gpedit.msc toepassen op gebruiker en niet op iedereen!?!?

  • Onderwerp starter Onderwerp starter clut
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
C

clut

Gebruiker
Lid geworden
2 okt 2006
Berichten
5
Hallo,

Een vraagje we zijn druk bezig om uit te zoeken hoe je een beveiligingsbeleid kan maken voor WIN XP PRO. Nu ziet het er erg interessant uit wat je allemaal met gpedit.msc kan en hier heb ik dan ook al het e.e.a. over gelezen.

Mijn grote probleem is dat hij het op alle gebruikers toepast! Dus wanneer ik zeg haal uitvoeren maar weg uit het start menu dan is dit ook bij de administrator weg, ik wil dit alleen bij een bepaalde gebruiker weg hebben. Kan dit? en hoe?

Het gaat hier wel om een lokaal beveiligingsbeleid, computers zitten wel in een netwerkje hebben echter (nog) geen server.

Alvast bedankt!

Vr groet CLUT
 
Dat is inderdaad allemaal niet zo gemakkelijk en logisch in Windows gpedit werkt inderdaad alleen in Local Machine.
Een waar woord voor windows is "Alle wegen leiden naar Rome en onderweg
zie je door al de bomen het bos niet meer" :D .

Wat je kan doen is uitvoeren uitschakelen in start menu in de accounts zelf 'n
current user policies setting dus..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Wanneer je elk account hebt aangepast wat wel en niet in het startmenu hoort kan je
via gpedit ingeven dat niemand het start menu meer kan aanpassen.
Maar dan is er wel nog de Windows+R sneltoets voor uitvoeren en ook Taakbeheer - Nieuwe taak werk nagenoeg hetzelfde..

Beter is om gewoon beperkte accounts te geven dan kunnen gebruikers wel Run gebruiken maar er niets mee veranderen in het systeem. Heb ze niet genoeg rechten met een beperkt account geef dan een Special account "Power User" dat kan via run - control userpasswords2 - advanced user managment.
(een power user is een soort sub administrator met aangepaste rechten).
Eenmaal een Poweruser aangemaakt kan je via run - secpol.msc - userrights assignment nog dingen aanpassen welke rechten bepaalde gebruikersgroepen hebben.

Het is natuurlijk een hoop werk om elk account afzonderlijk in te moeten richten als je er veel hebt, dus daarom moet je in het register leren werken. je kan als administrator met regedit via "file - Load hive" surf dan naar de Documents and settings van betreffende user
(verborgen bestanden weergeven) en klik de NTUSER.DAT en ok geef het de naam van de gebruiker en de Hive wordt geladen je kan dan via het admin account de current user settings van andere accounts bewerken zonder op dat account in te loggen.

http://support.microsoft.com/kb/256986
http://www.microsoft.com/resources/...roddocs/en-us/regedit_load_hive.mspx?mfr=true
 
Oke ik begrijp dus dat het beste is om via het register het e.e.a. te regelen. Het uitvoeren weglaten was maar een voorbeeld onze uitdaging is om de users wel rechten te geven op een externe HD maar nu niet en nooit niet instellingen in het netwerk te kunnen veranderen.

Ik heb net even getest wat jij zei via het register inladen, wanneer je dingen wilt verwijderen is het dan gewoon deleten uit het register?

Ik zoek nog even verder bedankt voor je reactie

Gr CLUT
 
:confused: Nu begrijp ik je vraag niet?

Maar als je dus bedoeld om run bv uit je start menu te halen moet je in de onderstaande sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
(had het daarboven even niet goed wat startmenu betreft)

de data van "Start_ShowRun" veranderen van 1 (ja) naar 0 (nee) of als deze niet bestaat moet deze dus gemaakt worden (Erbij gezet) om run uit het startmenu te verwijderen. Zoals ik al aangaf Windows is echt niet zo logisch opgebouwd als het allemaal lijkt :rolleyes: of toch?..

Het dus zijn maar voorbeelden en is het niet alleen maar dingen deleten.

Het beste is dat niemand anders dan de administrator/beheerder dan ook een admin account heeft de rest moet dan een beperkt account en kunnen dan ook nooit wat aan netwerk instelling veranderen, ze kunnen alleen maar in hun eigen account knoeien dan..
:)
 
Laatst bewerkt:
Misschien kan je me nog verder opweg helpen. Het lukt om die USER.DAT in het register te zetten alleen wanneer ik dan inlog als die user begint windows meteen te klagen dat hij het profiel niet kan vinden of dat er te weinig rechten voor zijn...

Ik heb nog niks veranderd in het register/user.dat dus ik snap niet echt waarom hij met deze melding komt.

Alvast bedankt voor de hulp!

Gr CLUT
 
Je kan een profiel niet in twee accounts tegelijk in het register laden, dus Load Hive als je een ander profiel wil bewerken en Un load Hive als je klaar bent en dat profiel/account wil starten. Als het profiel geladen blijft in het admin account is het profiel dus bezet.

Dus klik de sleutel aan die je zelf een naam gegeven hebt bij het laden en klik weer File / Bestand in regedit en "Unload Hive" als je klaar bent. (Heb even geen Nederlandse xp ter beschikking maar is wel duidelijk hoop ik)
:)
 
Ah bedankt nederlands is component laden ;) maar had hem niet ge unload dus niet verwidjert dat was het probleem maar bedankt voor de hulp
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan