[XP] Hoe zorgen dat gebruiker PC niet mag afsluiten * - Windows clients

woensdag 28 januari 2009 12:52

Acties:

Verwijderd

Topicstarter

Voor het werk hebben we op diverse locaties computer staan met beveiliging software. Deze computer moeten 24/7 draaien, en de gebruiker mag de computer dus dan ook niet afsluiten.

Maar een gebruiker zal geen gebruiker zijn als die dit in sommige gevallen toch doet!

Nu vroeg ik me af, is dit op een manier tegen te gaan? Door middel van een extra waarschuwing bij afsluiten (zal perfect zijn als ik zelf de tekst kan bepalen), of dat het helemaal niet mogelijk is om de PC af te sluiten.

Zijn hier mogelijkheden in?

De gebruikers draaien Windows XP.

Ps. vergeten om in de topic XP te zetten, zou iemand dit nog kunnen aanpassen? Sorry voor het ongemak!

[ Voor 8% gewijzigd door Verwijderd op 28-01-2009 12:55 ]

woensdag 28 januari 2009 12:54

Acties:

Wish

ingwell

Kunnen ze ook bij de uitknop of de stekker? En hoe ga je dat dan ondervangen? Pure nieuwsgierigheid hoor.

Ah... en er hebben meer mensen over nagedacht!

[ Voor 41% gewijzigd door Wish op 28-01-2009 12:56 . Reden: hint toegevoegd ]

No drama

woensdag 28 januari 2009 12:56

Acties:

asfaloth_arwen

Indien je gebruik maakt van AD, kun je dit met policies wel regelen. Zie Policy settings for the Start menu in Windows XP Dit is inderdaad alleen voor softwarematig afsluiten..

[ Voor 13% gewijzigd door asfaloth_arwen op 28-01-2009 12:56 ]

Specs

woensdag 28 januari 2009 12:58

Acties:

Verwijderd

Fysieke beveiliging. Zet hem in een afgesloten kast of beter nog, de serverruimte.

woensdag 28 januari 2009 12:59

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

• Bedenken of het echt nodig is dat ze 's nachts aan staan
• De reden uitleggen, incl op papier/mail zeggen wie de sjaak is als het eens fout gaat (jij niet)
• Loggen en per geval klagen, bij herhaling op papier
• [google=xp policy disable shutdown], maar dat helpt natuurlijk niet tegen fysiek uitzetten of slimme users

offtopic:
Titel aangepast, maar ben verder gegaan dan alleen XP noemen aangezien 'Gebruiker mag PC niet afsluiten' suggereerde dat je het juist een probleem vond dat de gebruiker het niet mocht

Ik neem aan dat je de policies al had gevonden (is immers heel erg standaard), waar loop je vast?

[ Voor 8% gewijzigd door F_J_K op 28-01-2009 13:00 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 28 januari 2009 12:59

Acties:

Verwijderd

Topicstarter

danmaarniet schreef op woensdag 28 januari 2009 @ 12:54:
Kunnen ze ook bij de uitknop of de stekker? En hoe ga je dat dan ondervangen? Pure nieuwsgierigheid hoor.

Een stekker eruit trekken kan natuurlijk nog wel, maar dat is wel een grote stap. Maar wil het ze zo moeilijk mogelijk maken, tenminste... in ieder geval aan het denken zetten voordat ze de computer uitzetten!

woensdag 28 januari 2009 13:03

Acties:

Wish

ingwell

Verwijderd schreef op woensdag 28 januari 2009 @ 12:58:
Fysieke beveiliging. Zet hem in een afgesloten kast of beter nog, de serverruimte.

Ja, dat is leuk, maar als ze dan alsnog als gebruiker op de off button duwen in het OS gaat de computer toch echt langzaam uit, al staat hij in een kluis.

No drama

woensdag 28 januari 2009 13:09

Acties:

Mike2k

Zone grote vuurbal jonge! BAM!

while you're at it....disable ook de command prompt...anders is er nog zoiets als:

code:

1	shutdown -f -t 00

opties:
- f = forceer shutdown
-t = tijd tot shutdown. in het voorbeeld 0seconden

[ Voor 30% gewijzigd door Mike2k op 28-01-2009 13:10 ]

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

woensdag 28 januari 2009 13:17

Acties:

Verwijderd

Topicstarter

danmaarniet schreef op woensdag 28 januari 2009 @ 12:54:
Kunnen ze ook bij de uitknop of de stekker? En hoe ga je dat dan ondervangen? Pure nieuwsgierigheid hoor.

Ah... en er hebben meer mensen over nagedacht!

Oh, super! Werkt perfect, en werkt ook nog eens per user!

Maar nu nog een vervolg vraagje, om veel werk te besparen (want er gaan nogal wat PC's de deur uit)...

Op de betreffende PC's worden 2 gebruikers aangemaakt, 1: administrator (admin rechten), 2: gebruiker. (standaard gebruikers rechten)
Nu zou het geweldig zijn als dit in een script verwerkt (inclusief disable van de command prompt) kan worden zodat je als je het script runt (als administrator) het register van de Gebruiker wordt aangepast.

Is dat mogelijk?

woensdag 28 januari 2009 13:53

Acties:

Verwijderd

Topicstarter

Ik ben ff opzoek geweest naar de commands die ik graag in een script zou willen hebben, maar heb geen idee of je dit per gebruiker kan doen. Want wat de bedoeling is, de PC heeft 2 gebruikers, admin en user met bijhorende rechten. Ideaal is als je als admin inlogt dan een script kan runnen wat de register van de user aanpast.

Het volgende zou ik graag in een script willen zetten:

Verwijderen van de reboot en shutdown:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.
Right-click the Explorer key, and select New | DWORD value.
Name the value StartMenuLogoff, and press [Enter] twice to access the Edit DWORD Value dialog box. Type 1 in the Value Data text box, and click OK.

Right-click the Explorer key, and select New | DWORD value.
Name the value NoClose, and press [Enter] twice to access the Edit DWORD Value dialog box.
Type 1 in the Value Data text box, and click OK.

Verwijderen van de shutdown knop bij het inlog scherm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
Add a value named "ShutdownWithoutLogon" of type "REG_SZ" and set it to "0".

Verwijderen van de command prompt: (Kan dit ook per user??) HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\
DisableCMD dword 0x00000001 to disable command prompt and batch files

Hoe zet je zoiets in een script?

woensdag 28 januari 2009 14:01

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Is dat mogelijk?

Flauw maar waarschijnlijk beste antwoord (meer vraag je ook niet): zoiets ja.

Zie de vele tips daarover hier in (mijn reactie en) Windows Clients, o.a. Windows Clients - Howto's and Guides
Ook kan je denken aan simpelweg een batchfile (reg.exe of een .reg bestand) of WSH/VBScript (m.n. RegWrite methode).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 28 januari 2009 14:10

Acties:

Verwijderd

Topicstarter

F_J_K schreef op woensdag 28 januari 2009 @ 14:01:
[...]

Flauw maar waarschijnlijk beste antwoord (meer vraag je ook niet): zoiets ja.

Zie de vele tips daarover hier in (mijn reactie en) Windows Clients, o.a. Windows Clients - Howto's and Guides
Ook kan je denken aan simpelweg een batchfile (reg.exe of een .reg bestand) of WSH/VBScript (m.n. RegWrite methode).

Sorry,waarschijnlijk was ik wat onduidelijk. Wat ik graag zou willen, is de bovenstaande scripts in een batchfile te zetten. En dat je die batchfile dan onder de admin account kan runnen, en dat dan de User account wordt aangepast met de aanpassing die in de batchfile staan.

woensdag 28 januari 2009 16:22

Acties:

alt-92

ye olde farte

Ja? Dat kan dus?

Of wil je een kant en klaar antwoord?

Anyways: een andere optie is de gpedit policy settings gewoon te gebruiken voorzien van een NTFS ACL op de %windir%\grouppolicy folder. (geen execute voor admins) maar da's wat hacky.

(voordeel is wel dat je een eenmaal ingestelde GP in de folder mee kan kopieren naar andere pc's).

Tenzij je PC's in een netwerk draaien ( maandelijkse taken systeembeheerder gelezen ja) en dan gaat dit verhaal niet op.

Dan verwacht ik wel wat meer input van jouw kant overigens.

[ Voor 40% gewijzigd door alt-92 op 28-01-2009 16:25 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 29 januari 2009 09:20

Acties:

Verwijderd

Topicstarter

alt-92 schreef op woensdag 28 januari 2009 @ 16:22:
Ja? Dat kan dus?

