[Poledit] MS-DOS prompt binnen NT/2K blokkeren - Windows clients

woensdag 4 februari 2004 22:29

Acties:

Verwijderd

Topicstarter

De situatie is als volgt:

4 Computers: 1 NT 4.0 Server, 1 NT 4.0 Workstation, 1 WIN 98 Workstation en 1 Win2k Pro Workstation. Ik maak gebruik van een domein waarin de NT 4.0 server natuurlijk dient als PDC.

Om ervoor te zorgen dat bepaalde onderdelen binnen het besturingssysteem geblokkeerd zijn voor de gebruiker heb ik gebruik gemaakt van poledit. Netjes heb ik een config.pol en ntconfig.pol aangemaakt en in de netlogon directory geplaatst met de daarbij behorende instellingen. De onderdelen die ik voor de gebruikers heb geblokeerd zijn inderdaad doorgevoerd voor de gebruikers (op ieder besturingssysteem).

Mijn probleem is nu als volgt:

Ik had de policy voor windows 98 zo ingesteld dat men niet meer gebruik kan maken van de MS-DOS prompt, helaas kan ik deze optie niet vinden voor mijn NT en WIN2k Werkstation... misschien dat er een .adm file is die aan mijn wensen voldoet? of natuurlijk andere oplossing.. (liefst met poledit).

Alvast bedankt voor de hulp,
D.

woensdag 4 februari 2004 22:54

Acties:

Duinkonijn

Huh?

Verwijderd schreef op 04 februari 2004 @ 22:29:
De situatie is als volgt:

4 Computers: 1 NT 4.0 Server, 1 NT 4.0 Workstation, 1 WIN 98 Workstation en 1 Win2k Pro Workstation. Ik maak gebruik van een domein waarin de NT 4.0 server natuurlijk dient als PDC.

Om ervoor te zorgen dat bepaalde onderdelen binnen het besturingssysteem geblokkeerd zijn voor de gebruiker heb ik gebruik gemaakt van poledit. Netjes heb ik een config.pol en ntconfig.pol aangemaakt en in de netlogon directory geplaatst met de daarbij behorende instellingen. De onderdelen die ik voor de gebruikers heb geblokeerd zijn inderdaad doorgevoerd voor de gebruikers (op ieder besturingssysteem).

Mijn probleem is nu als volgt:

Ik had de policy voor windows 98 zo ingesteld dat men niet meer gebruik kan maken van de MS-DOS prompt, helaas kan ik deze optie niet vinden voor mijn NT en WIN2k Werkstation... misschien dat er een .adm file is die aan mijn wensen voldoet? of natuurlijk andere oplossing.. (liefst met poledit).

Alvast bedankt voor de hulp,
D.

je zou voor windows nt kunnen klooien met run only allowd programs...

voor die 2k bak verwacht ik dan nog een probleem dat die het weer niet begrijpt

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 4 februari 2004 23:08

Acties:

Verwijderd

Is dit wat ?
http://www.winguides.com/registry/category.php?180

woensdag 4 februari 2004 23:17

Acties:

Verwijderd

Topicstarter

je zou voor windows nt kunnen klooien met run only allowd programs...

Dat begrijpt windows 2000 wel, maar dan blokeerd hij meer dan nodig is.

Is dit wat ?
http://www.winguides.com/registry/category.php?180

Dat is inderdaad wel een oplossing, maar dit moet toch ook gewoon mogelijk zijn met poledit?

woensdag 4 februari 2004 23:24

Acties:

Duinkonijn

Huh?

Verwijderd schreef op 04 februari 2004 @ 23:17:
[...]

Dat begrijpt windows 2000 wel, maar dan blokeerd hij meer dan nodig is.

[...]

Dat is inderdaad wel een oplossing, maar dit moet toch ook gewoon mogelijk zijn met poledit?

is het misschien een optie om je pdc uptegraden naar 2k(3)
want de AD pol kan het zeker

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 4 februari 2004 23:29

Acties:

Verwijderd

Topicstarter

is het misschien een optie om je pdc uptegraden naar 2k(3)
want de AD pol kan het zeker

Helaas niet, aangezien dat de enige reden zou zijn.

donderdag 5 februari 2004 10:39

Acties:

Verwijderd

Topicstarter

Iemand een suggestie om dit met poledit op te lossen?

donderdag 5 februari 2004 12:05

Acties:

Verwijderd

Je zou effe deze adm kunne uitproberen.

Kopier onderstaande code in notepad en sla op als adm bestand.

code:

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
; Group Nr.:    7
; Project Nr.:  11
; By:       Rajeev & Nico
; Description:  Customized Policy Template.
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;


;;;;;;;;;;;;;;;;
;;
  CLASS USER
;;
;;;;;;;;;;;;;;;;

    CATEGORY "Policy Template by Rajeev & Nico"

        CATEGORY "Display Panel Restrictions  (All Windows)"
        KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\System

            POLICY "Disable Display Control Panel Access"
                VALUENAME NoDispCPL
            END POLICY 

            POLICY "Hide Settings page"
                VALUENAME NoDispSettingsPage
            END POLICY 
        END CATEGORY

        CATEGORY "Explorer Restrictions (All Windows)"
        KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

            POLICY "Hide All Drives"
                VALUENAME "NoDrives"
                VALUEON NUMERIC 67108863
                VALUEOFF NUMERIC 0
            END POLICY

            POLICY "Hide Network Neighbourhood"
                VALUENAME "NoNetHood"
            END POLICY
        END CATEGORY

        CATEGORY "Program Executing Restrictions"
            POLICY "Restrict MS-DOS (win 9x)"
                KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
                VALUENAME Disabled
            END POLICY

            POLICY "Restrict 'cmd.exe' (win 2k/XP)"
                KEYNAME Software\Policies\Microsoft\Windows\System
                VALUENAME DisableCMD
            END POLICY

            POLICY "Restrict specified programs (Win ME/2k/XP)"
                KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
                VALUENAME DisallowRun

                PART "Restrict 'command.com'" CHECKBOX
                    KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
                    VALUENAME "1" 
                    VALUEON "command.com"
                    VALUEOFF ""
                END PART
            END POLICY

        END CATEGORY

    END CATEGORY

My First Post

Regards,

Raju!!!!

donderdag 5 februari 2004 12:09

Acties:

Duinkonijn

Huh?

Verwijderd schreef op 05 februari 2004 @ 12:05:
Je zou effe deze adm kunne uitproberen.

Kopier onderstaande code in notepad en sla op als adm bestand.
code:
1
My First Post

Regards,

Raju!!!!

met watvoor proggie maak je dat ?

[ Voor 76% gewijzigd door Duinkonijn op 05-02-2004 12:09 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 5 februari 2004 13:42

Acties:

elevator

Officieel moto fan :)

Volgens mij kan je zo'n .adm file gewoon met een text-editor als notepad maken - zo doe ik dat tenminste

vrijdag 6 februari 2004 01:15

Acties:

Verwijderd

Ja je kan het gewoon met notepad ook wel schrijven.

als je wilt het een en ander wilt weten over het schrijven van adm templates dan check eens hier!

http://www.oreilly.com/catalog/winsyspe/chapter/ch08.html

good luck

Raju

vrijdag 6 februari 2004 02:00

Acties:

Duinkonijn

Huh?

Verwijderd schreef op 06 februari 2004 @ 01:15:
als je wilt het een en ander wilt weten over het schrijven van adm templates dan check eens hier!

http://www.oreilly.com/catalog/winsyspe/chapter/ch08.html

tnx

elevator schreef op 05 februari 2004 @ 13:42:
Volgens mij kan je zo'n .adm file gewoon met een text-editor als notepad maken - zo doe ik dat tenminste

ja ok dat wist ik ook wel..

wilde 2 jaar geleden een adm schrijven voor nt zodat hij de policies ook kon doorvoeren op xp...

1x een adm geopend / bekeken gou afgesloten...

heb hem ook btw af gedrukt met klad blok. 1 map vol

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 7 februari 2004 11:22

Acties:

Verwijderd

Topicstarter

Thx Raju

het werkt!

Even een korte uitleg: Heb Raju's .adm bestandje overgenomen in notepad en opgeslagen onder beleid.adm.. Deze heb ik toegevoegd in de poleditor.

dinsdag 10 februari 2004 17:08

Acties:

Atmoz

Techno!!

Dit werkt helaas niet voor WINNT.
De *.adm file wat hier staat heb ik gebruikt, maar ik kan in WINNT nog steeds in DOS. (command prompt). Weet iemand hoe ik de command prompt in WINNT kan blokkeren?

woensdag 11 februari 2004 07:00

Acties:

sanfranjake

Computers can do that?

atmoz schreef op 10 februari 2004 @ 17:08:
Dit werkt helaas niet voor WINNT.
De *.adm file wat hier staat heb ik gebruikt, maar ik kan in WINNT nog steeds in DOS. (command prompt). Weet iemand hoe ik de command prompt in WINNT kan blokkeren?

De enige manier die ik ken is met 'Run Only Allowed Programs'. Dat al geprobeerd ?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 11 februari 2004 15:09

Acties:

Verwijderd

ja ik heb dat al geprobeered maar bij winnt werken de sleutels van win2k niet ookal zijn ze van de nt family best wel raar.

anyways kon niet vinden voor winnt, chorie ?

woensdag 11 februari 2004 15:52

Acties:

Atmoz

Techno!!

sanfranjake schreef op 11 februari 2004 @ 07:00:
[...]

De enige manier die ik ken is met 'Run Only Allowed Programs'. Dat al geprobeerd ?

Is dat die optie waar je dus ALLE programma's die je wel wil laten kunnen starten op moet noemen? Die wilden we liever niet gebruiken omdat dat er wel heel erg veel zijn.

Raar dat het wel mogelijk is in Win98,2000, XP en niet in NT.

Als er nog andere oplossingen zijn hoor ik dat graag natuurlijk

donderdag 12 februari 2004 07:57

Acties:

sanfranjake

Computers can do that?

atmoz schreef op 11 februari 2004 @ 15:52:
[...]

Is dat die optie waar je dus ALLE programma's die je wel wil laten kunnen starten op moet noemen? Die wilden we liever niet gebruiken omdat dat er wel heel erg veel zijn.

Raar dat het wel mogelijk is in Win98,2000, XP en niet in NT.

Als er nog andere oplossingen zijn hoor ik dat graag natuurlijk

Tsja dat is de enige manier om het 'waterdicht' te maken. Je kan overigens in Windows 98 natuurlijk nog steeds niet echt super goed beveiligen, aangezien een user altijd het bestand kan hernoemen/kopieren etcetera. FAT32 is wat dat betreft de boosdoener

Makkelijkste voor jou is denk ik om de handel op 2000+ te draaien als je echt zeker wil zijn dat niemand er bij kan

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters