[XP] gpedit: users aanpassen heeft effect op admin-account?*

een administrator is ook een user..

verder is dit eerder langsgekomen: [rml]Deeper in "[ XP] gpedit.msc per gebruiker instellen"[/rml]

Euh, dat lijkt mij redelijk normaal... toch ?

Ik ben ook administator op mijn eigen PC (duh ) en gebruik ook geregelt was policies om dingen uit te zetten omdat ik dat gewoon gemakkelijk vind.

Zoals die "ballontips" enzo ... het zijn ten slotte "computer settings" en "user settings". Een Admin is ook een user lijk me ...

ben je toevallig lid van een groep waar je die restrictie op zet? omdat dan de restrictie altijd voor gaat. dus je kan dan nog zo fijn administrator zijn, maar in een andere groep die bijvoorbeeld niet in een bepaalde map mag, mag jij er ook niet in

Ecl!pS schreef op 15 oktober 2004 @ 20:16:
ben je toevallig lid van een groep waar je die restrictie op zet? omdat dan de restrictie altijd voor gaat. dus je kan dan nog zo fijn administrator zijn, maar in een andere groep die bijvoorbeeld niet in een bepaalde map mag, mag jij er ook niet in

zeg weet jij wel waar we het hier over hebben we hebben het over policy's niet over security op ntfs niveau

Titeledit

toegang geblokkeerd óók voor administrator ==> [XP] gpedit: users aanpassen heeft effect op admin-account?

When you set local policies they also apply to the local administrator.
Workaround is give the local administrator no read on the following directory c:\windows\system32\grouppolicy\

zo van www.datacrash.net geplukt.. en dat staat hier ook menig maal op GOT/WOS. je moet jezelf denieen op deze map..

Verwijderd schreef op 16 oktober 2004 @ 01:26:
Ik heb zo'n beetje alle mogelijke opties wat betreft hierboven geprobeerd, maar helaas geen enkele verandering. Hoe kan een systeembeheerder dit nu wel goed of zo goed mogelijk regelen?

dit zou echt moeten werken hoor, zo doe ik het namelijk ook als ik een pc heb die niet in een AD domain hangt

systeembeheerders hebben liever dat hun pc's in een domain hangen ipv stand-alone, das namelijk dan veel makkelijker te beheren

je moet gewoon DENY voor local administrators geven.
Dit houd in dat je daarna geen policies meer kan editten.... en wil je ze daarna editten zul je jezelf full control weer moeten geven. Mocht je dit vergeten kun je het altijd nog remote doen

Verwijderd schreef op 17 oktober 2004 @ 12:16:
Kun je dit misschien iets duidelijker uitleggen, want wat ik tot nu toe geprobeerd heb werkt niet

Duidelijker dan dit voorbeeldje kan het denk ik niet...

Als je met de GPMC werkt kun je toch bij Security Filtering alleen gebruikers die de policy moeten krijgen aanwijzen. Het makkelijkst is een groep te maken met alleen 'normale' gebruikers.

Ik zelf maak altijd een aparte OU met daarin alle gebruikers, computers én policies en laat de adminstrator expres in de standaard OU staan. Ik maak altijd wel een extra administrator die wél in de nieuwe OU valt.

Verwijderd schreef op 17 oktober 2004 @ 16:13:
Hebben we het hier eigenlijk allemaal wel over XP SP2, want ik kom termen / oplossingen tegen die ik met geen mogelijkheid te zien krijg op het scherm.

wat zie je precies niet het tabje security

dan moet je even simple filesharing uitzeten..

* Zwelgje check het OS... ah XP pro, ja dan kan dat

Dennis schreef op 17 oktober 2004 @ 15:08:
Als je met de GPMC werkt

Leuk bedacht.

