[Win XP Prof] Users moeten gedeeltes HD zien

nope, hier heb je 3rd party software voor nodig. kijk maar eens rond op www.download.com

Ja, rechten per user instellen kan heel goed met NTFS. Of je hiermee ook het aantal te gebruiken GB's in kan stellen weet ik niet. Dit gaat je echter wel een format kosten omdat je het hele filesystem om moet gaan zetten (je hebt nu waarschijnlijk FAT32).

Genghis Khan schreef op 16 July 2003 @ 18:35:
Ja, rechten per user instellen kan heel goed met NTFS. Of je hiermee ook het aantal te gebruiken GB's in kan stellen weet ik niet. Dit gaat je echter wel een format kosten omdat je het hele filesystem om moet gaan zetten (je hebt nu waarschijnlijk FAT32).

je krijgt het in xp nooit waterdicht. kiddo's zijn slim genoeg tegenwoordig

Je kunt met beveiliging toch echt instellen of een user wel of niet een directory of file mag bekijken cq. wijzigen.

[ Voor 29% gewijzigd door Hurricane op 16-07-2003 18:37 ]

Hurricane schreef op 16 juli 2003 @ 18:36:
Je kunt met beveiliging toch echt instellen of een user wel of niet een directory of file mag bekijken cq. wijzigen.

edit:

Wel NTFS als bestandssysteem natuurlijk anders kan je dat niet instellen.

tuurlijk wel. alleen het probleem is dat er op internet genoeg progsels zijn waarmee je gewoon over je hd kunt 'browsen' zonder dat ntfs-rechten iets uitmaken.

verder: stel dat je program files verbergt, en je wilt in een bepaald programma iets openen dan krijg je ook meteen een error (of meteen toegang, ligt eraan hoe het programma geschreven is)

Voor alle zekerheid zou ik voor een mobile rack gaan, de kids hun eigen HDD en pa zelf ook, op deze manier kunnen ze nooit meer aan zijn bestanden komen.

Genghis Khan schreef op 16 July 2003 @ 18:35:
Ja, rechten per user instellen kan heel goed met NTFS. Of je hiermee ook het aantal te gebruiken GB's in kan stellen weet ik niet. Dit gaat je echter wel een format kosten omdat je het hele filesystem om moet gaan zetten (je hebt nu waarschijnlijk FAT32).

Formatteren? Ooit van commando convert gehoord?
convert c: /FS:NTFS
En hopsa
Doet wel niet ter zake aangezien het al NTFS is, maar wou je even corrigeren.
En limieten opstellen gaat evengoed: Diskquota er eens op naslaan

Verwijderd schreef op 16 juli 2003 @ 18:39:
[...]

tuurlijk wel. alleen het probleem is dat er op internet genoeg progsels zijn waarmee je gewoon over je hd kunt 'browsen' zonder dat ntfs-rechten iets uitmaken.

Owh ja?
Ik verwacht niet dat dit soort progsels onder Windows XP werken, zover ik weet gaat alle toegang naar de HD via het OS. Als het OS dus die toegang blokkeerd dan is het gewoon gebeurd...

Misschien is zoiets wel mogelijk door bijvoorbeeld een of andere crack/virus in XP te installeren(maar dat lukt als het goed is niet als je geen admin bent). En je kunt natuurlijk een linux bootdisk nemen ofzo en ze stiekum op die schijf komen...

Hoe oud (en vernielzuchtig) zijn de kiddo's eigenlijk?

Verwijderd schreef op 16 July 2003 @ 19:06:
[...]

Owh ja?
Ik verwacht niet dat dit soort progsels onder Windows XP werken, zover ik weet gaat alle toegang naar de HD via het OS. Als het OS dus die toegang blokkeerd dan is het gewoon gebeurd...

ik zal hier geen dingen gaan posten die tegen de policy in gaan, maar neem maar van mij aan dat je met 5 minuten googelen al een heel eind bent

Misschien is zoiets wel mogelijk door bijvoorbeeld een of andere crack/virus in XP te installeren(maar dat lukt als het goed is niet als je geen admin bent). En je kunt natuurlijk een linux bootdisk nemen ofzo en ze stiekum op die schijf komen...

Hoe oud (en vernielzuchtig) zijn de kiddo's eigenlijk?

op het moment dat je andermans bestanden gaat verwijderen ben je per defenitie van de ergste soort...

