Loginscript Win2K

Wat voor OS draaien de clients?

Als het 2000/XP is kan het met een computer-policy opgelost worden. Login-script gaat afhankelijk van je security waarschijnlijk niet werken omdat je als beheerder niet wilt dat gebruikers in de Local_machine registry key kunnen schrijven...

Verwijderd schreef op 04 februari 2004 @ 11:00:
[...]
Hierbij is nog een prbleem aanwezig als je werkt met loginscripts:

Als de gebruiker inlogt worden die bestanden verwijdert en de sleutel op "4" gezet.
Maar als er een andere gebruiker inlogt zijn die bestanden nog steeds weg.
Dus eigenlijk zou ook in dat loginscript moeten komen staan dat als hij uitlogt dat alles weer teruggezet wordt zoals het was...
Is dat uberhaupt mogelijk????

Een oplossing voor dit probleem is het niet verwijderen van de betreffende bestanden, maar ze permanent te verplaatsen naar een folder waar gebruikers wel of geen toegang/autorisatie toe hebben, net naar gewenst is.

Verwijderd schreef op 04 februari 2004 @ 11:09:
[...]
maar je blijft met die registersleutel. Want zonder dat te veranderen kun je nog steeds de usb stick gebruiken
*edit*

Je zorgt voor een klein .reg bestandje dat op de juiste plaats in HKEY_CURRENT_USER wordt gezet.

EDIT:
Eventueel naar HKEY_CURRENT_CONFIG

[ Voor 7% gewijzigd door Freee!! op 04-02-2004 11:20 ]

Ja maar dan kan de user als die dat wil de register key weer terug veranderen... lijkt me.

http://www.heise.de/ct/ft...0/default.shtml&words=USB <<-- misschien dit iets voor je ? een VBS script

Verwijderd schreef op 04 februari 2004 @ 11:16:
hoe doe ik dat dan?

Zoek op waar de waarde precies zit, exporteer die sleutel en zet gewenste waardes. Klikken op een .reg bestand forceert opname ervan in de registry.

Verwijderd schreef op 04 februari 2004 @ 11:26:
die registersleutel staat op 3 als het al eens geinstalleerd is. als je zo'n stick wilt installeren heb je die twee bestandjes nodig.

Als je de sleutel op 4 zet (dan denkt windows dus dat het niet geinstallerd is) en er een stick in doet gaat ie op zoek naar die bestandjes, maar kan ze niet vinden.
In apparaatbeheer verschijnt er dan een geel uitroepteken.

vandaar wordt de werkwijze ook:
Eerst registersleutel-waarde veranderen en vervolgens die twee bestandjes verwidjeren

Dan is het nog eenvoudiger, altijd die sleutel naar 4 zetten (extra installeren kan geen kwaad).

Als het toch 2000 clients zijn, waarom disable je dan in de policy niet het recht "load and unload device drivers" voor de personen die geen USB-sticks mogen gebruiken. Volgens mij ben je dan in 1 keer klaar.

Doe op een testPC de wijziging met regedit en dan menu registry -> export registry -> opslaan als bla.reg. Verwijder en pas aan naar keuze (een keer met 3, een keer met 4). Dan kan je het met regedit /s bla.reg doorvoeren vanaf de commandline of vanuit een bla.cmd script.

Maar toch is een policy de weg die je wilt bewandelen; zo wil je ook met die twee bestandjes op dat niveau gaan werken. Maak een gebruikersgroep die juist wel of niet de USB sticks mag gebruiken en stel de rechten op die bestanden hierop in. Met cacls or xcacls kan je dat eenmalig via de commandline doen (dus in een script).

Trouwens welkom op GoT

Wat is precies je vraag vwb. het script? Een script hoeft niets anders te zijn dan een rijtje commandline "DOS" opdrachten, dus dat is niet moeilijk.

Je wilt de relevante howto's in Howto's & Guides even doorlezen vwb. rechten etc. Zo ook SA FAQ: overig als je wat meer wilt weten over DOS batches. (Al kan je natuurlijk ook heel goed / beter VBScripts gebruiken als logonscripts maar daar zijn ook genoeg tutorials / howto's over te vinden buiten GoT).

Ik denk dat het dicht zetten van USB een verkeerde aanpak is.
wij hebben net hier 2500 werkstations uitgerold en iedereen een USB stick gegeven.
Een gebruiker kan toch alleen in my documents schrijven die doorverwezen wordt naar het netwerk, en daar staan zelfs quota´s op.

een USB stick vormd geen gevaar net zoals een floppy drive. zorg gewoon dat de werkstations dicht staan en antivirus goed werkt.

AteZ schreef op 04 februari 2004 @ 11:32:
Ik denk dat het dicht zetten van USB een verkeerde aanpak is.
wij hebben net hier 2500 werkstations uitgerold en iedereen een USB stick gegeven.
Een gebruiker kan toch alleen in my documents schrijven die doorverwezen wordt naar het netwerk, en daar staan zelfs quota´s op.

een USB stick vormd geen gevaar net zoals een floppy drive. zorg gewoon dat de werkstations dicht staan en antivirus goed werkt.

Het niet toestaan van USB sticks kan een policy zijn ivm virussen.

maar dit hoeft natuurlijk niet.
Het kan ook zijn dat het desbetreffende bedrijf niet wil dat er informatie makkelijk naar buiten kan, en dat daarvoor de policy is!

Draaien loginscripts die zijn toegewezen aan pc's (DUS NIET AAN GEBRUIKERS!) in de Active Directory niet elevated (als Admin). Want in dat geval is het wel mogelijk.

Als dat niet het geval is kun je omslachtig doen door een Windows Installer te maken en die uitrollen via GPO, die zijn altijd elevated.

misschien is het nog een idee om gewoon de driver.cab weg te halen van elk station. dan kan de driver nooit zomaar automatisch geinstalleerd word.


De verantwoordelijkheid voor infomatie veiligheid ligt ook bij de gebruiker zelf die daarvoor ook tekend.
Informatie kan zowiezo snel naar buiten via laptops, mail, cd´s en...memorysticks!

zo´n policy lijkt me vanzelfsprekend maar moet wel nut hebben, met memorytsicks blocken ben je er dus niet.

[ Voor 28% gewijzigd door AteZ op 04-02-2004 12:00 ]

Verwijderd schreef op 04 februari 2004 @ 11:37:
Op een usb stick kun je een enorme hoeveelheid data kweit (2Gb max tegenwoordig??). Dus je kunt veel vertrouwelijke informatie meenemen naar huis/anderen, apps meenemen, je kunt er vanaf booten en er op de pc een neiwu besturingssystem zetten enz. Om dat soort dingen te voorkomen willen wij instellen wie wel en wie niet zo'n stick mag gebruiken. Daar valt trouwens veel over te lezen tegenwoordig op internet, dat zulk soort dingen steeds vaker en op grotere schaal voorkomen.

Booten kan natuurlijk nog steeds, ook al verwijder je die drivers.

Verwijderd schreef op 04 februari 2004 @ 11:37:
je kunt er vanaf booten en er op de pc een neiwu besturingssystem zetten enz.

Hoewel ik goed snap dat je die sticks niet wilt toelaten, zal enig policy of andere beveiligingsmaatregel in Windows zelf je hier niet tegen beschermen

Dit is natuurlijk redelijk te beschermen door een BIOS wachtwoord en alleen kunnen booten van CD, maar dat is niet heel moeilijk te omzeilen (en nee we gaan er hier niet op in hoe dan wel ). Maar een OS opnieuw installeren mag geen probleem zijn aangezien je dan het netwerk niet meer op komt. Een boot CD of -diskette kan dat trouwens natuurlijk ook. Of net zo makkelijk: eigen laptop en de UTP kabel even gebruiken.

Maar F_J_K in "Loginscript Win2K" <-- policies + NTFS rechten does the trick. Zet ook readonly rechten op de juiste regkeys. Heen en weer kopieren van bestanden werkt niet, alleen al omdat mensen dan altijd nog die bestanden op diskette mee kunnen nemen als ze dat echt willen.

[ Voor 11% gewijzigd door F_J_K op 04-02-2004 11:51 ]