Verhaal gaat alleen niet door aangezien GPMC alleen installeert op een XP SP1 (of hoger) die in een AD domain hangt.

zwelgje schreef op 17 oktober 2004 @ 16:15:

* Zwelgje check het OS... ah XP pro, ja dan kan dat

[ Voor 26% gewijzigd door alt-92 op 17-10-2004 16:30 ]

BackSlash32 schreef op 17 oktober 2004 @ 16:29:
Leuk bedacht.

Verhaal gaat alleen niet door aangezien GPMC alleen installeert op een XP SP1 (of hoger) die in een AD domain hangt.

Oh, ging het over XP Pro .

Ik heb niet alle reply's gelezen.... maar:

Beste optie was destijds omdat ik er veel mee getest heb om te kijken wat je er allemaal mee kon, hoe kon omzeilen en wat de admin qua profile mee deed:

Installeer een server en zet daar de policy's

[ Voor 5% gewijzigd door BacardiBreezer op 17-10-2004 17:49 ]

Misschien met een programma zoals Full Control van Bardon?

Verwijderd schreef op 17 oktober 2004 @ 18:44:
Dus als ik het kort mag samenvatten is XPSP2 niet geschikt voor een systeem waar 2 accounts op aangemaakt zijn.

1) met volledige toegang tot alle bestanden, mappen, programma's, etc.....
2) met toegang tot datgene wat door het amin account is vastgesteld.

Wanneer dit zo is: BRAVO MR. G. !

Inderdaad. Er is alles aan gedaan om het zo moeilijk mogelijk te maken zonder $$$$ - software te gebruiken. mogelijkheid blijft natuurlijk de al geopperde Linux-server variant. (Wat natuurlijk een extra pc kost..)

Verwijderd schreef op 17 oktober 2004 @ 18:44:
Dus als ik het kort mag samenvatten is XPSP2 niet geschikt voor een systeem waar 2 accounts op aangemaakt zijn.

1) met volledige toegang tot alle bestanden, mappen, programma's, etc.....
2) met toegang tot datgene wat door het amin account is vastgesteld.

Wanneer dit zo is: BRAVO MR. G. !

Bill Gates is al een tijdje niet meer de hoogste baas bij MS hoor

Steve Ballmer is dat...

Verwijderd schreef op 17 oktober 2004 @ 21:19:
[...]


Heeft iemand het nummer van Steve, dan vertel ik hem even dat er een aantal dingen niet goed zijn.

Heb je zijn doorkiesnummer op de zaak niet dan ?

Verwijderd schreef op 17 oktober 2004 @ 18:44:
Dus als ik het kort mag samenvatten is XPSP2 niet geschikt voor een systeem waar 2 accounts op aangemaakt zijn.

1) met volledige toegang tot alle bestanden, mappen, programma's, etc.....
2) met toegang tot datgene wat door het amin account is vastgesteld.

Wanneer dit zo is: BRAVO MR. G. !

Laat ik het anders zeggen:

XP Professional SP2 is niet geschikt voor mensen die er niet mee overweg kunnen.

(goh wat doen al die probleem topics hier toch allemaal...)

[ Voor 10% gewijzigd door alt-92 op 17-10-2004 23:42 ]

Verwijderd schreef op 17 oktober 2004 @ 18:44:
Dus als ik het kort mag samenvatten is XPSP2 niet geschikt voor een systeem waar 2 accounts op aangemaakt zijn.

1) met volledige toegang tot alle bestanden, mappen, programma's, etc.....
2) met toegang tot datgene wat door het amin account is vastgesteld.

Nou dat zie je verkeerd - je bent uiteraard vrij erin om zelf de restricties in de registry te zetten op jouw restricted account.

Als je bedoelt dat er geen lokale filtering is op gebied van user-groepen wat betreft policies, dan heb je gelijk ja

zwelgje schreef op 17 oktober 2004 @ 16:15:
wat zie je precies niet het tabje security

dan moet je even simple filesharing uitzeten..

* Zwelgje check het OS... ah XP pro, ja dan kan dat

tenzij hij op FAT32 ( ) draait...

