normalerweise meldet sich Windows NT schon 14 Tage vor dem eigentlichen Ablauf der Gültigkeit des Paßworts, um den Anwender mehr oder weniger freundlich daran zu erinnern, ein neues Paßwort zu wählen. Diese Zeitspanne ist jedoch für die meisten Umgebungen viel zu lang. Wenn Sie diesen Parameter ändern wollen, öffnen Sie die Registry und suchen den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon. Fügen Sie unter diesem Schlüssel einen Eintrag PasswordExpiryWarning vom Typ REG_DWORD hinzu und tragen Sie als Wert die Anzahl von Tagen ein, die Windows NT den Benutzer vor Ablauf des aktuellen Paßworts warnen und ihnauf die Selektion eines neuen Zugangsschlüssels hinweisen soll. 1

1 1 1

Feintuning der Druckersettings

1 1 1

1 Auch die Ansteuerung eines Netzwerksdruckers an einem NT-Rechner läßt sich über die Registry beeinflussen. Sie können dem Printerport sowohl mehr als auch weniger Systemressourcen zur Verfügung stellen. Öffnen Sie dazu folgenden Schlüssel in der Registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Print.

In den Parametern der rechten Übersicht finden Sie folgende Unterschlüssel:

FastPrintWaitTimeout:
Hier läßt sich in Millisekunden einstellen, wie lange der für den Druckerport zuständige Thread versucht, neue Daten von der sendenden Applikation zu erhalten. Nach der hier eingestellten Zeitspanne gibt der Thread auf und wendet sich dem nächsten anstehenden Druckauftrag zu.

FastPrintThrottleTimeout:
Manche Drucker gehen in den Wartezustand über, wenn sie über eine bestimmte Zeitspanne hinweg keine Daten mehr erhalten. Um den entgegenzuwirken, sendet der Spooler die Daten langsamer an den Druckerport, wenn der unter FastPrintSlowDownThreshold eingestellte Wert erreicht ist. Ab diesem Zeitpunkt wird so lange nur noch ein Byte je unter FastPrintThrottleTimeout eingestellter Zeitspanne an den Drucker geschickt, bis FastPrintSlowDownThreshold überschritten ist.

FastPrintSlowDownThreshold:
Siehe oben. Der Defaultwert ergibt sich aus FastPrintWaitTimeout dividiert durch FastPrintThrottleTimeout

NetPrinterDecayPeriod:
Gibt an, wie lang ein Netzwerkdrucker im Cache gehalten werden soll. Die Daten im Cache dienen dazu, die Liste der Netzwerkdrucker im Netzwerkbrowser anzuzeigen.

PortThreadPriority:
Dieser Eintrag kann die drei Werte 0, 1 und -1 annehmen. 0 bedeutet dabei normale Arbeitsweise, ein Wert von 1 teilt dem Port eine höhere und -1 eine niedrigere Priorität als normal zu.

SchedulerThreadPriority:
Hier läßt sich mit Hilfe des unter PortThreadPriority erklärten Schemas festlegen, wie häufig dem Thread der Prozessor zugeteilt wird.

SpoolerPriority:
Setzt die Prioritätsklasse des Druckspoolers. Auch hier gelten wieder die für die anderen Threads beschriebenen Werte.
1

1 1 1

Konfiguration von Drucker-Ports

1 1 1

1
Zusätzlich zu den bei Systemstart von der Hardware-Erkennung identifizierten Drucker-Ports können Sie über den Schlüssel HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Parallel weitere Ports manuell definieren. Hiermit können auch Werte der automatischen Hardware-Erkennung überschrieben werden. Unter dem neu einzurichtenden Schlüssel Parameters werden weitere Ports über Unterschlüssel mit der Bezeichnung Parallelx eingerichtet, wie zum Beispiel Parallel2. Als Parameter können hier folgende Optionen eingetragen werden:

DosDevices:
Hier tragen Sie den Namen ein, den eine Anwendung zum Ansprechen eines Druckers benutzt, z.B. LPT3

PortAddress:
An dieser Stelle wird eine Zahl in hexadezimaler Notation erwartet, die die Adresse des Druckerports angibt. Eine typische Port-Adresse wäre in diesem Fall 0x278

Während die beiden eben genannten Parameter zwingend notwendig sind, sind die folgenden zwei Schlüssel optional:

DisablePort:
Wenn Sie hier den Wert 1 eintragen, so wird der zuvor definierte Druckerport nach einem Reset während der Initialisierungsphase gesperrt, so daß kein weiterer Zugriff möglich ist

Interrupt:
In hexadezimaler Notation tragen Sie hier den IRQ für den Druckerport ein, zum Beispiel 0x5. Geben Sie keinen Wert an, so erfolgt das Drucken rein softwaremäßig über ein Polling durch den Prozessor.
1

1 1 1

Konfiguration der seriellen Ports

1 1 1

1
Zur Konfiguration weiterer serieller Schnittstellen verwenden Sie den folgenden Schlüssel: HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Serial. Der Unterschlüssel Parameters enthält weitere Schlüssel wie zum Beispiel Serial2. Hier werden dann die folgenden Parameter eingetragen:

DosDevices:
Der logische Name der Schnittstelle, beispielsweise COM3

Interrupt:
Enthält den Interrupt in hexadezimaler Notation, über den die Schnittstelle angesprochen wird, z.B.0x4

PortAddress:
Hier wird die Port-Adresse in hexadezimaler Schreibweise eingetragen, etwa 0x3e8

Optional sind die beiden folgenden Einträge:

DisablePort:
Wird hier der Wert 1 eingetragen, so wird der zuvor definierte Port nach einem Reset während der Initialisierungsphase entfernt

ForceFifoEnable:
Verfügt die serielle Schnittstelle über einen Baustein mit Fifo-Buffer, beispielsweise einen 16550 AFN, können Sie mit dem Wert 1 die Verwendung des Fifo-Buffers aktivieren. Mit dem Wert O wird der Fifo-Buffer deaktiviert.

