[XP Pro SP2]Instellen Groeps Ristricties - Windows clients

vrijdag 20 oktober 2006 12:53

Acties:

Topicstarter

Het volgende wil ik graag realiseren:

Ik heb 4 users op mijn pc verdeeld in 2 groepen:

Groep 1 = Administrators $_/-\o_$
- Administrator
- Ik

Groep 2 = Normal Users
- Persoon 1
- Persoon 2

Nu wil ik ristricties instellen voor groep2 zoals bijvoorbeeld het niet kunnen binnenkomen
van de 'device manager' , het niet kunnen wijzigen van de achtergrond enz enz..

Hoe realiseer ik dit op een makkelijke overzichtelijke manier?
Ik heb al zitten spelen met de Local User Policy's en het gedeelte van de
'remove/add snapp-ins' maar ik kom er gewoon niet uit hoe ik dit voor een bepaalde
groep kan instellen.

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

dinsdag 24 oktober 2006 18:40

Acties:

Double J

Ik heb dit geweten 2 jaar terug of zo... Gelezen in een boek dat ik heb over windows XP. Nu weet ik het ff niet uit mijn hoofd. Ik zal het opzoeken voor je. Misschien moet je me een keer mailen om me eraan te herinneren

.

dinsdag 24 oktober 2006 21:30

Acties:

alt-92

ye olde farte

Gebruik de Shared Computer Toolkit.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 24 oktober 2006 21:38

Acties:

ExcaliburDexter

makkelijk en voor legale windows zie backslash. Anders:

start --> run --> gpedit.msc Hierin kun je je policies instellen. Deze komen te staan in c:\windows\system32\grouppolicy\user en \machine (bestaat niet als je gpedit nog niet hebt gebruikt). Nadeel is dat deze policy's gelden voor iedere gebruiker. Je kan echter de users waarvoor je de policy's niet wil laten gelden deny rechten geven op de betreffende policy's. Microsoft heeft hier zeker weten ergens een KB artikel op hun website aan gewijd.

dinsdag 24 oktober 2006 21:53

Acties:

alt-92

ye olde farte

ExcaliburDexter schreef op dinsdag 24 oktober 2006 @ 21:38:
Je kan echter de users waarvoor je de policy's niet wil laten gelden deny rechten geven op de betreffende policy's. Microsoft heeft hier zeker weten ergens een KB artikel op hun website aan gewijd.

...waarin staat dat dat niet aan te raden is, maar ok

Tis namelijk een maintenance nightmare en je mag lekker met runas aan de gang om dingen te kunnen wijzigen naderhand.

Als het even kan, die Shared Computer kit gebruiken (workgroup PCs), anders via Domainlevel GPO's.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 24 oktober 2006 21:58

Acties:

IKKE86

ExcaliburDexter schreef op dinsdag 24 oktober 2006 @ 21:38:
makkelijk en voor legale windows zie backslash. Anders:

start --> run --> gpedit.msc Hierin kun je je policies instellen. Deze komen te staan in c:\windows\system32\grouppolicy\user en \machine (bestaat niet als je gpedit nog niet hebt gebruikt). Nadeel is dat deze policy's gelden voor iedere gebruiker. Je kan echter de users waarvoor je de policy's niet wil laten gelden deny rechten geven op de betreffende policy's. Microsoft heeft hier zeker weten ergens een KB artikel op hun website aan gewijd.

je zal dan de groep gebruikers waar je de group policies niet voor wil laten gelden geen lees rechten moeten geven op die map(ntfs rechten dus).

BackSlash32 schreef op dinsdag 24 oktober 2006 @ 21:53:
[...]

...waarin staat dat dat niet aan te raden is, maar ok
Tis namelijk een maintenance nightmare en je mag lekker met runas aan de gang om dingen te kunnen wijzigen naderhand.

Als het even kan, die Shared Computer kit gebruiken (workgroup PCs), anders via Domainlevel GPO's.

het klinkt alsof het 1 pc is, dus dan maakt het niet echt veel uit

edit:

even een bron gezocht

ShawnT (Moderator):
Q: Modified "Run only allowed window spps" with gpedit.msc. Goofed up and restricted administrator from admin tools. Is there a simple fix, or is a full reload of the os required.
A: So, there are several ways to correct this issue. To get access to the administrator tools again, you could move your administrator account to an OU in the domain, then block inheritance on that OU. This would cause the administrator account to fall out of the scope of management of the policy, and, "Presto!", you'll have access to gpedit.msc again. If you want to be a little fancier, you could go into the NTFS permissions for the GPO, and delete the GPO or even just deny read access for the administrator account. Or, you could use another administrator account to change the GPO settings. As you can there are many, many ways to accomplish what you are trying to do.

[ Voor 29% gewijzigd door IKKE86 op 24-10-2006 22:01 ]

vrijdag 27 oktober 2006 10:49

Acties:

UniPer

Topicstarter

Bedankt voor jullie replies.
Het is dus nog niet zo makkelijk als het klinkt...

Gewoon group policies instellen wordt dus niet echt goed ondersteund door MS helaas,
ik kan dus wel de 'all user policy' gebruiken en zoals hierboven gezegd wordt andere users
weer 'deny' rechten geven maar....hallo hé...wat een gedoe

Een andere oplossing is om alle pc's binnen het netwerk in een domain te gooien
en dan domain policies op de users los te laten denk ik. Wat is dan de makkelijkste
en efficienste manier om alle pc's in een domain te krijgen, wat is de makkelijkste configuratie
hiervoor? Iemand een idee om dit toch vrij soepel te laten verlopen?

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

vrijdag 27 oktober 2006 11:53

Acties:

nero355

ph34r my [WCG] Cows :P

BackSlash32 schreef op dinsdag 24 oktober 2006 @ 21:53:
...waarin staat dat dat niet aan te raden is, maar ok
Tis namelijk een maintenance nightmare en je mag lekker met runas aan de gang om dingen te kunnen wijzigen naderhand.

Waarom is het niet aan te raden dan ?!

Als het even kan, die Shared Computer kit gebruiken (workgroup PCs), anders via Domainlevel GPO's.

Heb hier een 180 dagen Windows 2003 R2 install die als TS functioneert dus ik ga even naar SCT kijken

Wat lomp ontworpen trouwens, Vista schijnt het straks wel te hebben en deze methode is imho erg omslachtig als je later nog van plan bent users toe te voegen ...

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 27 oktober 2006 21:19

Acties:

alt-92

ye olde farte

nero355 schreef op vrijdag 27 oktober 2006 @ 11:53:
Waarom is het niet aan te raden dan ?!

Dat staat hierboven aangehaald.
Hou in je achterhoofd dat in de MS TechChat quote aan een domain member PC wordt gerefereerd, niet zoals in de topicstart een standalone PC.

Heb hier een 180 dagen Windows 2003 R2 install die als TS functioneert dus ik ga even naar SCT kijken

Kijk, op een Windows 2003 server gebruik je dus weer domain GPOs zeker met een Terminal server..
Daar is die Shared Computer Toolkit ook niet voor bedoeld.

Dus installeer 2x 2003 Server in VMware of Virtual PC en test een domain GPO setup (loopback bijvoorbeeld) eens uit.

deze methode is imho erg omslachtig als je later nog van plan bent users toe te voegen ...

Plan ahead.
Use groups.

[ Voor 11% gewijzigd door alt-92 op 27-10-2006 22:08 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 30 oktober 2006 09:37

Acties:

nero355

ph34r my [WCG] Cows :P

BackSlash32 schreef op vrijdag 27 oktober 2006 @ 21:19:
Dat staat hierboven aangehaald.
Hou in je achterhoofd dat in de MS TechChat quote aan een domain member PC wordt gerefereerd, niet zoals in de topicstart een standalone PC.

Mja OK gaan we niet doen dus.

Kijk, op een Windows 2003 server gebruik je dus weer domain GPOs zeker met een Terminal server..
Daar is die Shared Computer Toolkit ook niet voor bedoeld.

Na de site bekeken te hebben is dat inderdaad zo, maar ik ga geen Active Directory draaien op de TS Server en verder hebben we hier ook geen AD Servers.

De huidige Citrix Server moet namelijk vervangen worden en we zijn aan het kijken wat de opties zijn en willen zoveel mogelijk zelf doen.

Dus installeer 2x 2003 Server in VMware of Virtual PC en test een domain GPO setup (loopback bijvoorbeeld) eens uit.

Ik heb al een test bak en een 2de zou geen probleem moeten zijn, maar we gaan alles op 1 Server draaien dus !!

Plan ahead.
Use groups.

Ik ga kijken of ik dezelfde "truc" op een groep kan toepassen...

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

maandag 30 oktober 2006 13:40

Acties:

elevator

Officieel moto fan :)

Gaat dit nou over Windows XP of over Windows 2003?

maandag 30 oktober 2006 13:57

Acties:

nero355

ph34r my [WCG] Cows :P

elevator schreef op maandag 30 oktober 2006 @ 13:40:
Gaat dit nou over Windows XP of over Windows 2003?

Ja sorry kwam dit via de Search tegen en ik vrees dat ik het topic een beetje heb gekaapt

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

maandag 30 oktober 2006 14:03

Acties:

elevator

Officieel moto fan :)

Open dan even een nieuw topic in Windows Servers en Server-software over jouw specifieke probleem als je wilt

dinsdag 31 oktober 2006 19:28

Acties:

UniPer

Topicstarter

ik vrees dat ik het topic een beetje heb gekaapt

Joh? Zou je denken? hehehe...maakt niet uit man, we gaan gewoon weer opnieuw beginnen

Good luck met je eigen post

Ok..back to the first post

Iemand die nog ideeën heeft hiervoor, hoe ik dit het makkelijkst op kan lossen
zonder eerst een domein te moeten draaien?

Do not argue with an idiot. He will drag you down to his level and beat you with experience.

dinsdag 31 oktober 2006 20:57

Acties:

alt-92

ye olde farte

Combineer nero355' en mijn posts en je hebt je antwoord

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 1 november 2006 10:49

Acties:

UniPer

Topicstarter

Ik ga eens het 1 en ander proberen en ik zal hier wel laten weten of ik eruit gekomen ben

Het moet gewoon kunnen

Do not argue with an idiot. He will drag you down to his level and beat you with experience.