Of wil je een kant en klaar antwoord?

Anyways: een andere optie is de gpedit policy settings gewoon te gebruiken voorzien van een NTFS ACL op de %windir%\grouppolicy folder. (geen execute voor admins) maar da's wat hacky.

(voordeel is wel dat je een eenmaal ingestelde GP in de folder mee kan kopieren naar andere pc's).

Tenzij je PC's in een netwerk draaien ( maandelijkse taken systeembeheerder gelezen ja) en dan gaat dit verhaal niet op.

Dan verwacht ik wel wat meer input van jouw kant overigens.

De pc's waar het om gaat staan bij klanten, en los van een netwerk. En ivm beveiliging moeten die 24/7 blijven draaien. De klant moet inloggen als "user" en voor hun moet het niet mogelijk zijn om de PC af te sluiten / af te melden. Maar dat laatste gebeurt helaas nog wel eens.... En om dat te verkomen, zou ik graag (met advies van GoT) een batch bestand in elkaar willen frusten die het register aanpast zodat de shutdown en afmeld knop wordt verwijdert uit de start balk.

Inmiddels wel kunnen achterhalen wat je in het register moet aanpassen om dit voor elkaar te krijgen. Maar ik heb geen flauw idee hoe ik dit in een Batch bestand zou kunnen zetten. Dus vandaar mijn vraag om hulp voor het batch bestand.

Mocht je meer info willen weten, vraag het dan gerust! In ieder geval al bedankt voor je reactie.

donderdag 29 januari 2009 09:57

Acties:

alt-92

ye olde farte

Verwijderd schreef op donderdag 29 januari 2009 @ 09:20:

Inmiddels wel kunnen achterhalen wat je in het register moet aanpassen om dit voor elkaar te krijgen. Maar ik heb geen flauw idee hoe ik dit in een Batch bestand zou kunnen zetten. Dus vandaar mijn vraag om hulp voor het batch bestand.

Nou, daar moet je met [search=reg import batch] wel uitkomen.

Maar dat lijkt me vrij voor de hand liggend ook toch?

[ Voor 6% gewijzigd door alt-92 op 29-01-2009 09:58 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 29 januari 2009 12:23

Acties:

Verwijderd

Topicstarter

alt-92 schreef op donderdag 29 januari 2009 @ 09:57:
[...]

Nou, daar moet je met [search=reg import batch] wel uitkomen.

Maar dat lijkt me vrij voor de hand liggend ook toch?

Dat ligt idd redelijk voor de hand!

Daar valt idd wel uit te komen, alleen.... Ik zou graag een script willen schrijven die je kan gebruiken als je inlogt als Admin en dan via het script alleen het register aanpast voor de User account.

En dat laatste kom ik niet uit en kan ik ook niet ergens terug vinden hoe je dat voor elkaar krijgt.

donderdag 29 januari 2009 12:27

Acties:

alt-92

ye olde farte

Gewoon even doorzoeken dan?
Kijk, we gaan niet alles voorkauwen natuurlijk, en het gaat er steeds meer op lijken dat wij hier de moeite lopen te doen die jij eigenlijk zou moeten nemen.

En dat is niet de juiste insteek voor dit Forum.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 29 januari 2009 14:23

Acties:

Verwijderd

Topicstarter

Dat begrijp ik, en geef je helemaal gelijk in.

Alleen voor iemand die nog nooit een register heeft bewerkt/geen ervaring mee heeft (eens moet de eerste keer zijn) vind ik dat ik toch nog redelijk ver ben gekomen. Het register aanpassen is me (handmatig user tijdelijk admin rechten geven, dan inloggen via user, en reg aanpassen) gelukt. Krijg het alleen met geen mogelijkheid voor elkaar, ook niet na flink zoeken, om het via een batch te laten doen. En dan als je ingelogd bent als admin.

donderdag 29 januari 2009 16:00

Acties:

Verwijderd

Topicstarter

Woot, na een dag zoeken en een hoofdpijn rijker ben ik er dan toch achter gekomen!!!