Möchten Sie eine serielle Schnittstelle unter Windows NT vorübergehend deaktivieren, so können Sie dies über die Registry auch anders erledigen. Suchen Sie zunächst in der Registry nach dem Schlüssel: HKEY_LOCAL_MACHlNE\Hardware\ DeniceMap\SerialComm. Den Unterschlüssel Serialy wählen Sie entsprechend dem zu löschenden Com-Port aus. Weiterhin ist der entsprechende Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Serial\Parameters\Serial zu löschen. Sinnvoll kann dies sein, wenn Sie beispielsweise aus Sicherheitsgründen die Verwendung der seriellen Schnittstelle unterbinden müssen.
1

1 1 1

Zugriffsberechtigungen auf die Registry

1 1 1

1 In vielen Sicherheitskonzepten für Windows NT wird übersehen, daß die sichere Konfiguration des Systems nicht nur aus Datei- und Verzeichniszugriffsrechten besteht. Schon die Benutzerrechte im System, die sich über den Befehl Berechtigungen im Menü Richtlinien des Benutzer-Manager für Domänen definieren lassen, werden keineswegs mehr überall konsequent angewandt. Noch viel seltener setzen Administratoren die Berechtigungen in der Registry ein.
Das Sicherheitsmodell von Windows NT erlaubt es, auf alle kritischen Objekte im System Zugriffsrechte zu definieren. Davon ist auch die Registry nicht ausgenommen. Allerdings müssen Sie dazu den klassischen Registry-Editor (Regedt32.exe) verwenden. Der seit Windows NT 4.0 vorhandene zweite Registry-Editor (Regedit.exe) unterstützt diese Funktion nicht. Hintergrund dafür ist, daß letzterer eine Portierung von Windows 95 darstellt. Und da Windows 95 mit Sicherheit nicht allzu viel gemein hat, gibt es dort auch keine Funktionen, mit denen Sicherheitseinstellungen korrekt konfiguriert werden könnten. Im "klassischen" Registry-Editor können Sie jedoch über den Befehl Berechtigungen im Menü Sicherheit festlegen, welcher Benutzer beziehungsweise welche Benutzergruppe in welcher Weise auf die Registry-Informationen zugreifen darf. Wie einige der neueren Service Packs zeigen, kann das auch im allgemeinen Bereich von Bedeutung sein. Ein viel naheliegenderer Einsatzbereich ist aber der Schutz von Einstellungen, die für Anwendungen defeniert wurden, vor der unbefugten Veränderung. Bei Anwendungen, die in der allgemeinen Programmgruppe installiert werden, haben Anwender in der Regel fast die vollen Zugriffsberechtigungen. Diese können bei Bedarf über die Steuerung der Zugriffsberechtigungen in der Registry angepaßt werden. Es gibt aber auch andere Möglichkeiten. So können sich Administratoren beispielsweise auf die standardmäßig für den Zugriff gesperrten Einstellungen in der die SAM-Zugriffsrechte geben. Da die Gruppe der Administratoren der Besitzer dieses Teilsbaums der Registry ist, kann sich ein Administrator Zugriffsrechte geben, ohne zuvor welche zu besitzen... 1

1 1 1

Remote Zugriff auf die Registry I

1 1 1

1 Ein wichtiger Vergleichswert für die Steuerung von Registry-Zugriffen ist ein Parameter, der sich auf die LSA (Local Security Authority) bezieht. Es ist der Parameter RestrictAnoymous in SYSTEM\CurrentControlSet\Control\LSA. Der Datentyp ist EG_DWORD. Wenn Sie diesen Parameter auf 1 setzen, wird der anonyme Zugriff auf die Registry eingeschränkt. Betroffen davon sind Zugriffe auf Informationen wie Domänennamen und Listen von Freigaben. Mit diesem Parameter wird festgelegt, daß beim Wert 1 eine Authentisierung erforderlich ist. Diese bezieht sich allerdings nur auf die Werkzeuge mit grafischer Bedieneroberfläche wie den Windows NT Explorer oder den Benutzer-Manager für Domänen. Es gibt immer noch Funktionen des Win32-API, mit denen auch weiterhin Null Sessions aufgebaut werden können. Ein anderer wichtiger Parameter in diesem Zusammenhang ist winreg in SYSTEM\CurrentControlSet\SecurePipeServers. Diesen Parameter gibt es schon länger. Er ist bei Windows NT Server standardmäßig so konfiguriert, daß nur Administratoren über das Netzwerk auf die Registry zugreifen dürfen. Entscheidend bei diesem Eintrag ist, daß die Zugriffsberechtigungen, die in der Registry darauf gesetzt werden, steuern, wer über das Netzwerk auf die Registry zugreifen darf. Sinnvoll ist es, diese Zugriffsberechtigungen etwas zu erweitern und einer ausgewählten lokalen Gruppe, in der die Administratoren ebenfalls entahlten sind, Zugriff zu gewähren. So muß im Tagesgeschäft nicht mit den vollen Administratorenkonten gearbeitet werden. 1

1 1 1

Remote Zugriff auf die Registry II

1 1 1

1 Auch mit dem Registry-Editor kann auf andere Systeme zugegriffen werden. Im Gegensatz zur Definition von Zugriffsberechtigungen steht diese Funktionalität auch bei dem Programm Regedit.exe zur Verfügung. Dort finden Sie im Menü Registrierung den Befehl Mit Netzwerkregistrierung verbinden. Alternativ können Sie auch wieder mit Regedt32.exe arbeiten. Hier heißt der Befehl im gleichnamigen Menü Computer auswählen. Wenn Sie diesen Befehl ausgewählt und sich mit einer Registry auf einem anderen Computer verbunden haben, wird diese bei jedem neuen Zugriff wieder geöffnet. Sie müssen folglich die entfernte Registry explizit auswählen - also das Fenster öffnen - und dann den Befehl Schließen aus dem Menü Computer auswählen. 1

1 1 1

Diverse Zugriffssperren aktivieren

1 1 1

1
Viel Aufwand bei der Verwaltung von Lans wird durch Software verursacht, die von Anwendern ohne Erlaubnis auf den Arbeitsrechnern installiert wird. Über diverse Lockdown-Features bietet die NT-Registry mehrere Möglichkeiten, diese und andere Unarten der Anwender zu unterbinden.

Die im folgenden beschriebenen Parameter finden sich unter folgendem Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

EnforceShellExtensionSecurity:
Ein Wert von 1 bewirkt, daß NT ausschließlich die unter HKEY_LOCAL_MACHlNE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved definierten Shell-Erweiterungen lädt.

NoClose:
Um den Menüpunkt Beenden aus dem Startmenü zu entfernen, ist dieser Eintrag auf 1 zu setzen. Dies erlaubt jedoch nach wie vor den Shutdown per [Ctrl + Alt + Del]. Um auch diesen zu verbieten, ist das erweiterte Recht zum Systemabschluß aus den Userrechten - zu finden unter Policies - zu löschen.

NoCommonGroups:
Wenn Sie diesen Parameter auf den Wert 1 setzen, zeigt NT keine gemeinsamen Programmgruppen mehr an.

NoDesktop:
Das Setzen dieses Eintrags auf 1 bewirkt, daß keine Icons mehr auf dem Desktop erscheinen. Hier eventuell abgelegte Shortcuts liegen dann auch nicht mehr im Zugriff der Anwender.

NoDriveAutoRun:
Ein binär kodiertes Feld, das für die einzelnen Laufwerke des Rechners festlegt, ob das Autorun-Feature aktiv ist oder nicht. Wenn das Bit des Laufwerks auf 1 gesetzt ist, wird die Funktion abgeschaltet. (Achtung: umgekehrte Logik !).

NoDrives:
Hierbei handelt es sich um ein binär codiertes Feld, wobei die einzelnen Bits für die Laufwerke des Rechners stehen. Ein gesetztes Bit bewirkt, daß das Laufwerk nicht mehr in der Laufwerkübersicht, wohl aber noch im Explorer erscheint.

NoFileMenu:
Wenn Sie für diesen Parameter den Wert 1 eintragen, bekommen die Anwender kein Dateimenü im Explorer mehr angezeigt.

NoFind:
Das Umstellen dieses Settings auf den Wert 1 entfernt den Menüpunkt Suchen aus dem Startmenü von Windows NT.

NoNetConnectDisconnect:
Setzen Sie diesen Eintrag auf den Wert 1, um die Punkte Netzlaufwerk verbinden und Netzlaufwerk trennen aus dem Netzwerkmenü und der Optionsauswahl der rechten Maustaste zu entfernen.

NoNetHood:
Sobald für diesen Parameter der Wert 1 gesetzt ist, verschwindet das Icon für die Netzwerkumgebung. Auch aus dem Explorer heraus ist dann kein Zugriff auf das LAN mehr möglich.

NoRun:
Wird für dieses Setting der Wert 1 eingetragen, verschwindet der Menüpunkt Ausführen aus dem Startmenü.

NoSaveSettings:
Tragen Sie eine 1 ein, um zu verhindern, daß eventuell verschobene Icons oder geänderte Fensterpositionen beim Herunterfahren des Rechners gespeichert werden.

NoStartBanner:
Setzen Sie hier einen Wert von 1 ein. um den lästigen animierten Pfeil und den angehängten Schriftzug "Hier klicken um zu starten" verschwinden zu lassen.

NoStartMenuSubFolders:
Läßt die Einträge im oberen Teil des Startmenüs - wie die OfficeLeiste - verschwinden, wenn der Wert auf 1 gesetzt ist.

NoSetFolders:
Tragen Sie unter diesem Paramter eine 1 ein, verschwinden Systemsteuerung, Drucker und Arbeitsplatz aus Startmenü und Explorer.

NoSetTaskbar:
Durch eintragen einer 1 lassen sich Änderungen am Startmenü ausschließlich per Drag-and-drop vomehmen.

NoTrayContextMenu:
Soll verhindert werden, daß Anwender die Eigenschaften der Taskleiste, des Startmenüs und der Arbeitsoberfläche ändern, ist für diesen Eintrag der Wert 1 zu setzen. Allerdings ist dazu die Installation mindestens des Servicepacks 2 notwendig.

NoViewContextMenu:
Ebenfalls nur ab Servicepack 2 oder neuer vorhanden ist dieser Registryeintrag. Ist der Wert 1 eingetragen, erhalten Anwender keine Menüs beim Anklicken der rechten Maustaste im Explorer.

RestrictRun:
Sollen nur bestimmte Programme ausführbar sein, dann ist für diesen Parameter der Wert 1 einzutragen. Ab dem nächsten Neustart läßt Windows NT nur noch den Aufruf von Programmen zu, die im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun definiert sind.
1

1 1 1

Lokale Sperren aktivieren

1 1 1

1 Weitere Restriktionen lassen sich unter dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System einstellen. Dazu sind folgende Parameter vom Typ REG_DWORD einzufügen, die standardmäßig nicht definiert sind. Zusätzlich ist zum Aktivieren des Features der Wert des Parameters auf 1 zu setzen.
DisableTaskManager:
Verhindert, daß taskmgr.exe ausgeführt wird. Dieser Eintrag ist erst ab Servicepack 2 für Windows NT 4.0 vorhanden.