Met NTFS kom je inderdaad een heel eind. Als je dan begint met het importeren van het security-template (securews of hisecws) kan je de standaardzooi al behoorlijk dichttimmeren voor niet-admins, en met diskquota kan je instellen dat de gebruikers niet meer dan zoveel op de schijf mogen hebben.
Door ze nu gewone users te maken kunnen ze als het goed is nu al vrij weinig, kijk in ieder geval de security settings na van de belangrijke directories (rootdir, windows, program files kunnen voor hen zo goed als readonly...) In ieder geval kunnen ze zo de pc vrij moeilijk vernielen, want wat je niet kan veranderen kan je ook niet slopen
En als je het echt dicht wil hebben, zet opstartvolgorde op HD eerst, zet een password op het bios en zet een slot op de kast

... en gunhead, ik ben eigenlijk wel benieuwd wat voor mogelijkheden er zijn om dit te omzeilen...

[ Voor 8% gewijzigd door Eric op 16-07-2003 20:10 ]

Hoe meer je dit gaat beveiligen, hoe meer je de "admin" ook zelf in de weg gaat zitten. Je kan trouwens heel gemakkelijk onder XP de root-permissies aanpassen, en op die manier voorkomen dat users nog nieuwe mappen e.d. kunnen bijmaken. Doe dit door in My Computer de properties van je C: e.d. op te vragen, en hier de users uit de permissies te halen. Ben hier wel wat voorzichtig mee, want als je dit fout doet boot je PC nooit meer.

elevator schreef op 16 July 2003 @ 21:44:

offtopic:
Ik denk dat de beste oplossing gewoon het goude oude stokslagen is, maar goed.

En als je auditing aanzet weet je ook wie je die stokslagen moet geven

Ik denk dat dit e.e.a. duidelijk zal maken over quota's.
http://www.microsoft.com/...imitwarningtonewusers.asp
en de links onderin voor extra info mbt quota en disk en quota en users.

[ Voor 4% gewijzigd door blackd op 16-07-2003 21:59 ]

Super_Freak schreef op 16 July 2003 @ 20:09:
... en gunhead, ik ben eigenlijk wel benieuwd wat voor mogelijkheden er zijn om dit te omzeilen...

ik weet niet in hoeverre dit legaal is, maargoed:

ken je ntfs4dos? idd, what's in a name. alleen trekt dat progsel zich helemaal niets aan van rechten. je kunt gewoon browsen over een nfts schijf als ware het een fat32 schijf.

op internet zijn verscheidene varianten te vinden die ook schrijven kunnen op ntfs disks.
draai zo'n programma in de compatibiliteitsmodus van win95, en je kunt overal bij.

waarom maak je niet gewoon voor de kids partities aan van 1 GB waar alleen zij rechten op hebben, dat is zo gedaan met NTFS

Verwijderd schreef op 17 July 2003 @ 11:39:
[...]

ik weet niet in hoeverre dit legaal is, maargoed:

ken je ntfs4dos? idd, what's in a name. alleen trekt dat progsel zich helemaal niets aan van rechten. je kunt gewoon browsen over een nfts schijf als ware het een fat32 schijf.

op internet zijn verscheidene varianten te vinden die ook schrijven kunnen op ntfs disks.
draai zo'n programma in de compatibiliteitsmodus van win95, en je kunt overal bij.

Zeker ken ik dat, maar dan moet je dat wel kunnen starten. Door nu het opstarten vanaf diskette/cd te belemmeren kan je dat dus al niet gebruiken
Als je een computer wilt beveiligen met je dus naast het dichttimmeren van het OS er voor zorgen dat dat het enige is dat gestart kan worden, en dat is dmv biosaanpassingen en een slot op de kast best goed mogelijk

Verder vraag ik me af of het werkt in compabiliteitsmodus, heb er met google niks over kunnen vinden... Heb je het ooit zelf geprobeerd?

Rudy_X schreef op 17 July 2003 @ 15:02:
[...]


jah! maar hoe zet ik die "documents en settings" over zonder risico??? want die kan ik niet instellen, of is daar een prog voor ???

Jawel...

Rechtermuisknop op de "My documents" map, en dan gewoon de directory aanpassen.

Ik zou dan gewoon eerst alle bestanden kopiëren naar de 1 GB partitie, en dan de 'My Documents' directory aanpassen.
Dan ook even aanzetten bij de gebruikers dat de map 'private' is... zodat je niet in andermans 'My Documents' map kunt komen.
Eventueel kun je dit ook zelf via toegangsrechten van NTFS regelen.

