[XP] MP3-computer beveiligen (softwarerestrictiebeleid?) - Windows clients

donderdag 19 mei 2005 14:39

Acties:

Topicstarter

Ik heb onlangs een MP3-computer geinstalleerd in een kroegje. Daar heb ik een account aangemaakt, zodat daarmee muziek afgespeeld kan worden. Dit is een gebruiker met beperkte rechten. Alleen kan deze gebruiker naar mijn zin nog teveel wijzigen etc. Wat is wil is dat je met dit account alléén muziek kan afspelen van de harddisk en dvd/cd-rom (en eventueel ook van een USB-stick etc.). Met een administrator account wil ik zelf eventuele instellingen wijzigen en programma's installeren.

Nu heb ik wel wat gevonden over ntfs (mappen en bestanden blokkeren) en softwarerestrictiebeleid. Maar vooral die laatste begrijp ik totaal niet. En hoe kan ik zorgen dat die gebruiker echt alléén muziek kan afspelen?

Het gaat overigens over Windows XP Professional (NL)

[ Voor 5% gewijzigd door barrymossel op 19-05-2005 14:41 ]

donderdag 19 mei 2005 14:42

Acties:

Verwijderd

of dat wat je wil kan met policies weet ik niet, maar je kan een eind komen. Als je bij start en dan uitvoeren intypt gpedit.msc dan krijg je de policyeditor. Daar kan je dingen begrensen. Maar een standalone pc zo begrensen brengt wel wat dingen met zich mee.

donderdag 19 mei 2005 14:59

Acties:

mutsje

Certified Prutser

zorg wel dat je na invoeren policies local administrators access is denied geeft op de grouppolicy folder anders heb jezelf ook deze restricties

donderdag 19 mei 2005 15:08

Acties:

Verwijderd

Ja dat is dus hetgeen waar je voor op moet passen. Als je een domein hebt met een active directoy gaat het werken met policies een stuk simpeler. He hebt ook 2 groepen in de policy, systeem en gebruikersinstellingen. Systeeminstellingen gelden voor iedereen en gebruikersinstellingen alleen voor de gebruiker.

Wat ook grappig is, je kan in het register onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
de key shell bewerken en in plaats van explorer.exe zet je daar het pad naar je mediaspeler neer. (volledig pad dus c:\program files\mediaplayer\mediaplayer.exe o.i.d.)
Als je dan opstart krijg je alleen de mediaplayer en geen startbalk enzovoorts. Als je toch terug wil druk je op ctrl+alt+del en ga je naar taakbeheer en dan in taakbeheer naar uitvoeren en typ daar explorer.exe en dan kan je weer alles doen. (natuurlijk weer in het register de shell terugzetten naar explorer)

[ Voor 50% gewijzigd door Verwijderd op 19-05-2005 15:14 ]

donderdag 19 mei 2005 15:25

Acties:

barrymossel

Topicstarter

Verwijderd schreef op donderdag 19 mei 2005 @ 15:08:
Ja dat is dus hetgeen waar je voor op moet passen. Als je een domein hebt met een active directoy gaat het werken met policies een stuk simpeler. He hebt ook 2 groepen in de policy, systeem en gebruikersinstellingen. Systeeminstellingen gelden voor iedereen en gebruikersinstellingen alleen voor de gebruiker.

Wat ook grappig is, je kan in het register onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
de key shell bewerken en in plaats van explorer.exe zet je daar het pad naar je mediaspeler neer. (volledig pad dus c:\program files\mediaplayer\mediaplayer.exe o.i.d.)
Als je dan opstart krijg je alleen de mediaplayer en geen startbalk enzovoorts. Als je toch terug wil druk je op ctrl+alt+del en ga je naar taakbeheer en dan in taakbeheer naar uitvoeren en typ daar explorer.exe en dan kan je weer alles doen. (natuurlijk weer in het register de shell terugzetten naar explorer)

Dat laatste vind ik een leuke optie. Ik wil BPM Studio of Winamp gebruiken. Dat zou gewoon moeten werken dus. Het is dan wel mogelijk om uit te loggen, of is dat dan alleen mogelijk met CTRL+ALT+DEL? En stel het zou niet werken met BPM Studio, is er dan uberhaupt nog een mogelijkheid om explorer.exe als Shell te krijgen? Heb geen zin om XP weer opnieuw te moeten installeren.
En USB poorten en CD-rom werken dan ook gewoon nog??

donderdag 19 mei 2005 15:30

Acties:

mutsje

Certified Prutser

explorer kopieeren naar explorer2.exe en deze aan die gebruiker hangen met policy als startup program. komt hij in andere explorer terecht.

donderdag 19 mei 2005 15:33

Acties:

Calitomnication

Dream Of Calitomnication

Bij mijn weten heeft BPM studio zelf een simpele optie welke je aanvinkt. In dit geval wordt deze regel automatisch voor je aangepast en start BPM als een Shell applicatie.
Kijk bij BPM maar eens naar instellingen / start als Shell <zoiets is het uit mijn blote hoofd >
Kijk gewoon in de instellingen van BPM en je bespaart je een hoop getyp

[ Voor 8% gewijzigd door Calitomnication op 19-05-2005 15:34 ]

Garmin Forerunner 245 | hardlopen ftw! | Voeg me toe op Gamin Connect of Strava
tips voor New York

donderdag 19 mei 2005 15:43

Acties:

netvor

Uitloggen kan volgens mij altijd via Ctrl-Alt-Del, of via Winkey+L (alhoewel dat ook Lock Screen kan betekenen afhankelijk van je instellingen).

Een (full-screen) mediaplayer als shell instellen is idd een mooie manier om ervoor te zorgen dat er niet méér met de PC wordt gedaan dan muziek afspelen. Maar onthoud wel dat het niet 100% waterdicht is. Er zijn nog steeds mogelijkheden om andere programma's te draaien:

- Met Ctrl-Alt-Del kan je ofwel de taskmanager, ofwel het "Windows Security" schermpje (afhankelijk van de "welcome screen" instelling) aanroepen, vanwaar je alle kanten op kan.

- Via een standaard "open file" dialog (en die zit in vrijwel elke mediaspeler) kan je ook programma's starten en elk willekeurig bestand openen.

- Winkey+R, Winkey+E, Winkey+F. Ik weet allen niet 100% zeker of die ook werken als explorer niet je shell is. Dat zou je moeten testen.

[ Voor 4% gewijzigd door netvor op 19-05-2005 15:45 ]

Computer Science: describing our world with boxes and arrows.

donderdag 19 mei 2005 15:46

Acties:

barrymossel

Topicstarter

Verwijderd schreef op donderdag 19 mei 2005 @ 15:08:
Ja dat is dus hetgeen waar je voor op moet passen. Als je een domein hebt met een active directoy gaat het werken met policies een stuk simpeler. He hebt ook 2 groepen in de policy, systeem en gebruikersinstellingen. Systeeminstellingen gelden voor iedereen en gebruikersinstellingen alleen voor de gebruiker.

Wat ook grappig is, je kan in het register onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
de key shell bewerken en in plaats van explorer.exe zet je daar het pad naar je mediaspeler neer. (volledig pad dus c:\program files\mediaplayer\mediaplayer.exe o.i.d.)
Als je dan opstart krijg je alleen de mediaplayer en geen startbalk enzovoorts. Als je toch terug wil druk je op ctrl+alt+del en ga je naar taakbeheer en dan in taakbeheer naar uitvoeren en typ daar explorer.exe en dan kan je weer alles doen. (natuurlijk weer in het register de shell terugzetten naar explorer)

Ik heb het even getetst op mijn eigen laptop (kan nu niet direct bij die andere computer) en het werkt prima. Dat was precies wat ik wilde. Uiteraard kan iedereen toch zonder een of ander wachtwoord in explorer oftewel de shell, maar aangezien dat niet al te voor de hand liggend is, vind ik dit een prima optie.
Of is het eventueel zelfs mogelijk om per account een shell te hebben. Of gaat dat weer via die policies? Want daarvan begrijp ik zelf nog helemaal niks.
Ook had ik nog een vraag over het afsluiten van windows dan. Met ctrl+alt+del moest ik dus uitloggen maar ik geloof dat op die andere computer hij met ctrl+alt+del automatisch naar taakbeheer gaat en dus niet ook de optie geeft systeem afsluiten. Hoe kan ik dat aanpassen, of is er een optie dat als je BPM Studio afsluit hij automatisch ook de computer afsluit?

donderdag 19 mei 2005 15:56

Acties:

netvor

Als je in User-Account-Options o.i.d. "use the welcome screen" aangevinkt heb staan dan krijg je bij Ctrl-Alt-Del de taskmanager, anders krijg je het Windows Security venster met die 6 knoppen.

[speculatie] dit weet ik niet zeker, want bij mij staat dat welcome screen uit: als je een "rechtstreekse" taskmanager (dus geen 6-knoppig venster) hebt dan heb je volgens mij een menuitem "shut down..." in de taskmanager. Daarvandaan kan je kiezen of je wil rebooten, uitloggen, etc.[/speculatie]

Een andere mogelijkheid: je kan bij Power options instellen dat Windows na het indrukken van de aan/uit knop vraagt wat je precies wil doen.

