[XP] Tweede inlogverplichting

ik kan je verhaal in het geheel niet volgen. ik zie werkelijk geen reden om een 2e login in te voeren om vast te kunnen leggen wie wanneer inlogd.
Ik zou het met audits doen ipv gpo's, of mis ik een vitaal stukje info ?

iedere gebruiker heeft een sid kan je daar niet iets mee ?

meer uitleg nodig zie ik.

iedre gebruiker/computer/wat dan ook in je domein/workgroup heeft een SID (security identifier geloof ik maar waar het precies voor staat kan je ook zelf opzoeken) je kan vanalles met deze nummers hier staat iets over hoe je kan zien welke naam welke sid heeft ik zou de oplossing daar in zoeken

[ Voor 78% gewijzigd door uniquorn op 17-07-2003 17:05 ]

Laat ze enkel die persoonlijke accounts gebruiken.
audits aanzetten, zo dat je kan zien wie wanneer waar inlogd.

Ik snap niet waarom gebruikers van thuis en op hun normale werk plek 2 verschillende accounts gebruiken. Houd het op 1 account.
Ik zie ook geen reden om mensen van thuis geen policy op te leggen en mensen van binnen wel.

Ik zie een de noodzaak voor een 2e login per definitie als overbodig en denk eerder dat deze wens een gevolg is van een ongelukkige implementatie.

Een situatie schets als hierboven is moeilijk via een forum te "overleggen" dusben bang dat je hier niet zo veel mee op schiet.

Ok.

Aller eerst ga naar je domain policy toe en zet Audit in security aan. Audit succes en failure op logon event's.
Ten tweede zet de password cach uit dit verhinderd dat men toch met het domain account in kan loggen op het moment dat het werkstation geen verbinding met het domain heeft.
ten derde zorg ervoor dat men geen local account heeft op het werkstation maar alleen een domain account.

Op deze manier worden ze verplicht in te loggen op het domain

Verwijderd schreef op 17 juli 2003 @ 16:06:
Het betreft hier XP clients waarop men inlogt met een en zelfde algemene account, dit ivm een group policy. .

Dan is het ook geen Group Policy meer, maar een User policy

En zodra je meer dan 1 persoon met één en dezelfde logon laat werken ben je toch al zuur.
Ergo:
Lekker ieder met z'n eigen user in laten loggen zoals hierboven genoemd staat, kan je veel meer tracken.

[ Voor 30% gewijzigd door alt-92 op 17-07-2003 19:08 ]

Waarom maak je geen gebruik van de 'User Group Policy loopback processing mode' en laat je de user-policy via de pc binnenkomen ipv via de user(s)...
Want voor zover ik het hoor gaat het erom dat die policy alleen geld voor die pc's, dus dan is dat de beste optie...

Ik snap niet wat je wilt.

Je wilt dat mensen zich verplicht inloggen, met welke tool dan ook (in principe ook windows). Alleen als ze thuis zijn moeten ze niet inloggen.

Mensen die vervelend willen zijn loggen in op thuis als ze op werk zitten en dan kunnen ze nog vanalles doen.

/me misschien handig om te noemen _wat_ voor problemen je hebt met users?

Verwijderd schreef op 18 juli 2003 @ 11:26:
[...]


De meeste policies die ik toepas zitten juist in de user configuratie van de GP. Alleen aan computer policies heb ik niks.

Yep, maar door deze waarde in te vullen in de GPO van de container waar de computers in zitten, kun je binnen die GPO ook userinstellingen maken die dan gelden voor de gebruikers die op die computers inloggen (ze overrulen ze zelfs)

Check anders http://www.microsoft.com/...yguide/dmebb_gpu_kvam.asp, daar staat het allemaal uitgelegd

Als je roaming profiles gaat gebruiken, kan een werknemer achter iedere PC gaan zitten binnen het bedrijf.
NT v4.0 bood de mogelijkheid al om on- en offline te werken (met name met laptops erg handig). Na aanloggen op het domain, zou je de boel / data weer kunnen synchroniseren.
Zelf als ze met een PC thuis aanloggen op het domain heb je nog steeds met roaming profiles te maken en weet je dus nog steeds exact (m.b.v. auditing) wie wat doet.

Als je het mogelijk gaat maken dat iedere thuis PC zomaar het netwerk op kan, zet je je achterdeur ook wel wagenwijd open.

Als ik het hele verhaal nu zo snel even inschat, hebben jullie dus NIET nagedacht over de security issues die gepaard gaan met thuiswerken en flexibele werkplekken. Nu staat ALLEEN het gebruikersgemak voorop, terwijl de integriteit van je bedrijfsnetwerk en data voorop moet staan.

Ik weet dat het een delicate kwestie is (gemak versus beveiliging), maar dit is helemaal prut.