En mocht ik er iemand mee kunnen helpen, hier de waarde die ik heb gebruikt om de Shutdown en Logoff te verwijderen van gebruiker User

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1085031214-484061587-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose"=dword:00000001

[HKEY_USERS\S-1-5-21-1085031214-484061587-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"StartMenuLogoff"=dword:00000001

donderdag 29 januari 2009 19:50

Acties:

alt-92

ye olde farte

En om je nu nog even een tip te geven:
Die registry key zal alleen werken bij de eerste zelf aangemaakte Useraccount op die ene PC - want je hebt de User's SID erin staan.

(de 1003 op het eind is voor mij een dead giveaway dat dit de eerste account is die je aanmaakt bij de installatie van XP).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 30 januari 2009 08:13

Acties:

Verwijderd

Topicstarter

alt-92 schreef op donderdag 29 januari 2009 @ 19:50:
En om je nu nog even een tip te geven:
Die registry key zal alleen werken bij de eerste zelf aangemaakte Useraccount op die ene PC - want je hebt de User's SID erin staan.

(de 1003 op het eind is voor mij een dead giveaway dat dit de eerste account is die je aanmaakt bij de installatie van XP).

arghhh, daar was ik al bang voor! Zo'n vermoeden had ik gisteren ook!

Na een paar uur lopen zoeken waar User zich bevind in het register, vandaag dan maar weer verder zoeken welke sleutel ik dan wel moet aanpassen.

Nog een tip waar ik ergens moet beginnen met zoeken?

vrijdag 30 januari 2009 08:21

Acties:

Vorkie

Je kan ook 1 systeem neerzetten met een batch bestand in een shared folder.

Dan de XP clients afgaan en daar via gpedit.msc dat batchbestand laten uitvoeren als een Inlogscript... te kiezen per PC of per gebruiker

vrijdag 30 januari 2009 08:28

Acties:

Nielson

Verwijderd schreef op woensdag 28 januari 2009 @ 12:52:
Nu vroeg ik me af, is dit op een manier tegen te gaan? Door middel van een extra waarschuwing bij afsluiten (zal perfect zijn als ik zelf de tekst kan bepalen), of dat het helemaal niet mogelijk is om de PC af te sluiten.

Een optie is misschien om het server-style afsluitscherm in te schakelen (mits xp pro), met eventueel aangepaste teksten.

vrijdag 30 januari 2009 09:10

Acties:

alt-92

ye olde farte

Verwijderd schreef op vrijdag 30 januari 2009 @ 08:13:
Nog een tip waar ik ergens moet beginnen met zoeken?

Tja, ik weet het niet hoor.. maar als je gaat [google=windows registry] kom je Wikipedia: Windows Registry als eerste hit tegen.

Daar staat echt tot in den treure en met behoorlijke diepgang, inclusief links naar MDSN documentatie van Microsoft zelf uitgelegd hoe en waar wat wrkt.
Wat User SIDs zijn kun je op dezelfde manier opzoeken.

Ik krijg op deze manier echt niet de indruk dat je er veel aan gelegen is om zelf dingen uit te zoeken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 30 januari 2009 09:47

Acties:

Verwijderd

Topicstarter

alt-92 schreef op vrijdag 30 januari 2009 @ 09:10:
[...]

Tja, ik weet het niet hoor.. maar als je gaat [google=windows registry] kom je Wikipedia: Windows Registry als eerste hit tegen.

Daar staat echt tot in den treure en met behoorlijke diepgang, inclusief links naar MDSN documentatie van Microsoft zelf uitgelegd hoe en waar wat wrkt.
Wat User SIDs zijn kun je op dezelfde manier opzoeken.

Ik krijg op deze manier echt niet de indruk dat je er veel aan gelegen is om zelf dingen uit te zoeken.

Ik ben gisteren bijna een hele dag bezig geweest om uit te zoeken waar de gebruiker User in het register stond, en toen ik dat eenmaal heb gevonden uitgezocht hoe ik dat in een script kon zetten. En uiteindelijk is dat gelukt, dus vind dat ik zelf flink wat heb opgezocht / wijzer ben geworden (uiteraard met hulp van GoT). Zeker voor iemand die nog nooit het register heeft aangepast!

En voor iemand die flink thuis is in het bewerken van register e.d. zal het waarschijnlijk wel overkomen als "stom dat die dat niet weet / kan vinden". Maar ik moet toch ergens beginnen, en dat is met eerst zoeken dat GoT raadplegen.

Pagina: 1

Reageer