Beperkte gebruiker instellen

[Muchacho NL]

Ik heb even geen idee wat het goede forumdeel is, maar dat laat ik aan de deskundigheid van de mods over.

Ik ben Local Administrator (verijdeld systeembeheer) van mijn bedrijf en we hebben gebruikers gemigreerd van XP naar Windows 7.
Er is echter een gebruiker die, omdat ze van een externe partij zijn, zeer beperkte rechten moet hebben.
Het account mag dus bijvoorbeeld geen programma's installeren (Mogen alleen administrators, maar dat is standaard), maar ook niet eens een USB stick aansluiten of een CD/DVD inlezen op de PC die ze krijgen.

Ik heb geen rechten om policies op de server (Windows Server 2008) in te stellen, ik weet wel hoe het moet, maar het is gewoon niet mogelijk gemaakt voor me.

Mijn concrete vraag:
Moet dit eigenlijk wel op de server ingesteld worden via policies, of kan dit ook lokaal op de PC?
En zo ja, waar zat dat dan ook alweer precies?

 

[wampier]

Je kunt op een PC lokale policies instellen voor een specifieke user. Probleem is dan wel dat als ze op een andere computer inloggen je beperkingen dus niet meer gelden.

Bovendien zijn lokale security settings ook te omzeilen door de boot te beïnvloeden. Vaak is het beter in dit soort omstandigheden om gewoon goede afspraken te maken.

Hoewel ik zelf nooit voorstander ben van dit soort gerichte policies. Bij mij op het werk is iedereen gewoon local administrator op een eigen laptop. Zelden problemen en is er wel een probleem gewoon standaard image erop en weer gaan.

Uiteindelijk is IT nu minder werkuren kwijt dan dat ze nodig hadden voor iedereen elke keer programma aanzetten, data beheer, etc.etc. etc.

 

[Muchacho NL]

Feit.
Onze eigen werknemers zijn alleen local admin op laptops... op desktops zijn het standard users.
Maar ik werk voor een nogal "eigenwijs" bedrijf dat perse alles anders wil dan de rest van de wereld
(Voorbeeld: we draaien dagelijkse backups via een internetlijntje naar Milaan in plaats van gewoon lokaal)

Zo ook dus het gebruik van computers door externen... die mogen dus gewoon niks... programma's draaien die ze nodig hebben, internet via de websense en that's it.
Geen filmpjes gaan zitten kijken of games installeren via USB of DVD...

Eigen werknemers kunnen we daar voor ontslaan... de beveiligers hebben we gewoon nodig... dus wil ons management dat we het voorkomen in plaats van genezen.
Probleem is echter: De windows XP machine is overleden, dus ik kan niks nazoeken wat er precies stond ingesteld op die PC.

 

[wampier]

Volgens mij kan het zo in win7 (maar geen garanties )

rsop.msc -> add-remove snap-inn -> group policy object -> browse -> users -> "gasten group" -> save

edit -> administrative tools -> system -> removable storage

 

[Muchacho NL]

Zal eens gaan kijken... laat je weten hoe of wat

EDIT:
Ik kom niet verder dan de usergroup Guests, daarna zie ik niks wat je vertelt.

 

[edmoor]

@#1:
Ik vind verijdeld systeembeheer eigenlijk ook wel iets voor een beperkte gebruiker

 

[TheKnight]

Ok, ik kom er niet precies uit wat betreft je vraagstelling of het nu om een extern medewerkster lokaal of een extern bureaublad gebruikster gaat. Maar misschien heb je hier toch iets aan:

http://technet.microsoft.com/nl-nl/library/cc770631

Je kan natuurlijk ook de Apparaatinstantie-id's gebruiken als je niet al te veel onderling verschillende computers hebt, & daarvoor een aparte Gebruikersgroep voor creeren, die je weer via het register geen toegang geeft tot die Apparaatinstantie-id's of zelfs ontzegt... Tis maar een opeens rond fladderend id...

 

[Muchacho NL]

Het betreft externe medewerker(s) op 1 account lokaal.

 

[wampier]

Als je in de policy editor je group policy addin hebt toegevoegd voor de juiste gebruiker (moet wel bekend zijn natuurlijk) krijg je zoiets als dit

<root policy>
- group policy addin for user <user>

je drukt dan op "ok" en je krijgt eenzelfde overzicht in het mainscreen. als je dan op de policy addin klikt krijg je security option om in te stellen.

indien je bij het openen van rsop.msc je eigen user ziet moet je mogelijk eerst even een "new" doen. Mogelijk moet je een local shadow aanmaken van de user op de ene computer.

 

[Muchacho NL]

Blijkbaar was het een verzoek die gedaan werd om hoofdkantoor rustig te houden. ;-)
Het volstond om de user gewoon als standaard user in te stellen en niet als guest ofzo.

Bedankt voor jullie reacties