Wil je nu eens kappen met flamen en gewoon antwoord geven op de vraag welk filesystem je draait?

Verwijderd schreef op 17 oktober 2004 @ 23:41:
Maar dan kan een user deze ook weer verwijderen uit het register, en dat zal toch niet de bedoeling wezen in deze.

over welke registry hive heb je het?
CURRENT_USER kun je zelf bij.
HKLM wordt een ander verhaal.


[edit]

Mooi plaatje, maar daar staat geen relevante info in.

[ Voor 10% gewijzigd door alt-92 op 17-10-2004 23:47 ]

Verwijderd schreef op 17 oktober 2004 @ 23:41:
Maar dan kan een user deze ook weer verwijderen uit het register, en dat zal toch niet de bedoeling wezen in deze.

Nee - ook de registry kent zogenaamde ACL's - en als jij iemand verbied om registry keys te veranderen dan zal die dat ook niet kunnen.

Group Policies zijn namelijk niet meer dan een aantal (niet-)permanente registry wijzigingen die afgeschermd zijn voor de user door middel van policies

Het OS is dus niet de beperking - enkel de grafische user interface kent wat beperkingen, en de kunde en creativiteit van die z'n beheerder natuurlijk

Verwijderd schreef op 17 oktober 2004 @ 23:50:
Het totale register is beheersbaar wanneer je toegang wilt met een beperkt account, dus ook HKLM.

Niet waar.
Leesrechten, ja.
Schrijfrechten zeker niet overal.
Probeer maar eens met een beperkt account software als Office te installeren of hardware (HKLM again) te verwijderen/installeren.

NTFS, trouwens

Mooi. Eenvoudig bestanden delen uitzetten en je hebt je tabblad "beveiliging".

http://support.microsoft.com/default.aspx?scid=293655

Die is er ook voor 2003 overigens:

http://support.microsoft.com/default.aspx?scid=325351

dezelfde methodiek kan je ook gebruiken voor XP.

[ Voor 19% gewijzigd door alt-92 op 18-10-2004 00:00 ]

Ik denk niet dat je volledig doorhebt wat voor een kracht, flexibiliteit en mooi stukje techniek een moderne Windows versie is - en daarmee zorg je ervoor dat je in wat je wil jezelf een beetje voorbijdraaft wat betreft kennis niveau.

---

In Windows kent bijna elk object een zogenaamde ACL - een Access Control List. Dat is simpelweg een lijstje waarbij staat wie wat mag. Je kan het zo gek niet verzinnen in Windows of het heeft een access control list (zo kan je bijvoorbeeld op een printer individueel per user of per groep definieeren wie jobs mag wissen, wie mag printen en meer van dat soort onzin).

Naast file handles, printers, folders, files en dergelijke hebben ook registry keys een permissie systeem. Je kan dus individueel per key zeggen wie toegang heeft (en wat hij dan wel niet mag) tot de registry.

Nu komt daarbij dat de 'HKCU' niet voor niks het woordje 'Current' heeft - het is namelijk de user die op dat moment ingelogd is. Dat betekent dat als jij ingelogd bent - jij een andere 'HKEY_CURRENT_USER' hebt dan als een andere user ingelogd is. Dat betekent ook dat als jij de permissies (ACL) aanpast van jouw eigen user, deze geen effect hebben op de HKEY_CURRENT_USER van een andere user.

Je komt hier echter tot hetzelfde punt als al eerder aangegeven - je zal door middel van ACL's moeten gaan bepalen, wie, wat mag. Je kan dat gaan doen door de eerder genoemde tip van het 'Deny' "recht" geven (het deny recht overruled alle andere rechten) op de policy bestanden, of je kan mijn manier proberen.

Welke je ook probeert - je zal meer van het systeem moeten proberen af te gaan leren anders ga je jezelf erg in de problemen (kunnen) brengen

picnic dus


_{problem in chair not in computer}