• webknecht
  • Registratie: oktober 2006
  • Laatst online: 23-11-2014
Goedenavond allemaal,

Ik ben bezig met een nieuwe inrichting te maken voor de pc's van een streekmuseum. Nu heb ik het snode plan opgevat om de titels “Deze computer” en “Mijn netwerklocaties” te veranderen in “Computer” en “Netwerk”. Ik heb het hier over Windows XP.

Deze verandering op zich is een goed te doen door voor elke gebruiker twee aanpassingen in de registry te maken. Hieronder een stukje voor regedit:

code:
1
2
3
4
5
6
7
8
9
10
Windows Registry Editor Version 5.00
;
; HKCU_DEFAULT.REG      20101110
;
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@="Computer"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]
@="Netwerk"


So far so good. Deze aanpassing wordt gedaan tijdens het aanmelden dus onder het account van een "gewone" gebruiker. Tot zover geen probleem. Vervolgens wil ik echter ook voorkomen dat gebruikers, en er zitten een paar hobbyisten onder, deze naam alsnog gaan wijzigen. Wellicht een beetje vergezocht van mij maar ik ben de beheerder hier :-)

Toen ben ik met setacl.exe gaan prutsen om de rechten van de gebruiker op deze sleutels te beperken. En daar raakte ik de weg kwijt in de syntax van setacl.

Ik ben wel zo ver dat ik de automatische inheritance uitgeschakeld heb met onderstaand commando...

code:
1
setacl.exe" -ot reg -on HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID -actn setprot -op dacl:p_c


...maar dan heeft de actuele gebruiker alle rechten op deze sleutel. Hoe krijg ik het zover dat de actuele gebruiker alleen maar leesrechten overhoudt?

Even out of de box denken mag ook. Setacl.exe is geen doel op zich maar slechts een middel. Als het bovenstaande op een andere manier kan, bijvoorbeeld met group policies, is me dat ook prima.

TIA Aad Slingerland

  • alt-92
  • Registratie: maart 2000
  • Niet online
subinacl of setacl zijn dan toch wel de aangewezen middelen - mits je wel in het achterhoofd houdt dat HKEY_Current_User zoals de naam al aangeeft een user-specifieke setting is en dat dat deel ook eigenlijk des users is om te kunnen benaderen :)


Group policies zou je dit ook mee kunnen doen, en dan met name group policy preferences, maar dat veronderstelt wel dat je dan minimaal een 2003 AD domain hebt en een Vista of Win7 client waarvanaf je die preferences instelt..
En omdat je aangeeft dat dit een paar PC's van een streekmuseum zijn, lijkt me dat wat overkill :P

Wat je sowieso dan wil voorkomen is dat de hobbyisten met registry tools aan de slag kunnen - zowel regedit als reg.exe en eventueel zelfs scripts. Daar kun je dan weer wel ook in een werkgroep model de local group policies voor gebruiken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • TRON
  • Registratie: september 2001
  • Laatst online: 22-09 12:30
Werkt / voldoet het volgende niet?
code:
1
setalc.exe -on HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID -ot reg -actn ace -ace "n:domein\gebruiker;p:read;m:set"


Met mode 'set' haal je alle rechten voor de betreffende gebruiker in dit geval weg en vervang je deze met permission 'read'.

Op zoek naar een GRATIS én PRIVACYVRIENDELIJKE (ja echt) rittenadministratie? Ga dan naar RitRegister.nl


  • webknecht
  • Registratie: oktober 2006
  • Laatst online: 23-11-2014
alt-92 schreef op vrijdag 12 november 2010 @ 22:24:
Group policies zou je dit ook mee kunnen doen, en dan met name group policy preferences, maar dat veronderstelt wel dat je dan minimaal een 2003 AD domain hebt en een Vista of Win7 client waarvanaf je die preferences instelt..
En omdat je aangeeft dat dit een paar PC's van een streekmuseum zijn, lijkt me dat wat overkill :P
Dat klopt inderdaad...We "draaien" de file/printserver met Linux/Samba geconfigureerd als een domain controller. Werkt overigens prima

Wat ik wel doe met group policies is een set van instellingen maken en vervolgens de directory c:\windows\system32\grouppolicy distribueren naar alle client PC's.

Tx Aad

  • alt-92
  • Registratie: maart 2000
  • Niet online
d:)b
Mocht je toch eens willen kijken naar een AD Group policy equivalent onder Samba, dan is Nitrobit wel een leuke optie misschien.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • webknecht
  • Registratie: oktober 2006
  • Laatst online: 23-11-2014
TRON schreef op vrijdag 12 november 2010 @ 23:24:
Met mode 'set' haal je alle rechten voor de betreffende gebruiker in dit geval weg en vervang je deze met permission 'read'.
Thanks. Ik ga er ff naar kijken..

  • webknecht
  • Registratie: oktober 2006
  • Laatst online: 23-11-2014
TRON schreef op vrijdag 12 november 2010 @ 23:24:
Werkt / voldoet het volgende niet?
En het wilde maar niet werken :( Totdat ik op het briljante idee kwam om eens te kijken naar een nieuwere versie van setacl.exe.

Bingo :) Thanks!

  • TRON
  • Registratie: september 2001
  • Laatst online: 22-09 12:30
Het was inderdaad bedoeld voor versie 2. Ik dacht al dat je die gebruikte, te zien aan je eerste syntax :)

Op zoek naar een GRATIS én PRIVACYVRIENDELIJKE (ja echt) rittenadministratie? Ga dan naar RitRegister.nl

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee