gebruikers mogen niets installeren

[Ghostrider-NL]

Hallo,

Op mijn server moet er het volgende ingesteld worden:
Gebruikers mogen niets installeren en dat gebruikers niet op de c schijf mogen komen.

Ik kan dit niet vinden in de policys. Weet iemand een oplossing?
Trouwens een klein extra vraagje: is het ook mogelijk om 2 policy paketten toe te passen op 1 gebruikers groep?

 

[andreasfc]

Hallo,

Op mijn server moet er het volgende ingesteld worden:
Gebruikers mogen niets installeren en dat gebruikers niet op de c schijf mogen komen.

Ik kan dit niet vinden in de policys. Weet iemand een oplossing?
Trouwens een klein extra vraagje: is het ook mogelijk om 2 policy paketten toe te passen op 1 gebruikers groep?

Allereerst nog even een paar vraagjes welke wel belangrijk zijn wat is de functie van de server?
Indien het gewoon een fileserver is moet je de shares die verwijzen naar de C$ beperken, zowel op de share als de security permissions, wanneer een gebruiker geen rechten heeft op de share kom je overigens ook niet in de directory, ook al heb je wel security permissions (tis mij nog nooit gelukt namelijk).

Je kan meerdere policy zetten op een groep, je moet er dan alleen voor zorgen dat de ene policy de andere overruled.

Success

 

[Ghostrider-NL]

Oke bedankt
Het is een inlog en file server.
De gebruikers mogen niets installeren op de client computer en ze mogen ook niet op de c partitie kijken van de client computer

 

[andreasfc]

Let wel op dat wanneer je met Windows 2003 werkt en clients (XP) dan moet er met een beetje pech wel schrijfrechten zijn op de directory c:\documents and settings\<username>.
Windows wil namelijk altijd tijdelijk een profiel aanmaken lokaal. Je kan wel in de policy aangeven dat het profiel niet bewaard hoeft te worden op de lokale pc.

 

[Ghostrider-NL]

Let wel op dat wanneer je met Windows 2003 werkt en clients (XP) dan moet er met een beetje pech wel schrijfrechten zijn op de directory c:\documents and settings\<username>.
Windows wil namelijk altijd tijdelijk een profiel aanmaken lokaal. Je kan wel in de policy aangeven dat het profiel niet bewaard hoeft te worden op de lokale pc.

owja dat is waar ook. kan ik niet aangeven dat ze neit in de program fiels mogen en in de windows map?

 

[andreasfc]

Die zou je in principe wel kunnen blokkeren, maar, wanner je lokaal de Program files en windows directory gaat blokkeren kunnen ze eventueel ook geen applicaties opstarten omdat gedeelde dll files in de windows\system32 directory staan, voor de program files is er ook een directory waar gedeelde bestande staan, nl : program files\common files.

Dus let daar even op, je kan ze anders gewoon alleen leesrechten geven.

 

[Ghostrider-NL]

Die zou je in principe wel kunnen blokkeren, maar, wanner je lokaal de Program files en windows directory gaat blokkeren kunnen ze eventueel ook geen applicaties opstarten omdat gedeelde dll files in de windows\system32 directory staan, voor de program files is er ook een directory waar gedeelde bestande staan, nl : program files\common files.

Dus let daar even op, je kan ze anders gewoon alleen leesrechten geven.

Kan ik ze met een policy leesrechten geven en schrijfrechten afnemen op een lokale map?
Ik kan de policy niet vinden namelijk

 

[andreasfc]

Hoef je niet te doen met een policy, maar met gewone security rechten op de betreffende directories en uiteraard ook op alle pc's (hopelijk zijn het er geen 1000).