[XP] gpedit.msc configuratie alleen voor niet-admin?*

Je kan gewoon groepen aanmaken en in gpedit.msc alles instellen (computer beleid). Zou moeten werken naar mijns inzien.

Als je al gebruikers hebt maak je deze lid van een Security group. Deze group kan je met GPO's afregelen wat ze wel en niet kunnen. Je moet even snuffelen maar je kunt heel goed Add/Remove Programs en de desktop dichtzetten voor groepn gebruikers. Let er wel op dat je de GPO maakt voor Users en/of voor computers. Dan moet je ook de GPO aan de desbetreffende OU koppelen. Wij hebben een OU voor users en computers van een bepaalde afdeling. Heel handig is om te gaan werken met de GPMC, dit is een handige console tool voor het maken van GPO's en deze koppelen en filteren op OU's. Succes!

Als het standalone moet: HOW TO: Apply Local Policies to All Users Except Administrators on Windows Server 2003 in a Workgroup Setting howto werkt ook voor xp.

Anoniem: 202830 schreef op zondag 31 december 2006 @ 18:21:
super dank jullie wel!!!
ja, het is stand-alone.

En ik kan nergens de mogelijkheid vinden om groepen te maken, dat was eigenlijk de enigste
onduidelijke ding. Als ik ' per groep' kan instellen is het probleem in een klap opgelost.

Dat kan alleen als je in een ad omgeving zit, of je moet op een creative manier de groep administrators denied geven op de policy bestanden . Maar dan moet je ze wel weer allowen als je ze wil bewerken..

Wat ik eens heb gedaan met policies die lokaal moesten werken was het account die de policies moest hebben admin gemaakt, daar toen de policies op gezet dmv gpedit.msc en toen ik klaar was weer de rechten weggehaalt.
Wat je ook kan doen is de register sleutels exporteren bij je admin account en bij de andere importeren. Hiervoor is het mogelijk dat je admin moet zijn vreemd genoeg. Ik kreeg het iig toen niet voor elkaar op mijn werk, maar dat had er waarschijnlijk ook mee te maken dat de gebruiker in een andere losse groep zat zonder rechten.

Groepen maak je aan via Computerbeheer > Lokale gebruikers en groepen. Ik weet zo even niet hoe je de policies op groepen kan zetten. Hiervoor zou je eigenlijk een overzicht moeten hebben zoals de AD van Server.

In Windows Vista kan je lokale group policies overigens ook enkel nog laten toepassen op users of groepen

Sorry dat ik dit oude topic weer boven water haal, maar heb deze gevonden via google .

Ik heb thuis hetvolgende:

Windows XP Pro SP2 met mijzelf als Admin
Nu wil ik een extra gebruiker aanmaken die niet alles kan en mag.
Het instellen van rechten via gpedit.msc lukt prima, echter als ik mijzelf afmeld en aanmeld als administrator dan worden deze rechten ook op mij van toepassing. Dat wil ik dus niet.

Hoe kan ik dus alle rechten op 1 gebruiker specifiek zetten?

Dat staat hierboven al allemaal uitgelegd?

hallo dan,
ik heb even een vraagje he misschien weet iemand een oplossing
ik heb thuis een server staan met windows server 2003 sp2 r2 enterprise maar ik wil zeg maar configuratiescherm weghalen onder domain users als ik dat doe zijn ze ook weg in administrator,domain admins,maar dan kan ik zelf niks meer haha dus dat schiet weinig op de bedoeling is zeg maar als ik me straks aanmeld op een computer met windows xp sp2 en die lid is van een domein dat domain users niks kunnen die niet in het configuratiescherm kunnen komen en domain admins wel weet iemand misschien hoe je dat doet in gpedit.msc
Bedankt alvast
M.v.g Thomas

Anoniem: 250013 schreef op donderdag 24 januari 2008 @ 00:25:
hallo dan,
ik heb even een vraagje he misschien weet iemand een oplossing
ik heb thuis een server staan met windows server 2003 sp2 r2 enterprise maar ik wil zeg maar configuratiescherm weghalen onder domain users als ik dat doe zijn ze ook weg in administrator,domain admins,maar dan kan ik zelf niks meer haha dus dat schiet weinig op de bedoeling is zeg maar als ik me straks aanmeld op een computer met windows xp sp2 en die lid is van een domein dat domain users niks kunnen die niet in het configuratiescherm kunnen komen en domain admins wel weet iemand misschien hoe je dat doet in gpedit.msc
Bedankt alvast
M.v.g Thomas

Waarschijnlijk is de admin ook lid van de groep domain users? Maak anders 2 security groups aan, beperkt en volledig. In de group beperkt zet je dus de users die je wil beperken en de admin zet je in de group volledig.

IKKE86 schreef op donderdag 24 januari 2008 @ 00:32:
[...]


Waarschijnlijk is de admin ook lid van de groep domain users? Maak anders 2 security groups aan, beperkt en volledig. In de group beperkt zet je dus de users die je wil beperken en de admin zet je in de group volledig.

nee admin is lid van domain admins,en administrators en dat is nou het raarste ervan ik heb dat bekeken in het computer beheer maar dan probeer ik configuratiescherm weg te halen en en dan blijf die ook weg bij admin en het is eigenlijk nog te vraag of die dan ook weg is als ik me aanmeld op een windows xp en die lid is van het domein en ik meld me aan op administrator van het domein of die daar dan ook weg is of moet ik dat gpedit.msc ergens instellen in het domain security
begrijp er geen balle van van dat gpedit.msc

Kun je uitleggen wat je nou precies gedaan hebt? Heb je gpedit.msc gerund op je lokale machine? Is de machine waar je je op aan meldt lid van het domein? Waar zie je dat de administrator geen lid is van de groep domain users? Met andere woorden, meer informatie

Het zou ook al een stuk schelen in de leesbaarheid van je posts als je normaal Nederlands schrijft.
Dat houdt in: Hoofdletters gebruiken bij een nieuwe zin, en juist gebruik van komma's en punten. Af en toe een [enter] om een zin netjes af te sluiten scheelt ook

Nu ziet je post er als één woordenbrij uit, en daardoor komt je vraag totaal niet meer uit de verf.

Ter zake:
Je snapt hopelijk wel dat een PC die domain member is waarschijnlijk ook nog op Domain nivo policies te verwerken heeft?

[ Voor 3% gewijzigd door alt-92 op 24-01-2008 18:21 ]

Group policies zijn registry settings, Computer settings gaan over het algemeen naar HKey_Local_Machine en worden dan ook machine wide toegepast over alle gebruikers. De User settings worden in HKey_Users geplaatst en worden dan ook toegepast op alle gebruikers. Admin of niet je bent en blijft een gebruiker alleen met andere rechten dus krijg hij ze ook..

Enkele policies die gebruikt worden in Gpedit user config kunnen eventueel ook alleen als Current User ingesteld worden in..

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer"

Current User is de huidige ingelogde gebruiker, voor een gebruiker die niet is ingelogd bevinden deze settings zich in de NTUSER.DAT en worden in het register geladen tijdens login.. Dus je hoeft niet persé als elke gebruiker in te loggen om daar instellingen toe te passen. Veel current user instellingen kan je maken door NTUSER.DAT te copieren naar andere profielen of in je register te laden en te bewerken.

Een redelijk gemakkelijke te gebruiken en gratis tool om uit te vogelen waar en met welke data een bepaalde policy d_word weg geschreven is RegShot http://regshot.blog.googlepages.com/
Bevind zich een equivalent van de gevonden sleutel ook in het current user register kan je die daar meestal ook toepassen. Dan hebben de andere gebruikers daar ook geen last van.

Een andere leuke en leerzame tool is TweakOmatic http://www.microsoft.com/...9646D722C8&displaylang=en

Deze laat veel Current User settings en policies zien met daarbij de registerlocatie en het script waarmee je hem daar naartoe kan wegschrijven.. (Denk hierbij aan logon scripts)..

Let wel dat gebruikers altijd toegang tot hun eigen registerdeel hebben en zonder veel moeite sommige dingen weer ongedaan kunnen maken en terug zetten zoals ze dat zelf willen.

Hopelijk snap je nu een beetje meer van de werking van gpedit..

Als je hier mee wilt gaan spelen als onervaren gebruiker/administrator houd dan je Systeem herstel in de aanslag. En kijk heel goed uit wat je doet met Computer configuration, zodat je jezelf niet buiten sluit van je eigen computer.

Sorry dat ik dit topic weer kick maar ik vraag me af of iemand weleens tegen het probleem is aangelopen na een reboot van de 2003 server.

Ik heb dit uitgevoerd:

Als het standalone moet: HOW TO: Apply Local Policies to All Users Except Administrators on Windows Server 2003 in a Workgroup Setting howto werkt ook voor xp.

Werkt leuk als je geen andere oplossing hebt (werkgroep). Maar als ik reboot is het lokale admin account ook dicht getimmerd.

Ik heb dan mijn gpedit wel op het bureaubald staan dus dit weer ongedaan maken is wel mogelijk, maar het is niet echt handig.

Het blijft aardig stil in dit topic. Iemand die hier ook tegenaan loopt, en dit eventueel al getekkelt heeft?