Rudy_X schreef op 17 July 2003 @ 15:18:
[...]


Maar............ zet hij dan dan voortaan de bestanden automatisch naar die partitie???

dus als de userXXX een foto download komt deze automatisch op d:\document en settings\userXXX\foto's of maakt hij dan in C: weer automatisch een nieuwe directory aan??? Ik heb geen zin om alles weer opnieuw over te zetten!

Als jij die 'My Documents' directory aanpast via de eigenschappen, dan worden ALLE documenten daar neergezet.

Ik heb zo al een hele tijd ( vanaf Win98) m'n documenten directory op een aparte schijf...

Anders probeer TweakUI eens, ( zit in het PowerToys pakket van Microsoft, te downloaden van MS site), daar kun je nog meer standaard-directories mee veranderen.

Je moet wel voor iedere user apart de instellingen veranderen...

Waarom geld de quota alleen voor documents and settings, mogen ze verder wel schijven op de C-schijf?
En verder: de plaats van je profile is in te stellen via 'My Computer' -> Manage -> 'Local Users and Groups' -> Users -> gebruikersnaam -> Properties -> Profile

Super_Freak schreef op 17 July 2003 @ 15:06:
[...]


Zeker ken ik dat, maar dan moet je dat wel kunnen starten. Door nu het opstarten vanaf diskette/cd te belemmeren kan je dat dus al niet gebruiken
Als je een computer wilt beveiligen met je dus naast het dichttimmeren van het OS er voor zorgen dat dat het enige is dat gestart kan worden, en dat is dmv biosaanpassingen en een slot op de kast best goed mogelijk

Verder vraag ik me af of het werkt in compabiliteitsmodus, heb er met google niks over kunnen vinden... Heb je het ooit zelf geprobeerd?

gewoon starten vanaf de harde schijf. meestal lukt dat wel.

Verwijderd schreef op 17 July 2003 @ 15:46:
[...]


zoals iemand al zei... bootvolgorde veranderen en een pw op je bios en klaar...

gewoon starten vanaf de harde schijf.

Verwijderd schreef op 17 July 2003 @ 15:41:
(overigens zal je waarschijnlijk ook read op de %windir% en program files\common files moeten geven.)

Op sommige delen zul je zelfs minimaal Change rechten moeten geven (denk aan %WINDiR%\system32\config b.v.) anders kan NT niet in zijn logs en registry schrijven en dan heb je dus echt een probleem

Je kunt ook een PC kopen die alleen voor die kinderen is.
Probleem? -> pech!

En niet op vaders PC (hoewel.. bij ons thuis is dat ook moeilijk).

ok, een boot password is misschien zo gesloopt maar als die 13 en 16 Jarige dat doen, dan is het toch simpel voor de vader...zo proberen met opzet te slopen..dus geen pc gebruik voor een maand of zo meer...laat ze dan maar lekker met hun playstation of zo gaan spelen...

chrisO schreef op 17 July 2003 @ 16:16:
ok, een boot password is misschien zo gesloopt maar als die 13 en 16 Jarige dat doen, dan is het toch simpel voor de vader...zo proberen met opzet te slopen..

daar lag nou net het probleem. check de openingspost:

verwijderen bestanden die van hem zijn e.d.

warp schreef op 17 juli 2003 @ 15:57:
Op sommige delen zul je zelfs minimaal Change rechten moeten geven (denk aan %WINDiR%\system32\config b.v.) anders kan NT niet in zijn logs en registry schrijven en dan heb je dus echt een probleem

Daar is de system-user voor bedoeld

warp schreef op 17 July 2003 @ 16:01:
Een BIOS password heeft een beetje bijdehand persoon er ook zo afgesloopt.

Ik ben benieuwd hoe jij dat wilt doen als je het BIOS niet kunt resetten (dmv een slot op de kast...)

Super_Freak schreef op 17 juli 2003 @ 16:26:
[...]


Ik ben benieuwd hoe jij dat wilt doen als je het BIOS niet kunt resetten (dmv een slot op de kast...)

google.com > bios/mobo type invoeren
krijg je de defaults min of meer op een presenteerblaadje aangereikt.

Super_Freak schreef op 17 July 2003 @ 16:26:
Daar is de system-user voor bedoeld

Alleen doet die niets met b.v. HKCU

Ik ben benieuwd hoe jij dat wilt doen als je het BIOS niet kunt resetten (dmv een slot op de kast...)

Die PC casing 'slotjes' anders heb je zo open met een schroevendraaier (zonder schade e.d.). En zoals al opgemerkt: google.com > bios/mobo type invoeren.

Edit: Een systeem waar je fysieke toegang tot hebt IS NIET 100% VEILIG TE KRIJGEN.
Als je dat wel gelooft... geloof je in een illusie

[ Voor 27% gewijzigd door warp op 17-07-2003 16:42 ]

Verwijderd schreef op 17 July 2003 @ 16:27:
[...]

google.com > bios type invoeren
krijg je de defaults min of meer op een presenteerblaadje aangereikt.

Misschien van oudere moederborden, maar tegenwoordig vind men beveiliging toch een stukje belangrijker...

Maar goed, geef mij eens een default BIOS wachtwoord voor een asus a7v333-x, dan zal ik hem eens proberen... Ben benieuwd

En anders gewoon een bios debug eroverheen, dan reset je ook alles

Super_Freak schreef op 17 July 2003 @ 16:40:
[...]


Misschien van oudere moederborden, maar tegenwoordig vind men beveiliging toch een stukje belangrijker...

Maar goed, geef mij eens een default BIOS wachtwoord voor een asus a7v333-x, dan zal ik hem eens proberen... Ben benieuwd

ok die kan ik even niet vinden. alleen de meeste asus mobo's kun je vanuit windows flashen zonder wachtwoord. misschien die van jou ook wel

Verwijderd schreef op 17 July 2003 @ 16:47:
[...]

ok die kan ik even niet vinden. alleen de meeste asus mobo's kun je vanuit windows flashen zonder wachtwoord. misschien die van jou ook wel

Natuurlijk, maar dit is uit te zetten in het BIOS zelf ('Flash BIOS Protection')

Je kan natuurlijk ook Iprotect soho gebruiken
om programma's en directories te beveiligen.
Daarnaast kan je ook E4M toepassen om een
eigen volume bestand als drive letter te hebben.
Weet je het wachtwoord niet kom je er ook niet in.

Dit werkt echt.
Quota's werkt alleen als je dit via een server regelt en
niet op de computer waarop "gewerkt" wordt.
Want hierop maak je nogal wat achterdeuren die toch
open blijven staan.
En anders koop je gewoon een computer voor je kids.

warp schreef op 17 July 2003 @ 17:06:
[...]


Heeft de a7v333 een Ami of een Award BIOS?
Dit zijn iig een aantal factory (backdoor) passwords (case-sensitive!).

<KNIP>

Ik zal ze straks als ik thuis kom uitproberen...
En het is de a7v333-x

warp schreef op 17 July 2003 @ 17:10:
[...]
>> Natuurlijk, maar dit is uit te zetten in het BIOS zelf ('Flash BIOS Protection')

ehm...

Yep, zodat bijv. virussen je BIOS niet kunnen overschrijven...

warp schreef op 17 July 2003 @ 17:10:
Een systeem waar je fysieke toegang tot hebt IS NIET 100% VEILIG TE KRIJGEN. Als je dat wel gelooft... geloof je in een illusie

Inderdaad, maar ik heb nog net dat kleine beetje hoop dat ze de kast heel zullen houden
Maar verder ben ik het wel met je eens... tegen fysieke toegang is uiteindelijk niets bestand (behalve een goed ge-encrypted filesysteem misschien...)

Het is gewoon onmogelijk als die kids een beetje slim zijn. In windows xp kan je ook heel makkelijk om wachtwoord een van de administrator en die heeft alle rechten. Je boot gewoon in veilige modus. En haalt de sleutel van het wachtwoord eruit in je register. Meer zal ik niet zeggen anders wordt ome Bill boos

Mister I schreef op 17 July 2003 @ 17:34:
Het is gewoon onmogelijk als die kids een beetje slim zijn. In windows xp kan je ook heel makkelijk om wachtwoord een van de administrator en die heeft alle rechten. Je boot gewoon in veilige modus. En haalt de sleutel van het wachtwoord eruit in je register. Meer zal ik niet zeggen anders wordt ome Bill boos

die kende ik nog helemaal niet. zal eens googelen.

o laat maar, dat is dezelfde truc als het resetten van het admin ww (toch?)