NoDispAppaarancePage:
Entfernt die Option zum Ändern von Farbe oder Farbschemata des Desktons aus der Svstemsteuerung.

NoDispBackgroundPage:
Mit diesem Setting läßt sich verhindern, daß die Anwender eigene Hintergrundmuster oder -grafiken einrichten.

NoDispCPL:
Ist dieser Parameter gesetzt, werden den Benutzern in der Systemsteuerung keine Optionen mehr angezeigt.

NoDispScrSavPage:
Die Aktivierung dieses Parameters verhindert, daß die Benutzer die Einstellungen des Bildschirmschoners ändern.

NoDispSettingsPage:
Dieser Eintrag bewirkt, daß die Anwender die Bildschirmeinstellungen wie Auflösung oder Wiederholrate nicht mehr ändern können.
1

1 1 1

Netzwerkfunktionen einschränken

1 1 1

1 Einschränkungen der Netzwerkfunktionen lassen sich in der Registry unter dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows festlegen:
NoWorkgroupContents:
Ist der Wert dieses Settings 1, dann werden in der Netzwerkumgebung keine Rechner angezeigt, die sich in der lokalen Arbeitsgruppe befinden.

NoEntireNetwork:
Bewirkt, daß keine Rechner außerhalb der lokalen Arbeitsgruppe in der Netzwerkumgebung auftauchen. Das Ausführen von Programmen auf solchen Systemen ist jedoch noch möglich, ebenso das Verbinden von Netzwerkressourcen.
1

1 1 1

	Registry Schlüssel im Überblick
1	1	1
1	Die Registry von Windows 95 und Windows NT 4.0 sind sich zwar in einigen Punkten ähnlich, untereinander aber nicht kompatibel. Am deutlichsten werden die Unterschiede im Schlüssel HKEY_LOCAL_MACHINE: Sind unter Windows 95 hier die Plug-and-Play-Informationen für Hardwarekomponenten zu finden, so fehlen diese Einträge bei Windows NT, das bekanntlich keine Unterstützung von Plug-and-Play-Hardware bietet. statt dessen sind hier die Einträge des Hardware Abstraction Layers (HAL) zu finden. Die NT-Registry ist in fünf Bereiche aufgeteilt, die im Englischen als »Hives« bezeichnet werden. Welche Daten Sie in welchen Teilbäumen finden, zeigt die folgende Aufstellung: HKEY_LOCAL_MACHINE: Systemnahe Informationen und Details über die Konfiguration der Hardware HKEY_CLASSES_ROOT: Informationen über OLE- und Active-X-Komponenten sowie die Zuordnung von Datei-Endungen HKEY_CURRENT_CONFIG: Daten über die aktuelle Hardwarekonfiguration, die auch im Schlüssel HKEY_LOCAL_MACHINE zu finden sind HKEY_CURRENT_USER: Benutzerspezifische Einstellungen sowie alle weiteren relevanten Daten des aktuellen Benutzers HKEY_USERS: Daten aller dem System bekannten Benutzer, inklusive des gerade angemeldeten Benutzers	1
1	1	1

	Die Abbildung der Registry auf Dateien
1	1	1
1	Gespeichert werden die Schlüssel der Registry in Form von Teilbäumen, die jeweils einer Datei zugeordnet sind. Der Zuordnungsmechanismus ist jedoch anders als der bei Windows 95. Abgelegt werden die Dateien im Unterverzeichnis System32/Config des Windows-NT-Verzeichnisses Eine Ausnahme bilden die Benutzerprofile, die unter \Profiles\username in jeweils separaten Ordnern gesichert werden. Um eine bestmögliche Datensicherheit zu gewährleisten, werden die Daten grundsätzlich in zwei Dateien gesichert: Eine Datei enthält die aktuellen Werte, die andere Datei mit der Extension log nimmt die Veränderungen auf. Um Änderungen an der Registry zu speichern, geht NT in mehreren Schritten vor: Zunächst werden die neuen Daten in der entsprechenden LOG-Datei gespeichert. Wurde dieser Schreibvorgang erfolgreich abgeschlossen, wird die zu verändernde Datei eines Teilbaumes mit einem Flag markiert. Jetzt werden die Daten aus dem LOG-File übertragen und nach Abschluß das Flag wieder gelöscht. Tritt während einer dieser Schritte ein Systemabsturz ein, hat Windows NT immer die Möglichkeit, die Konsistenz der Registry zu erhalten. Die Zuordnung der Dateien zu den Schlüsseln gestaltet sich wie folgt: HKEY_LOCAL_MACHINE\SAM: SAM und SAM.LOG HKEY_LOCAL_MACHINE\SECURITY: SECURITY und SECURITY.LOG HKEY_LOCAL_MACHINE\SOFTWARE: SOFTWARE und SOFTWARE.LOG HKEY_LOCAL_MACHINE\SYSTEM: SYSTEM und SYSTEM.ALT HKEY_USERS\DEFAULT: DEFAULT und DEFAULT.LOG HKEY_CURRENT_USER: NTUSER.DAT und NTUSER.DAT.LOG im Verzeichnis des jeweiligen Benutzerprofils	1
1	1	1

	Registry Tools aus dem Resource Kit
1	1	1
1	Im Windows NT Resource Kit finden Sie eine Reihe nützlicher Anwendungen, mit deren Hilfe Sie die Registry bearbeiten können. Die meisten der folgenden Tools arbeiten als DOS-Programme und werden daher über die Eingabeaufforderung gestartet: Regkey Mit Hilfe von Regkey (regkey.exe) können Sie einige Einstellungen der Windows-Anmeldung, des Dateisystems und der Oberfläche vornehmen, für die es unter Windows NT direkt keine Konfigurationsmöglichkeiten gibt. Statt die Einstellungen der Schlüssel über einen Registry-Editor zu ändern, rufen Sie Regkey auf. Über eine Dialogbox können Sie insgesamt sechs Parameter verändern, so zum Beispiel die Anzeige des zuletzt angemeldeten Benutzers oder die Anzeige der Option Herunterfahren im Anmeldedialog. Compreg Von der Eingabeaufforderung aus rufen Sie das Utility Compreg (compreg exe) auf. Mit diesem Tool können Sie zwei Schlüssel vergleichen, die sich auf unterschiedlichen Rechnern befinden. Rufen Sie Compreg mit dem Parameter -R auf, erhalten Sie eine ausführliche Hilfe mit einigen Anwendungsbeispielen. Regback Ebenfalls von einer DOS-Box aus starten Sie Regback (regback exe), das eine vollständige Sicherheitskopie der Registry anlegt. Die Besonderheit hierbei: Regback speichert die Registry auch im laufenden Betrieb von Windows NT. Um Regback zu starten, benötigen Sie das Benutzerrecht zum Sichern von Dateien und Verzeichnissen. Als Parameter übergeben Sie Regback ein Verzeichnis, in das die Registry gesichert werden soll. Rufen Sie Regback ohne Parameter auf, wird ein Hilfsbildschirm ausgegeben. Regrest Zum Wiederherstellen einer mit Regback gesicherten Registry verwenden Sie Regrest (regtest exe). Vorhandene Dateien können in einem optional anzugebenden Verzeichnis gespeichert werden. Neue Dateien müssen sich alle auf einem Volume befinden, da diese nicht kopiert, sondern umbenannt werden. Zum Aufruf von Regrest benötigen Sie das Benutzerrecht zum Wiederherstellen von Dateien und Verzeichnissen. Regchange Regchange (regchg.exe) läßt sich besonders sinnvoll in einer Batchdatei einsetzen, da Sie hiermit einen bestimmten Wert innerhalb der Registry verändern können. Als Parameter übergeben Sie den kompletten Teilbaum eines Schlüssels sowie den zu ändernden Wert. Ein Aufruf gestaltet sich wie folgt: Regchg Registry-Pfad Parameter Datentyp Wert - Um den Wert eines Schlüssels auf einem anderen Rechner zu modifizieren, verwenden Sie das Programm RRegchange (rregchg.exe). Regdel Um einen Schlüssel gezielt aus der Registry zu entfernen, verwenden Sie das Tool Regdel (regdel.exe). Als Parameter übergeben Sie den zu entfernenden Teilbaum. Optional können Sie auch einen Teilbaum von einem anderen Rechner löschen Der Aufruf für den Remote Zugriff sieht dann folgendermaßen aus: Regdel -r \\Servername "RegistrvPathToDelet" Regread Verwenden Sie Regread (regread.exe), um den Teilbaum HKEY_LOCAL_MACHlNE der Registry gezielt auszulesen. Der Aufruf erfolgt über die Kommandozeile regread \\Servername Teilbaum (optional) Schlüssel (optional) Savekey Verwenden Sie Savekey (savekey.exe), um einen Teilbaum der Registry in eine Textdatei zu speichern. Der Aufruf erfolgt über die Kommandozeile: savekey Teilbaum Dateiname Regsec und Secadd Die Zugriffsrechte auf Schlüssel im Teilbaum HKEY_LOCAL_MACHlNE können Sie über Regsec (regsec.exe) und Secadd (secadd.exe) modifizieren. Über Regsec können Sie die Benutzergruppe Jeder aus den Zugriffsrechten entfernen, während Sie mit Secadd die Leseberechtigung für einen Schlüssel setzen. Sie können Schlüssel entweder lokal oder auf einem Rechner im Netzwerk ändern. Um einen Lesezugriff für einen lokalen Schlüssel zu setzen, rufen Sie Secadd mit den Parametern Secadd -I Schlüsselname auf, für einen Rechner im Netzwerk lautet der Aufruf: secadd -r \\Servername Schlüsselname	1
1	1	1

	Termin der Paßwortwarnung festlegen
1	1	1
1	Normalerweise meldet sich Windows NT schon 14 Tage vor dem eigentlichen Ablauf der Gültigkeit des Paßworts, um den Anwender mehr oder weniger freundlich daran zu erinnern, ein neues Paßwort zu wählen. Diese Zeitspanne ist jedoch für die meisten Umgebungen viel zu lang. Wenn Sie diesen Parameter ändern wollen, öffnen Sie die Registry und suchen den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon. Fügen Sie unter diesem Schlüssel einen Eintrag PasswordExpiryWarning vom Typ REG_DWORD hinzu und tragen Sie als Wert die Anzahl von Tagen ein, die Windows NT den Benutzer vor Ablauf des aktuellen Paßworts warnen und ihnauf die Selektion eines neuen Zugangsschlüssels hinweisen soll.	1
1	1	1

	Feintuning der Druckersettings
1	1	1
1	Auch die Ansteuerung eines Netzwerksdruckers an einem NT-Rechner läßt sich über die Registry beeinflussen. Sie können dem Printerport sowohl mehr als auch weniger Systemressourcen zur Verfügung stellen. Öffnen Sie dazu folgenden Schlüssel in der Registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Print. In den Parametern der rechten Übersicht finden Sie folgende Unterschlüssel: FastPrintWaitTimeout: Hier läßt sich in Millisekunden einstellen, wie lange der für den Druckerport zuständige Thread versucht, neue Daten von der sendenden Applikation zu erhalten. Nach der hier eingestellten Zeitspanne gibt der Thread auf und wendet sich dem nächsten anstehenden Druckauftrag zu. FastPrintThrottleTimeout: Manche Drucker gehen in den Wartezustand über, wenn sie über eine bestimmte Zeitspanne hinweg keine Daten mehr erhalten. Um den entgegenzuwirken, sendet der Spooler die Daten langsamer an den Druckerport, wenn der unter FastPrintSlowDownThreshold eingestellte Wert erreicht ist. Ab diesem Zeitpunkt wird so lange nur noch ein Byte je unter FastPrintThrottleTimeout eingestellter Zeitspanne an den Drucker geschickt, bis FastPrintSlowDownThreshold überschritten ist. FastPrintSlowDownThreshold: Siehe oben. Der Defaultwert ergibt sich aus FastPrintWaitTimeout dividiert durch FastPrintThrottleTimeout NetPrinterDecayPeriod: Gibt an, wie lang ein Netzwerkdrucker im Cache gehalten werden soll. Die Daten im Cache dienen dazu, die Liste der Netzwerkdrucker im Netzwerkbrowser anzuzeigen. PortThreadPriority: Dieser Eintrag kann die drei Werte 0, 1 und -1 annehmen. 0 bedeutet dabei normale Arbeitsweise, ein Wert von 1 teilt dem Port eine höhere und -1 eine niedrigere Priorität als normal zu. SchedulerThreadPriority: Hier läßt sich mit Hilfe des unter PortThreadPriority erklärten Schemas festlegen, wie häufig dem Thread der Prozessor zugeteilt wird. SpoolerPriority: Setzt die Prioritätsklasse des Druckspoolers. Auch hier gelten wieder die für die anderen Threads beschriebenen Werte.	1
1	1	1

	Konfiguration von Drucker-Ports
1	1	1
1	Zusätzlich zu den bei Systemstart von der Hardware-Erkennung identifizierten Drucker-Ports können Sie über den Schlüssel HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Parallel weitere Ports manuell definieren. Hiermit können auch Werte der automatischen Hardware-Erkennung überschrieben werden. Unter dem neu einzurichtenden Schlüssel Parameters werden weitere Ports über Unterschlüssel mit der Bezeichnung Parallelx eingerichtet, wie zum Beispiel Parallel2. Als Parameter können hier folgende Optionen eingetragen werden: DosDevices: Hier tragen Sie den Namen ein, den eine Anwendung zum Ansprechen eines Druckers benutzt, z.B. LPT3 PortAddress: An dieser Stelle wird eine Zahl in hexadezimaler Notation erwartet, die die Adresse des Druckerports angibt. Eine typische Port-Adresse wäre in diesem Fall 0x278 Während die beiden eben genannten Parameter zwingend notwendig sind, sind die folgenden zwei Schlüssel optional: DisablePort: Wenn Sie hier den Wert 1 eintragen, so wird der zuvor definierte Druckerport nach einem Reset während der Initialisierungsphase gesperrt, so daß kein weiterer Zugriff möglich ist Interrupt: In hexadezimaler Notation tragen Sie hier den IRQ für den Druckerport ein, zum Beispiel 0x5. Geben Sie keinen Wert an, so erfolgt das Drucken rein softwaremäßig über ein Polling durch den Prozessor.	1
1	1	1

	Konfiguration der seriellen Ports
1	1	1
1	Zur Konfiguration weiterer serieller Schnittstellen verwenden Sie den folgenden Schlüssel: HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Serial. Der Unterschlüssel Parameters enthält weitere Schlüssel wie zum Beispiel Serial2. Hier werden dann die folgenden Parameter eingetragen: DosDevices: Der logische Name der Schnittstelle, beispielsweise COM3 Interrupt: Enthält den Interrupt in hexadezimaler Notation, über den die Schnittstelle angesprochen wird, z.B.0x4 PortAddress: Hier wird die Port-Adresse in hexadezimaler Schreibweise eingetragen, etwa 0x3e8 Optional sind die beiden folgenden Einträge: DisablePort: Wird hier der Wert 1 eingetragen, so wird der zuvor definierte Port nach einem Reset während der Initialisierungsphase entfernt ForceFifoEnable: Verfügt die serielle Schnittstelle über einen Baustein mit Fifo-Buffer, beispielsweise einen 16550 AFN, können Sie mit dem Wert 1 die Verwendung des Fifo-Buffers aktivieren. Mit dem Wert O wird der Fifo-Buffer deaktiviert. Möchten Sie eine serielle Schnittstelle unter Windows NT vorübergehend deaktivieren, so können Sie dies über die Registry auch anders erledigen. Suchen Sie zunächst in der Registry nach dem Schlüssel: HKEY_LOCAL_MACHlNE\Hardware\ DeniceMap\SerialComm. Den Unterschlüssel Serialy wählen Sie entsprechend dem zu löschenden Com-Port aus. Weiterhin ist der entsprechende Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Serial\Parameters\Serial zu löschen. Sinnvoll kann dies sein, wenn Sie beispielsweise aus Sicherheitsgründen die Verwendung der seriellen Schnittstelle unterbinden müssen.	1
1	1	1

	Zugriffsberechtigungen auf die Registry
1	1	1
1	In vielen Sicherheitskonzepten für Windows NT wird übersehen, daß die sichere Konfiguration des Systems nicht nur aus Datei- und Verzeichniszugriffsrechten besteht. Schon die Benutzerrechte im System, die sich über den Befehl Berechtigungen im Menü Richtlinien des Benutzer-Manager für Domänen definieren lassen, werden keineswegs mehr überall konsequent angewandt. Noch viel seltener setzen Administratoren die Berechtigungen in der Registry ein. Das Sicherheitsmodell von Windows NT erlaubt es, auf alle kritischen Objekte im System Zugriffsrechte zu definieren. Davon ist auch die Registry nicht ausgenommen. Allerdings müssen Sie dazu den klassischen Registry-Editor (Regedt32.exe) verwenden. Der seit Windows NT 4.0 vorhandene zweite Registry-Editor (Regedit.exe) unterstützt diese Funktion nicht. Hintergrund dafür ist, daß letzterer eine Portierung von Windows 95 darstellt. Und da Windows 95 mit Sicherheit nicht allzu viel gemein hat, gibt es dort auch keine Funktionen, mit denen Sicherheitseinstellungen korrekt konfiguriert werden könnten. Im "klassischen" Registry-Editor können Sie jedoch über den Befehl Berechtigungen im Menü Sicherheit festlegen, welcher Benutzer beziehungsweise welche Benutzergruppe in welcher Weise auf die Registry-Informationen zugreifen darf. Wie einige der neueren Service Packs zeigen, kann das auch im allgemeinen Bereich von Bedeutung sein. Ein viel naheliegenderer Einsatzbereich ist aber der Schutz von Einstellungen, die für Anwendungen defeniert wurden, vor der unbefugten Veränderung. Bei Anwendungen, die in der allgemeinen Programmgruppe installiert werden, haben Anwender in der Regel fast die vollen Zugriffsberechtigungen. Diese können bei Bedarf über die Steuerung der Zugriffsberechtigungen in der Registry angepaßt werden. Es gibt aber auch andere Möglichkeiten. So können sich Administratoren beispielsweise auf die standardmäßig für den Zugriff gesperrten Einstellungen in der die SAM-Zugriffsrechte geben. Da die Gruppe der Administratoren der Besitzer dieses Teilsbaums der Registry ist, kann sich ein Administrator Zugriffsrechte geben, ohne zuvor welche zu besitzen...	1
1	1	1

	Remote Zugriff auf die Registry I
1	1	1
1	Ein wichtiger Vergleichswert für die Steuerung von Registry-Zugriffen ist ein Parameter, der sich auf die LSA (Local Security Authority) bezieht. Es ist der Parameter RestrictAnoymous in SYSTEM\CurrentControlSet\Control\LSA. Der Datentyp ist EG_DWORD. Wenn Sie diesen Parameter auf 1 setzen, wird der anonyme Zugriff auf die Registry eingeschränkt. Betroffen davon sind Zugriffe auf Informationen wie Domänennamen und Listen von Freigaben. Mit diesem Parameter wird festgelegt, daß beim Wert 1 eine Authentisierung erforderlich ist. Diese bezieht sich allerdings nur auf die Werkzeuge mit grafischer Bedieneroberfläche wie den Windows NT Explorer oder den Benutzer-Manager für Domänen. Es gibt immer noch Funktionen des Win32-API, mit denen auch weiterhin Null Sessions aufgebaut werden können. Ein anderer wichtiger Parameter in diesem Zusammenhang ist winreg in SYSTEM\CurrentControlSet\SecurePipeServers. Diesen Parameter gibt es schon länger. Er ist bei Windows NT Server standardmäßig so konfiguriert, daß nur Administratoren über das Netzwerk auf die Registry zugreifen dürfen. Entscheidend bei diesem Eintrag ist, daß die Zugriffsberechtigungen, die in der Registry darauf gesetzt werden, steuern, wer über das Netzwerk auf die Registry zugreifen darf. Sinnvoll ist es, diese Zugriffsberechtigungen etwas zu erweitern und einer ausgewählten lokalen Gruppe, in der die Administratoren ebenfalls entahlten sind, Zugriff zu gewähren. So muß im Tagesgeschäft nicht mit den vollen Administratorenkonten gearbeitet werden.	1
1	1	1

	Remote Zugriff auf die Registry II
1	1	1
1	Auch mit dem Registry-Editor kann auf andere Systeme zugegriffen werden. Im Gegensatz zur Definition von Zugriffsberechtigungen steht diese Funktionalität auch bei dem Programm Regedit.exe zur Verfügung. Dort finden Sie im Menü Registrierung den Befehl Mit Netzwerkregistrierung verbinden. Alternativ können Sie auch wieder mit Regedt32.exe arbeiten. Hier heißt der Befehl im gleichnamigen Menü Computer auswählen. Wenn Sie diesen Befehl ausgewählt und sich mit einer Registry auf einem anderen Computer verbunden haben, wird diese bei jedem neuen Zugriff wieder geöffnet. Sie müssen folglich die entfernte Registry explizit auswählen - also das Fenster öffnen - und dann den Befehl Schließen aus dem Menü Computer auswählen.	1
1	1	1

	Diverse Zugriffssperren aktivieren
1	1	1
1	Viel Aufwand bei der Verwaltung von Lans wird durch Software verursacht, die von Anwendern ohne Erlaubnis auf den Arbeitsrechnern installiert wird. Über diverse Lockdown-Features bietet die NT-Registry mehrere Möglichkeiten, diese und andere Unarten der Anwender zu unterbinden. Die im folgenden beschriebenen Parameter finden sich unter folgendem Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. EnforceShellExtensionSecurity: Ein Wert von 1 bewirkt, daß NT ausschließlich die unter HKEY_LOCAL_MACHlNE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved definierten Shell-Erweiterungen lädt. NoClose: Um den Menüpunkt Beenden aus dem Startmenü zu entfernen, ist dieser Eintrag auf 1 zu setzen. Dies erlaubt jedoch nach wie vor den Shutdown per [Ctrl + Alt + Del]. Um auch diesen zu verbieten, ist das erweiterte Recht zum Systemabschluß aus den Userrechten - zu finden unter Policies - zu löschen. NoCommonGroups: Wenn Sie diesen Parameter auf den Wert 1 setzen, zeigt NT keine gemeinsamen Programmgruppen mehr an. NoDesktop: Das Setzen dieses Eintrags auf 1 bewirkt, daß keine Icons mehr auf dem Desktop erscheinen. Hier eventuell abgelegte Shortcuts liegen dann auch nicht mehr im Zugriff der Anwender. NoDriveAutoRun: Ein binär kodiertes Feld, das für die einzelnen Laufwerke des Rechners festlegt, ob das Autorun-Feature aktiv ist oder nicht. Wenn das Bit des Laufwerks auf 1 gesetzt ist, wird die Funktion abgeschaltet. (Achtung: umgekehrte Logik !). NoDrives: Hierbei handelt es sich um ein binär codiertes Feld, wobei die einzelnen Bits für die Laufwerke des Rechners stehen. Ein gesetztes Bit bewirkt, daß das Laufwerk nicht mehr in der Laufwerkübersicht, wohl aber noch im Explorer erscheint. NoFileMenu: Wenn Sie für diesen Parameter den Wert 1 eintragen, bekommen die Anwender kein Dateimenü im Explorer mehr angezeigt. NoFind: Das Umstellen dieses Settings auf den Wert 1 entfernt den Menüpunkt Suchen aus dem Startmenü von Windows NT. NoNetConnectDisconnect: Setzen Sie diesen Eintrag auf den Wert 1, um die Punkte Netzlaufwerk verbinden und Netzlaufwerk trennen aus dem Netzwerkmenü und der Optionsauswahl der rechten Maustaste zu entfernen. NoNetHood: Sobald für diesen Parameter der Wert 1 gesetzt ist, verschwindet das Icon für die Netzwerkumgebung. Auch aus dem Explorer heraus ist dann kein Zugriff auf das LAN mehr möglich. NoRun: Wird für dieses Setting der Wert 1 eingetragen, verschwindet der Menüpunkt Ausführen aus dem Startmenü. NoSaveSettings: Tragen Sie eine 1 ein, um zu verhindern, daß eventuell verschobene Icons oder geänderte Fensterpositionen beim Herunterfahren des Rechners gespeichert werden. NoStartBanner: Setzen Sie hier einen Wert von 1 ein. um den lästigen animierten Pfeil und den angehängten Schriftzug "Hier klicken um zu starten" verschwinden zu lassen. NoStartMenuSubFolders: Läßt die Einträge im oberen Teil des Startmenüs - wie die OfficeLeiste - verschwinden, wenn der Wert auf 1 gesetzt ist. NoSetFolders: Tragen Sie unter diesem Paramter eine 1 ein, verschwinden Systemsteuerung, Drucker und Arbeitsplatz aus Startmenü und Explorer. NoSetTaskbar: Durch eintragen einer 1 lassen sich Änderungen am Startmenü ausschließlich per Drag-and-drop vomehmen. NoTrayContextMenu: Soll verhindert werden, daß Anwender die Eigenschaften der Taskleiste, des Startmenüs und der Arbeitsoberfläche ändern, ist für diesen Eintrag der Wert 1 zu setzen. Allerdings ist dazu die Installation mindestens des Servicepacks 2 notwendig. NoViewContextMenu: Ebenfalls nur ab Servicepack 2 oder neuer vorhanden ist dieser Registryeintrag. Ist der Wert 1 eingetragen, erhalten Anwender keine Menüs beim Anklicken der rechten Maustaste im Explorer. RestrictRun: Sollen nur bestimmte Programme ausführbar sein, dann ist für diesen Parameter der Wert 1 einzutragen. Ab dem nächsten Neustart läßt Windows NT nur noch den Aufruf von Programmen zu, die im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun definiert sind.	1
1	1	1

	Lokale Sperren aktivieren
1	1	1
1	Weitere Restriktionen lassen sich unter dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System einstellen. Dazu sind folgende Parameter vom Typ REG_DWORD einzufügen, die standardmäßig nicht definiert sind. Zusätzlich ist zum Aktivieren des Features der Wert des Parameters auf 1 zu setzen. DisableTaskManager: Verhindert, daß taskmgr.exe ausgeführt wird. Dieser Eintrag ist erst ab Servicepack 2 für Windows NT 4.0 vorhanden. NoDispAppaarancePage: Entfernt die Option zum Ändern von Farbe oder Farbschemata des Desktons aus der Svstemsteuerung. NoDispBackgroundPage: Mit diesem Setting läßt sich verhindern, daß die Anwender eigene Hintergrundmuster oder -grafiken einrichten. NoDispCPL: Ist dieser Parameter gesetzt, werden den Benutzern in der Systemsteuerung keine Optionen mehr angezeigt. NoDispScrSavPage: Die Aktivierung dieses Parameters verhindert, daß die Benutzer die Einstellungen des Bildschirmschoners ändern. NoDispSettingsPage: Dieser Eintrag bewirkt, daß die Anwender die Bildschirmeinstellungen wie Auflösung oder Wiederholrate nicht mehr ändern können.	1
1	1	1

	Netzwerkfunktionen einschränken
1	1	1
1	Einschränkungen der Netzwerkfunktionen lassen sich in der Registry unter dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows festlegen: NoWorkgroupContents: Ist der Wert dieses Settings 1, dann werden in der Netzwerkumgebung keine Rechner angezeigt, die sich in der lokalen Arbeitsgruppe befinden. NoEntireNetwork: Bewirkt, daß keine Rechner außerhalb der lokalen Arbeitsgruppe in der Netzwerkumgebung auftauchen. Das Ausführen von Programmen auf solchen Systemen ist jedoch noch möglich, ebenso das Verbinden von Netzwerkressourcen.	1
1	1	1