Een laatste optie is nog: Winkey+R (of "New task" in de taskmanager) en dan "shutdown -l -t 5" invoeren. Dan wordt je na 5 seconden netjes uitgelogd.

EDIT:
Om ervoor te zorgen dat de computer zichzelf afsluit na het afsluiten van BPM studio zou je kunnen proberen om een batch file te maken en deze als shell in te stellen. In de eerste regel van je batch file zet je BPM studio, in de twee regel zet je "shutdown -h -t 5" ("-h" betekent halt, oftewel uitzetten).

[ Voor 20% gewijzigd door netvor op 19-05-2005 16:00 ]

Computer Science: describing our world with boxes and arrows.

donderdag 19 mei 2005 16:11

Acties:

barrymossel

Topicstarter

imp schreef op donderdag 19 mei 2005 @ 15:56:
Als je in User-Account-Options o.i.d. "use the welcome screen" aangevinkt heb staan dan krijg je bij Ctrl-Alt-Del de taskmanager, anders krijg je het Windows Security venster met die 6 knoppen.

[speculatie] dit weet ik niet zeker, want bij mij staat dat welcome screen uit: als je een "rechtstreekse" taskmanager (dus geen 6-knoppig venster) hebt dan heb je volgens mij een menuitem "shut down..." in de taskmanager. Daarvandaan kan je kiezen of je wil rebooten, uitloggen, etc.[/speculatie]

Een andere mogelijkheid: je kan bij Power options instellen dat Windows na het indrukken van de aan/uit knop vraagt wat je precies wil doen.

Een laatste optie is nog: Winkey+R (of "New task" in de taskmanager) en dan "shutdown -l -t 5" invoeren. Dan wordt je na 5 seconden netjes uitgelogd.

EDIT:
Om ervoor te zorgen dat de computer zichzelf afsluit na het afsluiten van BPM studio zou je kunnen proberen om een batch file te maken en deze als shell in te stellen. In de eerste regel van je batch file zet je BPM studio, in de twee regel zet je "shutdown -h -t 5" ("-h" betekent halt, oftewel uitzetten).

Zorgt dit laatste niet voor een soort van loop? Hij start BPM Studio en direct daarna doet hij die shutdown? Of moet hij eerst BPM Studio afsluiten voordat hij de shutdown uitvoert? Dit vind ik zo een beetje te link om uit te proberen...

editDit kan ik zelf testen zonder hem als shell te gebruiken... En gedaan, maar hij logt helemaal niet uit. En dit ziet er ook niet zo mooi uit, hij laat namelijk het dos-shell venster zien, zolang je bpm aan hebt staan.

[ Voor 19% gewijzigd door barrymossel op 19-05-2005 16:17 ]

donderdag 19 mei 2005 16:48

Acties:

netvor

Sorry, het was niet -h maar -s. Wat betreft het dos venstertje dat zichtbaar blijft: tsja, daar zit je aan vast. Maar zolang je BPM studio als fullscreen applicatie draait dan krijg je dat venstertje toch nooit te zien? Dat draait dan vrolijk op de achtergrond.
Voor meer info over shutdown: http://www.microsoft.com/...ddocs/en-us/shutdown.mspx

Computer Science: describing our world with boxes and arrows.

donderdag 19 mei 2005 17:32

Acties:

barrymossel

Topicstarter

imp schreef op donderdag 19 mei 2005 @ 16:48:
Sorry, het was niet -h maar -s. Wat betreft het dos venstertje dat zichtbaar blijft: tsja, daar zit je aan vast. Maar zolang je BPM studio als fullscreen applicatie draait dan krijg je dat venstertje toch nooit te zien? Dat draait dan vrolijk op de achtergrond.
Voor meer info over shutdown: http://www.microsoft.com/...ddocs/en-us/shutdown.mspx

Er was dus nog een veel simpelere oplossing. Hierboven werd de optie aangekaart om bij de Opties van BPM het programma als exclusieve shell-extensie uit te voeren. Dan werkt het allemaal zoals hierboven én hij sluit Windows af als je BPM afsluit. Dus het werkt prima.

En ja, het is niet geheel veilig, maar wellicht kan ik dat wat aanpassen met ntfs. Dus een aparte map maken met de muziek en het programma. Dan hebben ze alleen toegang tot die map en de CD-rom... Ok, dan kunnen ze nog programma's draaien via de CD-rom, maar ja, dat is dan jammer.