[W 7] commandprompt afschermen voor gebruikers?*

Dit kon je in de registry uitschakelen of een van de locale policy templates bewerken en met de user meesturen bij login.

Net zoals je dat zou doen zou de PC wel in het domain hangen.
Vraag je overigens af of het zin heeft wat je wil doen.
Wat wil je ermee bereiken?

Waarschijnlijk wil hij niet dat zijn zoontje zichzelf Administrator maakt of iets dergelijks gaat uitvoeren met CMD

Nou, dan pak ik een stuk vbscript van het grote intarwebz.
En nu?

Nu heb je nog een hoop andere policies in te stellen.

Misschien is dit slechts 1 onderdeel van het "grote-boze-dichttimmer-project" van de TS.

Snelkoppeling naar command.com maken werkt dan nog wel steeds, denk dat het probleem niet alleen in het wel/niet bij een cmd prompt zit... Wat wil de TS precies bereiken en waarom?

Dan kan er evengoed toch niks mee gedaan worden toch? Althans dat is wat ik me kan herinneren, de laatste keer dat ik voor de gein een TS server dicht timmerde.

The Realone schreef op woensdag 09 december 2009 @ 18:42:
Dan kan er evengoed toch niks mee gedaan worden toch? Althans dat is wat ik me kan herinneren, de laatste keer dat ik voor de gein een TS server dicht timmerde.

Je kan in een command.com prompt rustig drives gaan bekijken die normaal via de explorer niet zichtbaar zijn, onderzoekjes doen naar poorten die wel/niet open staan enz...Je kan niet ineens administrative tools opstarten of management consoles inderdaad of ergens wel schrijven wat via de explorer niet kon (NTFS permissies)

De meest effectieve methode lijkt mij (al is dat wel een vrij slordige methode imo) een expliciete Deny voor de betreffende gebruikers op cmd.exe (command.com bestaat niet meer in W7), er vanuitgaande dat de gebruikers geen Admin rechten hebben.

Echter kunnen programma's die afhankelijk zijn van cmd.exe dan natuurlijk ook niets meer. (Bepaalde installers bijv.)

Ook moet je er rekening mee houden dat in W7 x64 2 versies van cmd.exe bestaan, in SysWoW64 en System 32.

-={Fred_Perry}=- schreef op woensdag 09 december 2009 @ 19:11:
[...]


Je kan in een command.com prompt rustig drives gaan bekijken die normaal via de explorer niet zichtbaar zijn, onderzoekjes doen naar poorten die wel/niet open staan enz...Je kan niet ineens administrative tools opstarten of management consoles inderdaad of ergens wel schrijven wat via de explorer niet kon (NTFS permissies)

Dat begrijp ik, maar ik dacht dat je doelde op die policy. Als je die gebruikt kun je niks meer command prompt's gerelateerd.

Als jij je policies netjes voor elkaar hebt zie ik niet zo in wat voor 'rommel' die (jong) volwassenen op jouw domein zouden kunnen achterlaten. Wellicht heb je een voorbeeld?

Uitvoeren: MMC.. juiste rechten weg nemen bij genoemde gebruiker[s]

EDIT:
Heb dit ooit gedaan voor een Stand-alone pc, veel te veel werk.

Ik zou hem gewoon in het domein hangen, met de juiste policies kunnen ze geen rommel op je domein plaatsen hoog uit op de pc lokaal, maar daar kan je afentoe een image van terug plaatsen [als je die maakt ]

[ Voor 72% gewijzigd door Verwijderd op 10-12-2009 09:00 ]

Laat ze inloggen met een account met beperkte rechten, desnoods als Gast. Command Prompt blokkeren zorgt er echt niet voor dat de 18 t/m 24 jarigen niet gaan rommelen met het systeem.

Volgens mij is het meest eenvoudige gewoon een App Locker configje maken
Je kunt dit laten gelden voor een selecte groep gebruikers, zodat je zelf nog wel cmd kunt gebruiken.

[ Voor 40% gewijzigd door TheVMaster op 10-12-2009 11:00 ]