probleem met instellen policy

[terenaam4u]

hallo beste leden,

Ik heb de volgende vraag over het instellen van policies.

Ik wil namelijk voorkomen dat het "menu start" niet toegankelijk is voor
de gebruikers met beperkte rechten. Ze mogen ook niet de functie " uitvoeren"
en configuratiescherm gebruiken, maar het probleem is dat als ik deze functies uitschakel, dan kan de administrator er ook niet op komen. Hoe kan ik er toch
voor zorgen dat deze functies voor de administrator gewoon in het start menu
blijven staan, maar voor de andere gebruikers niet? ik wil geen snelkoppeling
maken naar MMC of gpedit.msc

O.S Win xo pro

ik hoop dat iemand mij kan helpen

mvg

 

[ScorpionX]

KliK handleiding

 

[dnties]

Als de pc niet in een domein hangt dan gelden de policies standaardmatig voor iedereen, inclusief de administrator.
Hangt de pc wél in een domein, dan kun je een policy maken, maar daarbij aangeven dat aangeven dat de policy niet van toepassing is op de Administrator of de Administrators-groep. Nog mooier (=de Microsoft manier) zou zijn dat je de gewone gebruikers in een eigen Organizational Unit zet (bijv. Gewone_Gebruikers geheten), en op die Organizational Unit een policy zet die de instellingen doet waar je het over had.

Wat je wel kunt doen is een soort login-script maken die de instellingen via een registry-aanpassing bij de gebruikers doorvoert.
Voorbeeld:

reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_Dword /d 1 /f

Zoek op Internet of er ook registry-instellingen onder HKey_Current_User (=HKCU) zijn om het Start-menu volledig uit te schakelen. Je moet NIET HKey_Local_Machine (=HKLM) registry-settings hebben, want die gelden voor iedereen (bovendien hebben gewone gebruikers geen schrijfrechten op dat deel van de registry).

Edit: Misschien werkt de handleiding van ScorpionX ook voor XP.

Succes,

Tijs.

 

[ScorpionX]

Misschien werkt de handleiding van ScorpionX ook voor XP.

ik denk het wel.

 

[terenaam4u]

Bedankt voor de reacties

Die handleiding is voor Wndows 2000 en 2000 professional. Op google heb ik
ook niks kunnen vinden. nog iemand een idee?

alvast bedankt

mvg

 

[dnties]

Heb je het op XP ook uitgeprobeerd? Vlgs. ScorpionX zou dat ook kunnen werken.
Bovendien heb je nog mijn instructie met het toevoegen van policies via login-scripts.

Tijs.

 

[terenaam4u]

met XP heb ik nog niet uitgeprobeerd
ik ga er nu mee bezig. login-script
zou waarschijnlijk ook werken hoop ik

bedankt voor de reactie

mvg

 

[dnties]

Ik neem even aan dat je geen domein hebt. Klopt dat?

Indien geen domein (en dus moet het login-script op elke pc lokaal worden gekopieerd), let er dan op dat je het niet in de Start Menu groep zet waar ook Administrators gebruik van maken.
Script neerzetten in de map C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten zou dus bijv. een slecht idee zijn.

Bepaal dus goed waar je het login-script heen gaat kopiëren.

Succes,

Tijs.

 

[dnties]

Wil je wat veiligheid, dan denk ik dat je met onderstaande batch-bestand goed geholpen bent:

@echo off
net localgroup administrators | find /i "%username%"
if errorlevel 1 goto stdgebruiker
if errorlevel 0 goto end
:stdgebruiker
reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_Dword /d 1 /f 
REM Vul aan met de andere policycommando's

:end
EXIT

Dit zou het mogelijk moeten maken om het ook voor iedereen te laten opstarten (dus in de map te zetten die ik in mijn vorige posting juist had afgeraden).
LET OP: Als de gewone gebruikers ook administrator-rechten hebben (dus in de groep Administrators voorkomen) dan werkt het niet zoals je wilt. Je zou dan i.p.v. de 2de t/m 4de regel moeten doen:
if "%username%" == "jouweigennaam" goto end
if "%username%" == "administrator" goto end

Natuurlijk jouweigennaam vervangen door je gebruikersnaam. Die kun je achterhalen door in te loggen, dan Start -> Uitvoeren -> cmd /k echo %username%

Succes,

Tijs.

 

[terenaam4u]

Het gaat maar om èèn pc waar ik 12 gebruikers op heb aangemaakt.
Pc hangt inderdaad niet aan een domein. Een login-script maken en
dan ergens neergezet lijkt boven mijn verstand te zijn. Ik heb het nooit
gedaan. is er misschien een handleiding hiervoor ?

mvg

 

[dnties]

Er is van alles beschikbaar. Ik noem er even een paar:
link1
link2

Overigens zal ik hieronder even mijn batch-file even documenteren, regel voor regel.
@echo off
REM Zet het laten zien van de commando's op het beeldscherm af
net localgroup administrators | find /i "%username%"
REM Geef de gebruikers in de lokale groep Administrators,
REM en kijk of de uitvoer hiervan de gebruikersnaam van de huidige gebruiker bevat.
if errorlevel 1 goto stdgebruiker
REM Indien niet gevonden, ga naar de sectie stdgebruiker
if errorlevel 0 goto end
REM Indien wel gevonden, ga naar de sectie end. Administrators hoeven geen policies.
:stdgebruiker
REM Hier staat het stuk voor de niet-administrator gebruikers
reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_Dword /d 1 /f [/b]
REM Het eerste policycommando, die Run uitschakelt via de registry
REM Vul aan met de andere policycommando's

:end
EXIT
REM Verlaat het batch-bestand. We zijn klaar.