vrijdag 12 november 2010 22:16

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Goedenavond allemaal,

Ik ben bezig met een nieuwe inrichting te maken voor de pc's van een streekmuseum. Nu heb ik het snode plan opgevat om de titels “Deze computer” en “Mijn netwerklocaties” te veranderen in “Computer” en “Netwerk”. Ik heb het hier over Windows XP.

Deze verandering op zich is een goed te doen door voor elke gebruiker twee aanpassingen in de registry te maken. Hieronder een stukje voor regedit:

code:
1
2
3
4
5
6
7
8
9
10

Windows Registry Editor Version 5.00
;
; HKCU_DEFAULT.REG      20101110
;
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@="Computer"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]
@="Netwerk"


So far so good. Deze aanpassing wordt gedaan tijdens het aanmelden dus onder het account van een "gewone" gebruiker. Tot zover geen probleem. Vervolgens wil ik echter ook voorkomen dat gebruikers, en er zitten een paar hobbyisten onder, deze naam alsnog gaan wijzigen. Wellicht een beetje vergezocht van mij maar ik ben de beheerder hier :-)

Toen ben ik met setacl.exe gaan prutsen om de rechten van de gebruiker op deze sleutels te beperken. En daar raakte ik de weg kwijt in de syntax van setacl.

Ik ben wel zo ver dat ik de automatische inheritance uitgeschakeld heb met onderstaand commando...

code:
1

setacl.exe" -ot reg -on HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID -actn setprot -op dacl:p_c


...maar dan heeft de actuele gebruiker alle rechten op deze sleutel. Hoe krijg ik het zover dat de actuele gebruiker alleen maar leesrechten overhoudt?

Even out of de box denken mag ook. Setacl.exe is geen doel op zich maar slechts een middel. Als het bovenstaande op een andere manier kan, bijvoorbeeld met group policies, is me dat ook prima.

TIA Aad Slingerland

vrijdag 12 november 2010 22:24

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

subinacl of setacl zijn dan toch wel de aangewezen middelen - mits je wel in het achterhoofd houdt dat HKEY_Current_User zoals de naam al aangeeft een user-specifieke setting is en dat dat deel ook eigenlijk des users is om te kunnen benaderen :)


Group policies zou je dit ook mee kunnen doen, en dan met name group policy preferences, maar dat veronderstelt wel dat je dan minimaal een 2003 AD domain hebt en een Vista of Win7 client waarvanaf je die preferences instelt..
En omdat je aangeeft dat dit een paar PC's van een streekmuseum zijn, lijkt me dat wat overkill :P

Wat je sowieso dan wil voorkomen is dat de hobbyisten met registry tools aan de slag kunnen - zowel regedit als reg.exe en eventueel zelfs scripts. Daar kun je dan weer wel ook in een werkgroep model de local group policies voor gebruiken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 12 november 2010 23:24

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 10-09 12:28

TRON

Werkt / voldoet het volgende niet?
code:
1

setalc.exe -on HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID -ot reg -actn ace -ace "n:domein\gebruiker;p:read;m:set"


Met mode 'set' haal je alle rechten voor de betreffende gebruiker in dit geval weg en vervang je deze met permission 'read'.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

zaterdag 13 november 2010 17:29

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
alt-92 schreef op vrijdag 12 november 2010 @ 22:24:
Group policies zou je dit ook mee kunnen doen, en dan met name group policy preferences, maar dat veronderstelt wel dat je dan minimaal een 2003 AD domain hebt en een Vista of Win7 client waarvanaf je die preferences instelt..
En omdat je aangeeft dat dit een paar PC's van een streekmuseum zijn, lijkt me dat wat overkill :P
Dat klopt inderdaad...We "draaien" de file/printserver met Linux/Samba geconfigureerd als een domain controller. Werkt overigens prima

Wat ik wel doe met group policies is een set van instellingen maken en vervolgens de directory c:\windows\system32\grouppolicy distribueren naar alle client PC's.

Tx Aad

zaterdag 13 november 2010 17:33

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

d:)b
Mocht je toch eens willen kijken naar een AD Group policy equivalent onder Samba, dan is Nitrobit wel een leuke optie misschien.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 13 november 2010 19:28

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
TRON schreef op vrijdag 12 november 2010 @ 23:24:
Met mode 'set' haal je alle rechten voor de betreffende gebruiker in dit geval weg en vervang je deze met permission 'read'.
Thanks. Ik ga er ff naar kijken..

zaterdag 13 november 2010 20:40

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
TRON schreef op vrijdag 12 november 2010 @ 23:24:
Werkt / voldoet het volgende niet?
En het wilde maar niet werken :( Totdat ik op het briljante idee kwam om eens te kijken naar een nieuwere versie van setacl.exe.

Bingo :) Thanks!

maandag 15 november 2010 00:59

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 10-09 12:28

TRON

Het was inderdaad bedoeld voor versie 2. Ik dacht al dat je die gebruikte, te zien aan je eerste syntax :)

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq