Ausdruck der Website http://pangert.de
Gedruckte Seite: http://pangert.de/artikelanzeige-it-faq/Outlook_NoPolicy.html

Wie kann ich die Anpassung von Outlook über Policy verhindern

Leider hat sich in den Köpfen mancher Systemadministratoren der Glaube festgesetzt, man müsse die Endanwender-Systeme derart beschneiden, das Power-User in ihrer Arbeitsweise beschränkt werden - der Normalnutzer (oder gar DAU) dafür aber keine Einstellungen am System mehr vornehmen muss.

 

Ein konkretes Beispiel hierzu ist die Deaktivierung der Autoarchivierungsfunktion innerhalb von Outlook, welche bei falscher Anwendung dazu führen kann, das Normalnutzer automatisch Archivierte Inhalte nicht auf die Schnelle wiederfinden.

 

Hallo Admins:

Macht euch das Leben nicht zu einfach. Besser wäre es, die Nutzer im Umgang mit solchen sinnvollen Funktionen angemessen zu schulen - solche Funktionen zu deaktivieren ist nur Kontraproduktiv.

 

Wie können solche Voreinstellungen vorgenommen werden?

Administratoren haben in Windows-Netzwerken die Möglichkeit, über Netzwerk-Richtlinien (Policys) entsprechende Einstellungen vorzunehmen und für alle Nutzer auszurollen.

 

Dieser Artikel beschreibt nun im besonderen, wie diese und ähnliche Voreinstellungen für Outlook unter gewissen Grundvoraussetzungen überschrieben und deren Aktualisierung verhindert werden kann.

 

Es ist aber auf jeden Fall darauf zu achten, das die in diesem Schritt beschriebene Maßnahme in der Regel einen arbeitsrechtlichen Verstoß bedeuten dürfte, welcher mindestens mit einer Abmahnung oder im Extremfall sogar mit einer fristlosen Kündigung sanktioniert werden kann.

 

Voraussetzungen

Um die in diesem Artikel beschriebenen Einstellungen vornehmen zu können, sind folgende Voraussetzungen erforderlich:

  • Der Benutzer muss administrative Rechte auf dem betroffenen PC besitzen (bereits dieser Punkt wird von erfahrenen IT-Administratoren im Ansatz unterbunden - ein normaler Anwender darf diese Rechte aus Sicherheitsgründen nicht besitzen!)
  • Der Benutzer muss sich mit der Bearbeitung der Windows-Registry auskennen
  • Der Benutzer muss eventuelle Konsequenzen, also zum Beispiel das Fehlschlagen späterer Software-Updates auf Grund der beschriebenen Veränderungen, wissentlich in Kauf nehmen.

Die Durchführung

Die entsprechende Policy, welche Anpassungen für Oultlook einrichtet, verändert einen speziellen Eintrag zu Office innerhalb der Registry. Es handel sich hierbei um Werte innerhalb des Schlüssels:

 

HKCU\Software\Policies\Microsoft\Office\xx.0\outlook\preferences

(xx.0: z.B. 15.0 für Office 2013)

 

Innerhalb dieses Schlüssels können nun durch eine entsprechende Netzwerk-Policy gewisse Vorgaben zu Einstellungen von Outlook abgelegt werden, welche dazu führen, das diese Einstellungen in Outlook nicht mehr durch den Anwender anpassbar sind (Beispielsweise "automatisches Leeren des Papierkorbes bei Beendigung von Outlook").

 

Verhindern kann man dies, in dem die Berechtigungen des übergeordneten Schlüssels ("preferences") dieser Werte so abändert, das über die Policy keine neuen Werte in diesem Schlüssel abgelegt werden können, zuvor aber die "unerwünschten" Werte aus dem Schlüssel selbst manuell löscht.

 

Vorgehensweise zur Berechtigungsänderung

Im ersten Schritt ist die Berechtigungsvererbung der übergeordneten Registry-Struktur aufzuheben. Hierbei sollte sinnvollerweise darauf geachtet werden, das mit Abschaltung der Vererbung die übergeordneten Berechtigungen nicht gelöscht sondern kopiert werden.

In diesen nun vorhandenen Berechtigungen für den Schlüssel "preferences" sind nun für alle eingetragenen Benutzer die Berechtigungen auf "Lesen" zu reduzieren. Der entsprechende Vollzugriff ist also zu sperren.

Darüber hinaus sollten für die Benutzergruppe "Jeder" (= wirklich jedem - also auch dem lokale Administrator) verschiedene Rechte-Verweigerungen zugewiesen werden. Folgende Berechtigungs-Verweigerungen haben sich hier als Effektiv und sinnvoll bestätigt:

  • Wert festlegen
  • Unterschlüssel erstellen
  • Löschen
  • DAC schreiben
  • Lesekontrolle

 

Durch diese Maßnahme ist nun sichergestellt, das niemand mehr (auch nicht der lokale, administrative Benutzer!) entsprechende Einträge ändern oder anlegen kann. Lokale, administrative Benutzer behalten jedoch weiterhin die Möglichkeit, Berechtigungseinträge zu verändern bzw. als letzten Schritt den Besitz am entsprechenden Schlüssel zu übernehmen und danach alle Anpassungen wieder aufzuheben.

Zuletzt aktualisiert am 05-04-2019 von Martin Pangert.

Zurück

Weitere Artikel dieser FAQ

IT-Support der etwas anderen Art

Dein Neid ist meine Anerkennung und Dein Hass ist mein Stolz.
Wenn Du hinter meinem Rücken über mich redest, danke ich Dir dass Du mich zum Mittelpunkt Deines Leben machst!!...

(Unbekannter Autor)

Druckdatum: 06-04-2020
Zuvor aufgerufene Seite: http://pangert.de
Bitte beachten Sie, das Inhalte dieses Ausdruckes Urheberrechtlich geschützt
sein können und somit unter Umständen in keiner Weise vervielfältigt werden dürfen!