Windows XP Policy registry - Windows clients

woensdag 12 mei 2004 16:36

Acties:

Verwijderd

Topicstarter

Wij lopen hier tegen een "probleem" van de klant op.
Men wil een default-desktop policy hebben...dat kan uiteraard.

Maar.... en nu komt het
Men wil dat in die policy staat dat programma's wel in het register kunnen schrijven maar gebruikers er zelf niet in mogen "klooien".
Dus niet het gehele registry open zetten, nee, een deel ervan maar.

Is dit mogelijk via policy's via de a.d. verspreid??
Zo ja...hoe ?

Ik heb al uren gezocht in newsgroups en op premier site van MS.

woensdag 12 mei 2004 17:53

Acties:

Verwijderd

de applicatie's draaien onder hetzelfde useraccount, dus het lijkt me sterk dat dit mogelijk is.
ik vraag me overigens af of je als normale user tools als regedit etc mag gebruiken... (geen zin om te testen

)

woensdag 12 mei 2004 18:01

Acties:

warp

Dit kan wel door het programma door een ander useraccount uit te laten voeren (b.v. d.m.v. "run as"). In de registry kun je gewoon rechten geven op registry-keys; dus je maakt de bewuste keys read-only voor gewone gebruikers en geeft change rechten aan het account dat het programma uitvoert.

woensdag 12 mei 2004 18:03

Acties:

warp

Verwijderd schreef op 12 mei 2004 @ 17:53:
de applicatie's draaien onder hetzelfde useraccount, dus het lijkt me sterk dat dit mogelijk is.

Dat kun je veranderen

ik vraag me overigens af of je als normale user tools als regedit etc mag gebruiken... (geen zin om te testen )

Ja, alleen mag hij/zij niet naar alle keys schrijven. HKCU is b.v. geen probleem.
Tenzij regedit e.d. uitstaan d.m.v. een policy. Maar standaard kan het wel.

woensdag 12 mei 2004 18:06

Acties:

GlowMouse

Met regedit32 kun je in ieder geval permissies zetten op bepaalde delen van het register. Je kunt dan wel bepaalde dingen afschermen, maar dingen die door een applicatie gewijzigd kunnen worden, kunnen ook door een normale user gewijzigd worden.

woensdag 12 mei 2004 18:07

Acties:

Verwijderd

dat kun je veranderen inderdaad, maar dan ga je je doel een beetje voorbij naar mijn idee.

woensdag 12 mei 2004 18:11

Acties:

warp

Verwijderd schreef op 12 mei 2004 @ 18:07:
dat kun je veranderen inderdaad, maar dan ga je je doel een beetje voorbij naar mijn idee.

Tsja, ik vrees dat er weinig alternatieven zijn voor de TS

Vind het zelf een beetje paranoid om de de hele registry dicht te zetten voor gebruikers.

donderdag 13 mei 2004 09:21

Acties:

Verwijderd

Topicstarter

Het gaat dus niet om de gehele registry (dit werkt nl. allang via policy)
Nee, nu wil men dat een gebruiker wel een deel mag aanpassen, maar niet alles.
Bijv. wel de hklm, maar niet de hkcc o.i.d.

donderdag 13 mei 2004 09:31

Acties:

jvdmeer

Je kan rechten op keys in stellen in de policies:
[Computer Configuration] - [Windows Settings] - [Security Settings] - [Registry]

donderdag 13 mei 2004 09:40

Acties:

StevenK

jvdmeer schreef op 13 mei 2004 @ 09:31:
Je kan rechten op keys in stellen in de policies:
[Computer Configuration] - [Windows Settings] - [Security Settings] - [Registry]

Maar dan kunnen de apps van gebruiker er ook niet bij.

Daarnaast kun je deze rechten niet via een policy instellen.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 mei 2004 11:36

Acties:

Verwijderd

Topicstarter

StevenK schreef op 13 mei 2004 @ 09:40:
[...]

Maar dan kunnen de apps van gebruiker er ook niet bij.

Daarnaast kun je deze rechten niet via een policy instellen.

Klopt...en daar lopen wij dus tegenaan ...... Dat is nou juist het probleem

donderdag 13 mei 2004 11:41

Acties:

StevenK

Verwijderd schreef op 13 mei 2004 @ 11:36:
[...]

Klopt...en daar lopen wij dus tegenaan ...... Dat is nou juist het probleem

En zoals al eerder is gezegd: het enige wat je kunt doen is registry-tools disablen, maar niet de toegang tot het register want dan werkt bijna niks meer.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 mei 2004 11:47

Acties:

Apiekool

Je kan inderdaad op deze manier rechten zetten. Als je hier bijvoorbeeld de HKLM open zet voor bepaalde gebruikers/applicatie groepen dan kunnen die applicaties er gewoon in schrijven.

jvdmeer schreef op 13 mei 2004 @ 09:31:
Je kan rechten op keys in stellen in de policies:
[Computer Configuration] - [Windows Settings] - [Security Settings] - [Registry]

Het probleem dan natuurlijk is dat gebruikers er ook kunnen gaan schrijven. Dit kan je voorkomen door regedit.exe en regedt32.exe af te sluiten voor gebruikers. Dit kan ook door middel van een policy.

Op deze manier doen wij dat bij meerdere klanten die wel applicaties hebben die in de HKLM/HKCR schrijven, maar zelf niet in het registry mogen schrijven.

donderdag 13 mei 2004 11:57

Acties:

Verwijderd

Topicstarter

Nou zit ik te kijken in die policy settings zoals hierboven beschreven, maar die registry-policy is leeg.
Zie ik iets over het hoofd dan ?

donderdag 13 mei 2004 12:10

Acties:

Apiekool

Dat klopt dat die policy leeg is.

Hier moet je speciefiek aangeven waar gebruikers (en hun apps) wel zouden moeten kunnen schrijven.

Als je hier dus de local machine toevoegd, kan je daar rechten op zetten voor users of groepen.

Als je daarna regedit.exe/regedt32.exe afsluit voor gebruikers, kunnen de applicaties wel schrijven in de HKLM, maar gebruikers komen er niet bij.

Het beste is natuurlijk uitzoeken waar applicaties willen schrijven, en alleen die keys open zetten.

donderdag 13 mei 2004 12:17

Acties:

Verwijderd

Topicstarter

Ok, dit is nuttige info ... dank je wel ....
ik probeerde deze info bij ons logge bedrijf te verkrijgen, maar daar is het net of ze water zien branden..... fijne Technical Support....lol

donderdag 13 mei 2004 14:15

Acties:

Verwijderd

Topicstarter

Ok, dit lijkt allemaal perfect te werken......... enorm bedankt voor de moeite.

Pagina: 1

Reageer