Vraag

woensdag 11 oktober 2017 14:38

Acties:
  • 0 Henk 'm!
  • Hama900
  • Registratie: September 2009
  • Laatst online: 13-06 00:32

Hama900

Topicstarter
Hallo,

In het verleden was het altijd mogelijk om in de control panel bepaalde items te verbergen d.m.v. GPOs en canonical names. Nu is het zo dat Windows 10 en Server 2016 gebruik maken van de app 'Settings', hierin kun je dingen doen zoals bijv. Windows Defender inschakelen, Systeemherstel en Windows Updates uitvoeren.

Mijn vraag: Ik wil de Settings app graag behouden maar de Update & Security tab onzichtbaar maken voor de gebruikers. Ik heb begrepen dat er voor Windows 10 admx. bestanden zijn om dit aan te passen, namelijk 'page visibility'. Deze admx files zijn (voor zover ik weet) nog niet beschikbaar voor Server 2016.... is er een manier om dit toch te omzeilen en bepaalde settings te verbergen voor users?

Ik heb de nieuwste admx pack al gedownload maar daar had ik ook weinig aan:
https://www.microsoft.com...oad/details.aspx?id=53430

Ik had ook al gezien dat anderen hier ook mee zitten:

https://social.technet.mi...ibility?forum=winserverTS

https://community.spicewo...-settings-page-visibility

https://community.spicewo...-settings-page-visibility


BVD!

[ Voor 27% gewijzigd door Hama900 op 11-10-2017 14:57 ]

Alle reacties

woensdag 11 oktober 2017 23:01

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Hama900 schreef op woensdag 11 oktober 2017 @ 14:38:
...: Ik wil de Settings app graag behouden maar de Update & Security tab onzichtbaar maken voor de gebruikers...
Ik vind dat een vreemde wens. Ordinaire gebruikers kunnen geen wijzigingen maken in dit onderdeel, daar heb je administratorrechten voor nodig. (Behalve dan het uitstellen van de reboot, maar da's logisch; er moet tenslotte gewerkt worden)
Je bent hiermee eigenlijk alleen maar een stukje security through obscurity aan het bouwen. Wat denk je daarmee te bereiken?

QnJhaGlld2FoaWV3YQ==

donderdag 12 oktober 2017 09:20

Acties:
  • 0 Henk 'm!
  • Hama900
  • Registratie: September 2009
  • Laatst online: 13-06 00:32

Hama900

Topicstarter
Brahiewahiewa schreef op woensdag 11 oktober 2017 @ 23:01:
[...]

Ik vind dat een vreemde wens. Ordinaire gebruikers kunnen geen wijzigingen maken in dit onderdeel, daar heb je administratorrechten voor nodig. (Behalve dan het uitstellen van de reboot, maar da's logisch; er moet tenslotte gewerkt worden)
Je bent hiermee eigenlijk alleen maar een stukje security through obscurity aan het bouwen. Wat denk je daarmee te bereiken?
Ze zijn momenteel ook in staat om updates te installeren en vervolgens te rebooten, daarnaast hebben zij ook toegang tot endpoint protection etc. Je kunt je voorstellen dat het binnen de kortste keren mis zal gaan, vooral wanneer een gebruiker per ongeluk op reboot klikt terwijl anderen aan het werk zijn op de VM.

donderdag 12 oktober 2017 09:42

Acties:
  • 0 Henk 'm!
  • Meekoh
  • Registratie: April 2005
  • Laatst online: 16-09 16:34

Meekoh

Even de Old-school methode?
Probeer het eens op een Win10 toe te passen in een GPO. Tijdens gpupdate meekijken met Process Monitor (sysinternals) en kijk welke registry settings er worden gewijzigd.
Uiteindelijk is bijna alles wat door GPO's wordt ingesteld een registry setting.