Mjah tis heel leuk dat die users inloggen met het account W
Maar wat is er mis mee dan om ze in te laten loggen met hun eigen account?
Waarom zou dat niet kunnen?

Ben je in 1 klap van dat gezeik af

Je kan met Group Olicies ook aangeven dat deze voor Computers gelden. Daarmee zal iedere gebruiker opeen werkstation je policy krijgen.

Verwijderd schreef op 18 July 2003 @ 11:26:
[...]


De meeste policies die ik toepas zitten juist in de user configuratie van de GP. Alleen aan computer policies heb ik niks.

Eerst lezen, dan roepen: als je die loopback-processing dinges aanzet, dan krijgen alle users de userpolicy die op de OU staat waar de pc in zit.

Dat is volgens mij precies wat je wil bereiken ? Je hebt dan een user policy voor iedereen, terwijl ze op andere plekken wel normaal kunnen werken.

Dock28,

Wat voor pruts domain hebben jullie? volgens mij kom je danig kennis te kort. Je kunt via AD perfect bepalen of een gebruiker een software pakket al heeft en desnoods wijs je die pakketten aan computers toe zodat ze op elke werkplek geinstalleerd staan. De grootste thread die jullie nu hebben is als iemand het account weet te kraken en lekker er mee in gaat loggen met alle gevolgen van dien.

Als je wilt dat men met 2 wachtwoorden binnen windows2000 professional of WindowsXP wil inloggen moet je SYSKEY of pakketten als SafeGuard gaan introduceren.

syskey zit standaard in zowel windows2000 als windowsxp en vereist dat een gebruiker een wachtwoord invult voordat het ctrl+alt+del scherm komt. Echter ben je het password kwijt is het helaas pindakaas.. en je moet het per werkplek uitrollen nog een nadeel. Gebruik je in dit geval weer overal het zelfde password heb je weer een security issue aan je kop.

maar goed ga lekker verder met 1 account en ik denk dat de gevolgen vanzelf wel eens zichtbaar worden..gebruiker X die iets van Y verwijderd terwijl Y er nog mee bezig was ga maar door wat je allemaal kan gebeuren.

Verwijderd schreef op 18 July 2003 @ 22:24:
[...]


Enige nadeel van een algemene account is, dat het niet te herleiden is naar een persoon als er iets ongewenst op die machine gebeurd. Nu zoek ik dus een mogelijkheid omdat toch te doen. BIOS password zou ideaal zijn, maar die kan je niet loggen en een BIOS password wordt alleen gevraagd na een reboot, niet als een gebruiker uitlogd.

WTF wil jij gaan doen met een BIOS password???
Wat heeft dat voor nut? Dat kan je echt niet voor meerdere gebruikers instellen mocht je dat denken, dus wat heb je eraan?

Maar goed, ik blijf erbij dat het vrij makkelijk op te lossen is mbv loopback policy processing...

Bovendien bespaart het ontzettend veel ruimte als je een account (dus maar 1 gebruikersprofiel) hebt. Zo is het bureaublad en startmenu transparant voor iedereen. Jantje ziet direct na het inloggen (in startmenu of op desktop) dat applicatie X al door iemand is geinstalleerd en gaat niet als een bezetene proberen app. X weer te installeren.

Er zijn verschillende soorten profiles beschikbaar, en een gelijke desktop is ook mogelijk, ga maar eens wat zoeken zou ik zo zeggen.

maar goed ga lekker verder met 1 account en ik denk dat de gevolgen vanzelf wel eens zichtbaar worden..gebruiker X die iets van Y verwijderd terwijl Y er nog mee bezig was ga maar door wat je allemaal kan gebeuren.

Of dat mogelijk is hangt van zijn instellingen af. Als hij de map waarin het document staat op de server heeft staan dan krijg je de melding dat het bestand nog in gebruik is maar als het in het profile zit ben je er flink bij

Kijk eventjes naar: http://pgina.xpasystems.com/plugins/ - een opensource GINA replacement, met onder andere LDAP support.

pGINA ondersteunt ook chaining van GINA's. Let wel op - het is een zeer kritisch component van je systeem, een simpele fout en je kan een langdurig recovery process starten.

Ik zou TS aanraden zich eerst eens te gaan verdiepen in Windows Server 2000 Active Directory en de voor en na delen hiervan. Ook mandatory profiles is een optie hier. En ook het management overtuigen dat ze toch echt policies moeten gaan implementeren ivm security en dergelijke... voordat je uberhaupt al met ldap gaat kloten wat zoals Elevator zegt je hele omgeving snel en efficient ook omzeep kan helpen.

Of duik gewoon effe in Delphi..
Bouw je een registratie tooltje..

Gewoon iets simpels waar iemand z'n naam in moet typen voor't zichzelf sluit..
Zo'n always on top applicatietje...