2000/XP lokale policies voor meerdere gebruikers - Windows clients

maandag 31 maart 2003 21:02

Acties:

Topicstarter

Ik wil verschillende policies voor verschillende gebruikers op een XP bak lokaal aan kunnen geven die niet in een Active Directory netwerk hangen (policies bij AD zijn me al duidelijk).

Bij NT4 Workstation was dit vrij simpel, maak een aantal gebruikers, open poledit als admin en pas de policies van de desbetreffende gebruikers aan.

Heb uitzoekwerk gedaan, maar het lijkt erop dat er op 2000/XP zonder AD maar 1 globale policy gebruikt kan worden, en daar kan je 2 van maken door te zorgen dat de admin account geen rechten heeft tot de policy.

Iets meer detail, een bedrijf wil de volgende situatie op lokale bakken:
- gebruiker admin
- gebruiker personeel (bv beperkte rechten)
- gebruiker internet (aangepast bblad+startmenu+beperkte rechten)
- gebruiker office (idem idee internet)
Kortom 3 verschillende policies (admin niet meegerekend).
Bij NT4 WS & poledit is dit geen enkel probleem, maar bij 2000/XP lijkt dit zonder AD of server (ik blijf het benadrukken

) niet mogelijk te zijn. Als ik het goed begrijp kan je maar 1 policy maken voor het hele systeem en niet per gebruiker/groep.

Al doorgespit:
[rml][ winXP] Groepsbeleid voor 1 user[/rml]
[rml][ Windows XP] Local Policy[/rml]
http://support.microsoft....spx?scid=kb;en-us;Q293655
en Google natuurlijk

...

Klopt dit nou dat dit niet mogelijk is? Online info? Anders? $_/-\o_$

maandag 31 maart 2003 21:45

Acties:

leon1e

Klopt, het is inderdaad niet mogelijk zonder AD. Er is al eens een topic over geweest even zoeken...

SiHiDa schreef op 25 February 2002 @ 19:32:
[...]

Wat ik al zei: Er zijn twee oplossingen.
1) Naar NTFS overschakelen en dan aan de Administrator geen rechten toekennen (alles deny) voor die %SystemRoot%\system32\GroupPolicy\
2) Staat aangegeven in http://support.microsoft.com/default.aspx?scid=kb;en-us;Q293655

Of een batch scriptje welke de map %SystemRoot%\system32\GroupPolicy\ even moved naar c: met het inloggen van de Administrator

[ Voor 82% gewijzigd door leon1e op 31-03-2003 21:48 ]

maandag 31 maart 2003 21:50

Acties:

Mike Jarod

Topicstarter

1) Naar NTFS overschakelen en dan aan de Administrator geen rechten toekennen (alles deny) voor die %SystemRoot%\system32\GroupPolicy\

Dus dan heb je alsnog maar 1 policy voor meerdere gebruikers, alleen heeft de admin account daar dan geen last van.

Is er misschien 3rd party software die iets dergelijks kan realiseren? Het bedrijf is best bereid dit aan te schaffen mits werkbaar.

maandag 31 maart 2003 22:01

Acties:

leon1e

mikejarod schreef op 31 March 2003 @ 21:50:
[...]

Dus dan heb je alsnog maar 1 policy voor meerdere gebruikers, alleen heeft de admin account daar dan geen last van.

Ja, dan moet je die gebruikers geen rechten geven op de policy map, maar dan kun je nog maar 1 policy gebruiken. Voor zover ik weet kan het alleen als je in een AD hangt.

p.s. waarom stel je deze vraag in PNS?

maandag 31 maart 2003 22:20

Acties:

Mike Jarod

Topicstarter

Waar zou ie anders horen? WOS? Ligt dit soort niveau wat lager denk ik NOFI

dinsdag 1 april 2003 06:19

Acties:

vso

tja...

policies per user per bak ? tja je moet het willen maar het kan wel ..

als ik me win2kpro examen nog goed terug haal moeten lokal policies ook voor meerdere users kunnen defineren ? is het niet toevalig dat je een home ipv een corp editie hebt van XP? trouwens onder win2k werkt pol edit ook nog wordt alleen afgeraden .. waarom zou het niet onder XP werken ? (wordt zeer waarschijnlijk nog erger afgeraden ..)

Tja vanalles

dinsdag 1 april 2003 09:31

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > WOS

Tijd voor een nieuwe sig..

donderdag 24 april 2003 20:24

Acties:

Mike Jarod

Topicstarter

Daar waren we weer

Heb in de tussentijd nog wat uitzoekwerk gedaan en het lijkt er nog steeds op dat je maar 1 globale policy op een lokale 2000/XP bak kan maken, en eventueel de administrator hier via een omweg van kan afsluiten. Kortom het lijkt niet mogelijk om meerdere policies voor meerdere users te gebruiken.

Heb gezocht naar poledit voor 2000/XP maar kan deze nergens vinden. Op alle berichten in nieuwsgroepen wordt alleen maar geroepen dat je policies in kan stellen met gpedit.msc, en dat kan dus alleen globaal. Als iemand mij het tegendeel kan bewijzen zie ik dat heel graag.

Dus ben ik gaan zoeken naar 3rd party programma's die dit wel kunnen, en die heb ik zowaar gevonden. Zo vond ik deze 2:
• The Lock 2002
• 1st Security Agent

Nou moet ik zeggen dat als ik de websites van deze bedrijven bekijk, ik nou niet echt overdonderd word door hun professionaliteit. Ook kan ik bv geen gebruikersfora vinden of updates die bv bepaalde functionaliteiten van bv nieuwe Internet Explorer (6 SP1) versies aanpakken, die wil ik namelijk ook kunnen dichtspijkeren. Kortom komt allemaal een beetje amateuristisch over (de applicaties zijn wel redelijk cheap dat zou eea verklaren).

Heeft er iemand hier ervaring met dit soort programma's? (liefst in bedrijfsleven). Wat zou je aanraden? Zijn er geen grote bekende bedrijven dit dit soort software maken waar je hopelijk goede (on-line) support krijgt + updates etc.

Graag wat tips.

donderdag 24 april 2003 20:28

Acties:

G33rt

Is het dan niet slimmer om verschillende users in verschillende groups te zetten? Per group kon je het volgens mij wel met gpedit.msc editen, en dan edit je dus eigenlijk stiekem de user

donderdag 24 april 2003 20:37

Acties:

Mike Jarod

Topicstarter

G33rt schreef op 24 april 2003 @ 20:28:
Is het dan niet slimmer om verschillende users in verschillende groups te zetten? Per group kon je het volgens mij wel met gpedit.msc editen, en dan edit je dus eigenlijk stiekem de user

Lijkt niet te werken.

Heb het volgende gedaan:
• maak groep TEST aan
• maak gebruiker TEST aan
• maak gebruiker TEST lid van groep TEST
• login als gebruiker TEST
• start gpedit.msc
• disable start>uitvoeren, dat gebeurt
• log in als administrator
• start>uitvoeren is ook disabled, terwijl ik dat niet ingesteld heb voor deze gebruiker en deze niet in groep TEST zit.

Dit is nou juist het kromme van dit probleem, blijkbaar kan je maar 1 globale policy definieren, ongeacht wie lid is van welke groep etc.

EDIT

http://support.microsoft....px?scid=KB;EN-US;q269799&

Heb het voor elkaar gekregen om poledit van m'n W2k server cd met W2k Prof WS te laten draaien. Probleem is alleen dat er vrij weinig opties zijn om in te stellen. Precies dezelfde opties als onder NT4. Kritieke dingen zoals taakbeheer zijn nog steeds te benaderen, maar het is iets. De nieuwe .adm files van W2k kunnen niet door poledit.exe gelezen worden, dus vandaar de beperking in opties. Al met al niet echt een oplossing

[ Voor 25% gewijzigd door Mike Jarod op 24-04-2003 22:36 ]

vrijdag 25 april 2003 13:18

Acties:

pbd

Er was volgens mij een workaround hiervoor:
Elke policy die je aanmaakt via gpedit.msc krijgt een map met een id op je lokale harde schijf(%systemroot%\System32\GroupPolicy). Als je dan een specifieke lokale groep gebruikers (ntfs) leesrechten geeft op die map wordt die policy alleen voor hun uitgevoerd. De overige gebruikers geef je dan geen rechten (of deny read). Dus ook de default rechten even verwijderen. Alleen even om je in de richting te helpen, want heb het zelf nooit toegepast. Zie ook:
http://www.winforums.org/viewthread.php?tid=1690
http://www.jsiinc.com/SUBL/tip5600/rh5619.htm
http://searchwin2000.tech...83,sid1_gci804964,00.html
http://is-it-true.org/nt/nt2000/atips/atips131.shtml
Doe maar eens een google search op %systemroot%\System32\GroupPolicy