Computer says no

donderdag 12 oktober 2017 11:53

Acties:
  • 0 Henk 'm!
  • Hama900
  • Registratie: September 2009
  • Laatst online: 13-06 00:32

Hama900

Topicstarter
Meekoh schreef op donderdag 12 oktober 2017 @ 09:42:
Even de Old-school methode?
Probeer het eens op een Win10 toe te passen in een GPO. Tijdens gpupdate meekijken met Process Monitor (sysinternals) en kijk welke registry settings er worden gewijzigd.
Uiteindelijk is bijna alles wat door GPO's wordt ingesteld een registry setting.
Ook al gedaan.. het komt uit op HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Hierin wordt er een String value aangemaakt met als naam 'SettingsPageVisibility' waarin je een showonly of hide commando kunt invoeren, wanneer ik dit namaak op de 2016 servers wordt er niets mee gedaan ook niet als ik het via de GPO push lijkt het ook niet te werken :(

donderdag 12 oktober 2017 11:56

Acties:
  • +2 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:52

HKLM_

Hama900 schreef op donderdag 12 oktober 2017 @ 09:20:
[...]


Ze zijn momenteel ook in staat om updates te installeren en vervolgens te rebooten, daarnaast hebben zij ook toegang tot endpoint protection etc. Je kunt je voorstellen dat het binnen de kortste keren mis zal gaan, vooral wanneer een gebruiker per ongeluk op reboot klikt terwijl anderen aan het werk zijn op de VM.
Het gaat om een RDS / VDI omgeving ? als gebruikers in staat zijn de omgeving te rebooten of updates te installeren dan gaat er ook iets niet helemaal goed met je rechten.

Cloud ☁️

donderdag 12 oktober 2017 11:58

Acties:
  • 0 Henk 'm!
  • Hama900
  • Registratie: September 2009
  • Laatst online: 13-06 00:32

Hama900

Topicstarter
HKLM_ schreef op donderdag 12 oktober 2017 @ 11:56:
[...]


Het gaat om een RDS / VDI omgeving ? als gebruikers in staat zijn de omgeving te rebooten of updates te installeren dan gaat er ook iets niet helemaal goed met je rechten.
Qua rechten staat het goed ingesteld aangezien zij via start > power knop alleen kunnen disconnecten of afmelden, ze kunnen het via cmd ook niet uitvoeren. De enige manier dat zij in staat zijn een reboot uit te voeren is door de Settings tab na het downloaden en installeren van updates en daarom wil ik het weghebben.

donderdag 12 oktober 2017 16:35

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

HKLM_ schreef op donderdag 12 oktober 2017 @ 11:56:
[...]Het gaat om een RDS / VDI omgeving ? als gebruikers in staat zijn de omgeving te rebooten of updates te installeren dan gaat er ook iets niet helemaal goed met je rechten.
Precies! En wat ga je doen als een gebruiker 
shutdown -R
uitvoert?
Hama900 schreef op donderdag 12 oktober 2017 @ 11:58:
[...] het via cmd ook niet uitvoeren...
Ik hoop dat je dat via een whitelist hebt geregeld, en niet via een blacklist
Anyway, waarom niet gewoon een GPO die eindgebruikers het recht om te rebooten afpakt?

[ Voor 30% gewijzigd door Brahiewahiewa op 12-10-2017 16:43 . Reden: voortschrijdend inzicht ;o) ]

QnJhaGlld2FoaWV3YQ==

donderdag 12 oktober 2017 16:40

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:52

HKLM_

@Brahiewahiewa dan blokker je met applocker de run :P

Ik ga er na aanleiding van je reacties van uit dat je een RDS host hebt met sessions en geen VM per persoon.

Wat maakt het trouwens uit dat ze bij endpoint protection kunnen, dit is toch gewoon een client, dat kunnen op een gewone desktopt toch ook ? Wat bedoel je met etc kunnen ze bijvoorbeeld ook de server manager openen of powershell ?

Wat je ook zou kunnen doen, is wel een beetje een vieze oplossing. Als je je server updates met de hand installeer zou je er voor kunnen kiezen om de windows update services uit te schakelen. En zelf in te schakelen als je de server gaat updaten.

[ Voor 98% gewijzigd door HKLM_ op 12-10-2017 16:49 ]

Cloud ☁️

donderdag 12 oktober 2017 16:42

Acties:
  • +1 Henk 'm!

Verwijderd

Hama900 schreef op donderdag 12 oktober 2017 @ 09:20:
[...]


Ze zijn momenteel ook in staat om updates te installeren en vervolgens te rebooten, daarnaast hebben zij ook toegang tot endpoint protection etc. Je kunt je voorstellen dat het binnen de kortste keren mis zal gaan, vooral wanneer een gebruiker per ongeluk op reboot klikt terwijl anderen aan het werk zijn op de VM.
Fix dat probleem en ga het niet 'verbergen'. Er is momenteel iets goed mis.

donderdag 12 oktober 2017 16:51

Acties:
  • +1 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 23:00

Craven

Brahiewahiewa schreef op donderdag 12 oktober 2017 @ 16:35:
[...]

Precies! En wat ga je doen als een gebruiker 
shutdown -R
uitvoert?

[...]

Ik hoop dat je dat via een whitelist hebt geregeld, en niet via een blacklist
Anyway, waarom niet gewoon een GPO die eindgebruikers het recht om te rebooten afpakt?
Lezen is ook een kunst:
Hama900 schreef op donderdag 12 oktober 2017 @ 11:58:
[...]


Qua rechten staat het goed ingesteld aangezien zij via start > power knop alleen kunnen disconnecten of afmelden, ze kunnen het via cmd ook niet uitvoeren. De enige manier dat zij in staat zijn een reboot uit te voeren is door de Settings tab na het downloaden en installeren van updates en daarom wil ik het weghebben.
@Hama900
Als ik het goed begrijp hebben ze dus geen rechten om te rebooten (shutdown -r werkt dus niet?) maar kunnen ze wel via windows update een reboot uitvoeren. Heb ik persoonlijk nog niet gecheckt of dat dan weer wel werkt. Zou ik wel een gemist steekje vinden van MS.

In any case, kun je niet beter controle nemen over windows update van die machine? Ik zou het erger vinden dat gebruikers schijnbaar controle hebben over windows updates en dat een machine overdag during business hours staat te wachten op een reboot. Je probeert nu het gevolg te bestrijden i.p.v. de onderliggende oorzaak.

donderdag 12 oktober 2017 17:01

Acties:
  • +1 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Craven schreef op donderdag 12 oktober 2017 @ 16:51:
[...]Lezen is ook een kunst:
touché
Als ik het goed begrijp hebben ze dus geen rechten om te rebooten (shutdown -r werkt dus niet?) maar kunnen ze wel via windows update een reboot uitvoeren. Heb ik persoonlijk nog niet gecheckt of dat dan weer wel werkt. Zou ik wel een gemist steekje vinden van MS...
Nog meer voortschrijdend inzicht ;o)
Er bestaat een kans dat MS idd deze mogelijkheid over het hoofd heeft gezien.
De juiste handelwijze lijkt me dan om dit als een blocking bug aan te melden bij MS

QnJhaGlld2FoaWV3YQ==

donderdag 12 oktober 2017 19:58

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:21

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Niet getest, maar daar is toch een GPO setting voor?

https://support.microsoft...te-on-windows-server-2016
The default settings in Windows Server 2016 allow user who are not an administrator to scan for and apply Windows Updates. Administrators may want to change this setting to limit access to Windows Updates, especially in Remote Desktop Services Host deployments.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 12 oktober 2017 21:36

Acties:
  • +2 Henk 'm!

Verwijderd

Question Mark schreef op donderdag 12 oktober 2017 @ 19:58:
Niet getest, maar daar is toch een GPO setting voor?

https://support.microsoft...te-on-windows-server-2016


[...]
Net getest, lukt idd als user zonder admin rechten. Rebooten kan daarna ook gewoon. Bijzonder 'design'.

vrijdag 13 oktober 2017 09:15

Acties:
  • 0 Henk 'm!
  • Hama900
  • Registratie: September 2009
  • Laatst online: 13-06 00:32

Hama900

Topicstarter
Verwijderd schreef op donderdag 12 oktober 2017 @ 21:36:
[...]

Net getest, lukt idd als user zonder admin rechten. Rebooten kan daarna ook gewoon. Bijzonder 'design'.
Nou inderdaad.... bijzonder achterlijk van MS moet ik zeggen...

vrijdag 13 oktober 2017 10:04

Acties:
  • 0 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 16:53

nelizmastr

Goed wies kapot

Windows Beta Server 2016 :+

I reject your reality and substitute my own

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq