local policy

Status
Niet open voor verdere reacties.
A

apwvand

Gebruiker
Lid geworden
11 jun 2002
Berichten
156
Ik heb een pc met meerdere gebruikers.
Nu wil ik voor de andere gebruikers gebruik maken vvan de beheersjablonen van de local policy.
Ik kan vanalles enablen of disablen maar dan geld dit voor iedereen.
Waarom is het niet mogelijk om een group policy voor local groups te maken?
Dan kan ik die andere users in een groep gooien en daar de local policy voor laten gelden.
Ik weet dat je dit wel kunt als de pc in een domein hangt maar het zou mooi zijn dat je b.v. enabled dat alle users behalve ikzelf niet in het configuratiemenu kunnen om zaken aan te passen.
Als ik iets enable kan ik dus lokaal niet kiezen voor een groep, of kan dit op een andere manier?
 
Dan zal je met profielen moeten gaan werken, moet je een test account aanmaken en daarmee inloggen, alle policies verwerken in de onderstaande sleutel van het test account.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Je kan daar wel bijna alle policies verwerken die normaal door gpedit in de Local Machine worden gezet..
Voorbeeldje
NoUserNameInSartMenu dword 1
NoSaveSettings dword 1
enz..

Als alles naar wens is ingericht op dat account log je uit en weer in als administrator en ga je via deze computer eigenschappen geavanceerd naar de Profielen tab en Kopieer je dat profiel naar alle gebruikers die daarvoor in aanmerking komen.

Om er voor te zorgen dat ze het niet zelf weer veranderen met regedit kan je onderstaande policy toepassen in die profielen en verhinderen dat regedit wordt gestart..
http://www.pctools.com/guides/registry/detail/969/
:thumb:

ps.
Let wel op met die disalow run key in de local machine key zodat je jezelf niet buiten sluit van je computer..
Je zal voor de slimme gebruikers ook de cmd.exe en wscript.exe moeten blokken omdat het register ook met deze 2 is te bewerken zonder regedit te gebruiken... :) Een nadeeltje van deze policy is dat wanneer je de .exe een andere naam geeft deze wel weer te starten is.
Dus veranderen ze regedit.exe in Egedit.exe zijn ze lekker weer binnen. Dan zal je misschien toch NTFS rechten moeten aanpassen op bepaalde bestanden.
of register sleutels. Is allemaal niet echt gemakkelijk om dat dicht te timmeren..
 
Laatst bewerkt:
Bedankt voor je antwoord.

Dit ga ik eens uitproberen.

Weer wat geleerd :cool:
 
Kan je me vertellen waar ik van elke policy object de naam kan vinden?
Want zoals ik het lees moet ik veel handmatig doen, maar waar haal ik dan b.v. NoSaveSettings vandaan?
 
Probeer deze maar eens :)
http://www.j79zlr.com/gphome.php

Deze is dan ook een belangrijke, iig beter dan die disalow run..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System; DWORD: DisableRegistryTools = 1
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan