Scripting around setup

Security Templates

Die Microsoft Management Console

(MMC) ist eine grafische Benutzeroberfläche zur Verwaltung von Computern unter Microsoft Windows. Die MMC selbst führt keine Verwaltungsaufgaben aus, sondern fasst Verwaltungsprogramme zusammen. Ein solches Programm für die MMC wird Snap-In genannt und trägt die Dateinamenserweiterung .msc.

Mit der MMC werden die meisten Werkzeuge ausgeführt, die der Benutzer unterhalb des Systemsteuerungseintrags "Verwaltung" findet, darunter die Computerverwaltung mit dem Gerätemanager und der Datenträgerverwaltung sowie die Dienststeuerung. Die Hauptansicht der Management Console zeigt links einen Baum, in dem das gewünschte Snap-in ausgewählt wird. Rechts erscheinen dann die zugehörigen Optionen.

Umgang mit der Datei und Registrierungsvirtualisierung

Anwender besitzen normalerweise keinerlei Schreibrechte in den Ordnern %PROGRAMFILES%, %WINDIR%, oder %WINDIR%\System32, sowie in der Registry unter HKLM\Software.

Dies trifft aber auch auf alle Anwendungen zu, die der Benutzer ausführt. Ab Microsoft Windows Vista wird eine sogenannte Datei- und Registry-Virtualisierung ausgeführt. Will eine Applikation Informationen über seine Konfiguration anlegen, wird diese nach %LOCALAPPDATA%\VirtualStore, bzw. HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE umgeleitet.

Diese Umleitung birgt für die Softwarepaketierung gewisse Risiken; vor allem im Hinblick mit dem Upgrade von Ressourcen, die auf Clients virtualisiert vorliegend sind. Die Datei- und Registrierungsvirtualisierung umgeht man damit, dass die betroffenen Dateien und Registryschlüssel Schreibrechte im Usercontext erhalten.

Mit dem MMC-Snapin "Security Templates" kann man kritische Teile einer Anwendung, wie z.B. einer .ini Datei im Folder "C:\Windows", für Benutzer mit eingeschränkten Rechten den Zugriff ermöglichen. Wie man die ACL öffnet, erkläre ich mit einem Beispiel (Start - Ausführen - mmc) :

Anmerkung: Klicken Sie mit der linken Maustaste auf das erste Bild. Mit den Pfeiltasten können Sie bequem zum nächsten Bild und zurück navigieren.

Damit haben wir ein Security Template erstellt. Security Templates befinden sich allgemein im Verzeichnis C:\Windows\Security\Templates und unsere soeben erstellte Datei sollte dorthin kopiert werden. Damit das Security Template auch angewendet wird, muss folgender Befehl (in einer Zeile) ausgeführt werden:

secedit
/configure /db "C:\Windows\Security\Templates\Protel_DesignExplorer99SE.sdb"
/cfg "C:\Windows\Security\Templates\Protel_DesignExplorer99SE.inf"
/log "C:\Windows\Security\Templates\Protel_DesignExplorer99SE.log"
/quiet