[2003] Gebruik van NT4 policies uitschakelen - Serversoftware en clouddiensten

vrijdag 29 april 2005 12:28

Acties:

Topicstarter

Ik zit hier met een klein testnetwerkje, een Windows 2003 domein met AD en de hele mikmak.
Als client heb ik een Windows XP met sp1, en een WinNT4 met sp6a workstation.

Nu heb ik begrepen dat NT4 geen gebruik maakt van GPO's. En dat ik dus op de oude manier met poledit een ntconfig.pol moet maken en deze in de netlogon dir zetten. Dit werkt, echter de WindowsXP client maakt ook gebruik van deze ntconfig.pol (ik heb bijv. run uit het start menu gehaald en dit is op beide machines te zien), en dat wil ik niet. Ik weet namelijk niet wat de gevolgen zijn als de XP machine ntconfig.pol -en- GPO's gaat gebruiken, daarom zoek ik naar een manier om dit uit te zetten zodat de XP machine alleen de GPO's pakt en niet ntconfig.pol

Ik heb zelf al geprobeert om een custom.adm bestand te maken met daarin het volgende:

code:

CLASS MACHINE ;This modifies the HKEY_LOCAL_MACHINE portion of the registry

CATEGORY !!SystemCat
  CATEGORY !!GroupPolicyCat
    POLICY !!disablent4policy

     EXPLAIN !!disabltnt4policy_explain
         KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\System"    
         VALUENAME "DisableNT4Policy"
         VALUEON NUMERIC 1
         VALUEOFF NUMERIC 0     
     END POLICY
  END CATEGORY
END CATEGORY

[strings]
SystemCat="System"
GroupPolicyCat="Group Policy"
disablent4policy="Disable system policy"
disabltnt4policy_explain="This policy disables the use of NT4 system policies"

Deze heb ik in de GPO editor toegevoegd en komt er netjes bij te staan, alleen heeft het geen effect blijkbaar. Wel moet ik er even bijzeggen dat ik net met .adm files begonnen ben dus er zullen wel wat fouten inzitten. Info van de registersleutel komt van http://www.winnetmag.com/Article/ArticleID/13800/13800.html

Ik was er nog vergeten bij te zetten:

Als ik bij een Group Policy instel dat ik bijvoorbeeld een aantal tabs in het Internet Explorer configuratiescherm niet mag zien (general, connections etc.) dan werkt deze ook op de NT4 machine (deze heeft overigens IE6sp1 en AD client geinstalleerd). Dus hij krijgt toch wat van GPO's mee

Is er dus ergens een policy of iets anders wat ik kan instellen waardoor de XP machine alleen de GPO's krijgt en de NT machine alleen de ntconfig.pol?

[ Voor 15% gewijzigd door Crashman op 29-04-2005 12:40 ]

specs | You know you are addicted to the internet when you refer 'books' as 'portable websites'. | http://radio.c64.org:8000/

vrijdag 29 april 2005 12:39

Acties:

ZeRoC00L

?

Je policy niet ntconfig.pol noemen, maar een andere naam geven, dit moet je dan wel eenmalig in je policy instellen, en op de NT4 bakken. Zo krijgt een NT4 bak nooit automatisch een policy over zich heen, maar alleen als je het echt specifiek instelt.

[*] Error 45: Please replace user
Volg je bankbiljetten

vrijdag 29 april 2005 12:46

Acties:

asing

Is er niet een mogelijkheid om op ntconfig.pol wat rechten uit te delen? Je kunt dan de XP machine toevoegen met een expliciete DENY READ. Zodoende weet je zeker dat de XP machine de policy niet leest.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

vrijdag 29 april 2005 13:44

Acties:

Crashman

Topicstarter

ik heb ff beide suggesties geprobeerd. Ik vergat erbij te zeggen dat ik ook nog met roaming profiles werk. Nu heb ik dus de tip van Zerocool geprobeerd. en krijg het volgende

ntconfig.pol gerenamed naar nt4config.pol
dit ook zo in de policy aangegeven dat hij nt4config.pol moet hebben, met bijv run gedisabled en hide desktop items.

ik log in met kees op de XP machine, heeft nog altijd run en desktop items. Ik denk "mooi." en log uit.