[ Voor 9% gewijzigd door Verwijderd op 17-07-2003 17:47 ]

Verwijderd schreef op 17 juli 2003 @ 17:46:
[...]

die kende ik nog helemaal niet. zal eens googelen.

o laat maar, dat is dezelfde truc als het resetten van het admin ww (toch?)

Zoiets ja
Niet doorvertellen he

warp schreef op 17 July 2003 @ 17:06:
[...]


Heeft de a7v333-x een Ami of een Award BIOS?
Dit zijn iig een aantal factory (backdoor) passwords (case-sensitive!).

[...]

Een Award BIOS, waarbij mij opviel dat je alleen alphanumerieke waarden kan invullen (dus alles met *_!? enzo pakt hij niet...)
Verder werkte geen van bovenstaande passwords...

Ik kon trouwens mijn genoemde 'Flash BIOS Protection' niet terugvinden, zit dus blijkbaar niet op alle bios-versies... Vaag, bij m'n vorige compu kon ik het wel instellen.

Maar goed, op het moment dat je het BIOS flashed, worden dan ook de instellingen overschreven? Voor zover ik weet moet je na een biosflash handmatig (via batterij eruithalen of jumpertje veranderen) je bios wissen, of dat in ieder geval via het bios zelf doen om de standaard instellingen terug te zetten...

Dus dat zou betekenen dat de instellingen er gewoon in blijven staan...

[ Voor 42% gewijzigd door Eric op 18-07-2003 10:50 ]

dat zal per merk verschillen. ik had laatst een asus p4b geflashed, en die was weer op default gesprongen.

Verwijderd schreef op 17 July 2003 @ 17:46:
die kende ik nog helemaal niet. zal eens googelen.

o laat maar, dat is dezelfde truc als het resetten van het admin ww (toch?)

Booten met een (ntfs) floppy en %WINDIR%\system32\config\SAM weggooien werkt ook prima

Naast wat onzin opmerkingen die het tegendeel beweren , dit kun je prima in XP regelen.

Je probleem is niet NTFS, die kan al dat soort zaken perfect afschermen. Maar het gebrek aan instelmogelijkheden van een gewone XP-pro versie. Je kunt dan feitelijk alleen via local users wat beperkte zaken regelen.
De programmas waar men soms naar verwijst doen dan okk niet veel meer dan bepaalde registry settings aanpassen die allemaal reeds in XP aanwezig zijn.
Als je via een server werkt en je een active directory hebt zijn de policys zeer fijn af s te stemmen.

Kortom, je kunt alles afschermen maar de gewone XP heeft te weinig instelmogelijkhden om alle settings te bereiken. daarvoor heb je utilitys nodig of een server met AD.

SED schreef op 18 July 2003 @ 22:07:
Naast wat onzin opmerkingen die het tegendeel beweren , dit kun je prima in XP regelen.

NTFS en policies hebben niet de mogelijkheid om directories te verstoppen.
Met netwerk shares kan dit uiteraard wel, maar het gaat om de lokale HD(s).
En dat was nu juist één van de vragen van de topicstarter, quote:

Nu wil ik hun dus een paar gedeeltes van de hd laten zien. bijvoorbeeld c:\games en c:\downloads. Maar dus niet heel de HD.

Hier zijn wel 3rd party tools voor (zoals ook al was aangegeven). Met NTFS en policies kun je uiteraard wel de toegang blokkeren, maar dan blijf je ze gewoon zien in b.v. Explorer.

Kortom, je kunt alles afschermen maar de gewone XP heeft te weinig instelmogelijkhden om alle settings te bereiken. daarvoor heb je utilitys nodig of een server met AD.

Erg leuk allemaal, maar het gaat hier om een stand-alone PC van paps en de kids.
Dus AD oplossingen zijn niet erg relevant voor dit verhaal.

Sterker nog, 3/4 van de posters hier kijkt alleen maar naar de technische kant.

Op het moment dat die kids ingestelde maatregelen gaan omzeilen (systeem kraken dus) moet je niet meer naar technische middelen kijken maar heel simpel gezegd :

elevator schreef op 16 July 2003 @ 21:44:

offtopic:
Ik denk dat de beste oplossing gewoon het goude oude stokslagen is, maar goed.

Mijn en dijn enzo.

Als je ze dat niet kan bijbrengen.....