Ik log in met kees op de NT machine, heft geen run en geen desktop items. Ik denk "nog mooier." en log uit.

Ik log weer in met kees op de XP machine, heeft geen run en geen desktop items. Ik denk "da's niet zo mooi

".

Ik heb ook geprobeerd om de read deny op de .pol files te zetten, maar dit heeft geen effect.

[ Voor 11% gewijzigd door Crashman op 29-04-2005 13:45 ]

specs | You know you are addicted to the internet when you refer 'books' as 'portable websites'. | http://radio.c64.org:8000/

vrijdag 29 april 2005 16:43

Acties:

alt-92

ye olde farte

Ehm..

Je weet dat NT4 style policies in je user registry getattooed worden; dus hard erin geplempt worden en dat daar niet de \policies registry subkeys van 2000/XP voor worden gebruikt?

De enige manier om dat terug te draaien is dus een reversed nt4config.pol te draaien

[ Voor 18% gewijzigd door alt-92 op 29-04-2005 16:45 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 2 mei 2005 08:58

Acties:

Crashman

Topicstarter

Ja dat weet ik, maar waarom kreeg die XP machine toch run gedisabled nadat ik met hetzelfde account onder NT ingelogd heb, terwijl daarvoor de run nog steeds enabled was? Ik moet het dus hebben zodat een XP machine helemaal niet naar ntconfig.pol kijkt bij het inloggen.

specs | You know you are addicted to the internet when you refer 'books' as 'portable websites'. | http://radio.c64.org:8000/

maandag 2 mei 2005 09:06

Acties:

iffy

Tsja, misschien de weg van de minste weerstand maar voor maandagochtend geef ik de tip: vergeet policies in deze situatie maar regel het met loginscripts. Misschien heb ik een helderder idee als ik meer koffie op heb.

maandag 2 mei 2005 14:47

Acties:

Crashman

Topicstarter

hmmm Ik begin een beetje de weg kwijt te raken merk ik nu. Aangezien op de microsoft site staat dat XP stations in een 2k/2k3 domein gebruikt maakt van GPO's en niet van security policy, begin ik gewoon de roaming profile te verdenken van de problemen die het geeft >.<

specs | You know you are addicted to the internet when you refer 'books' as 'portable websites'. | http://radio.c64.org:8000/

maandag 2 mei 2005 18:15

Acties:

alt-92

ye olde farte

Daarom zei ik ook:

BackSlash32 schreef op vrijdag 29 april 2005 @ 16:43:
Je weet dat NT4 style policies in je user registry getattooed worden; dus hard erin geplempt worden en dat daar niet de \policies registry subkeys van 2000/XP voor worden gebruikt?

Oftewel: als jij datzelfde roaming profile gebruikt op een XP doos worden de door ntconfig.pol getattoode settings meegenomen.

Enige echt werkbare oplossing zou zijn op je NT4 doos geen roaming profile maar alleen een local profile gebruiken.

[ Voor 12% gewijzigd door alt-92 op 02-05-2005 18:21 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 3 mei 2005 08:46

Acties:

Crashman

Topicstarter

Ah okay bedankt

Dan weet ik tenminste waar het aan ligt. Ik wist het namelijk niet zeker meer en zag bijna door de bomen het bos niet meer.

Inmiddels heb ik het opgelost door gewoon verschillende gebruikeraccounts aan te maken voor de gebruikers die met NT én XP werken (bijv. PietNT en PietXP oid). In de policies ingesteld dat de NT accounts niet op de XP machines mogen inloggen en vice versa. Ze hebben dan wel een gezamelijke homedrive op de server. Ook krijgen ze een pop-up scherm dat ze met het XP of NT account moeten inloggen op de betreffende pc's. Toch een vrij nette oplossing, naar wij dachten

[ Voor 63% gewijzigd door Crashman op 04-05-2005 09:29 ]

specs | You know you are addicted to the internet when you refer 'books' as 'portable websites'. | http://radio.c64.org:8000/