SYSTEM POLICIES

om te vermijden dat bepaalde gebruikers wijzigingen aan de windowsinstellingen kunnen uitvoeren.

1. in windows NT

a. Hoe system policies instellen?

Kies start, programs, administrative tools, system policy editor.

• creatie van een new policy voor alle gebruikers van een domain
  Selecteer file, new policy
  Met default user wijzigt men de parameters van de HKEY_CURRENT_USER subtree uit de registry, terwijl default computer de parameters van HKEY_LOCAL_MACHINE verandert.
  Kies save as en bewaar de policies met filename NTCONFIG.POL in de directory %SYSTEMROOT%\SYSTEM32\REPL\IMPORT\SCRIPTS. Deze directory is via het netwerk te bereiken met \\computernaam\NETLOGON.
  Van alle NT-werkstations die inloggen op de server worden de registrywaarden tijdelijk overschreven door de policy-instellingen.
• creatie van een policy voor lokale gebruikers
  Selecteer file, open registry.
  De wijzigingen worden direct in de registry weggeschreven en zijn dan ook direct actief.
• creatie van een policy voor individuele users of computers en groepen
  Selecteer file, new policy.
  Kies vanuit het menu, edit, add user, add computer of add group om de policies in te stellen.
  Kies save as en bewaar de policies met filename NTCONFIG.POL in de directory %SYSTEMROOT%\SYSTEM32\REPL\IMPORT\SCRIPTS.

b. instellingen van de verschillende items

Voor elk van de items, zowel bij gebruiker als computer kan men kiezen uit volgende 3 waarden.

Bij overdracht van de gegevens naar de registrydatabase gebeurt het volgende:

• checked: de huidige registrywaarde wordt overschreven dus dit recht wordt zeker actief
• cleared: de huidige registrywaarde wordt leeggemaakt dus dit recht wordt inactief
• filled: de huidige registrywaarde wordt niet overschreven; het al of niet actief zijn van het recht is afhankelijk van een vorige instelling

2. in windows 95

In win95 kan men met het programma POLEDIT.EXE op een gelijkaardige manier bepaalde policies instellen.
Het programma poledit.exe bevindt zich op de cdrom onder de directory ADMIN\APPTOOLS\POLEDIT en moet extra ge�nstalleerd worden.

a.installatie van het programma POLEDIT.EXE

kies start, instellingen, configuratiescherm, software, windows setup, diskette
Tik het path waar de poledit-files zich bevinden en selecteer de file grouppol.inf
Selecteer de onderdelen groepsbeleid en systeembeleidseditor

De systeemneleidseditor vindt men terug onder programma's, bureau-accessoires, systeemwerkset

b. hoe system policies instellen?

de registrydatabase: is een database waar o.a. de policies worden opgenomen. Deze database vervangt de autoexec.bat, config.sys, win.ini en system.ini.
Een dergelijke database wordt ook in NT gebruikt

Met de systembeleidseditor kan men de rechten of policies op 2 manieren veranderen:

1. REGISTRY MODE: voor lokaal gebruik
   De rechten worden rechtstreeks in de registrydatabase veranderd en overschrijven definitief de vorige waarden.
   Start de systeembeleidseditor, kies uit het menu bestand, registry openen
   De rechten kunnen ingesteld worden voor de lokale gebruiker of voor de lokale computer, elk met zijn specifieke items
2. POLICY FILE MODE: centraal op een NT-server plaatsen en geldig voor elk werkstation
   De rechten worden in een speciale file (.POL) opgenomen en overschrijven tijdelijk de REGISTRY-waarden bij het inloggen.
   Start de systeembeleidseditor en kies uit het menu bestand, nieuw bestand
   Hier kan men de rechten voor de standaardgebuiker en standaardcomputer instellen. Bij het wegschrijven kiest men als naam CONFIG.POL
   Plaats deze file op de NT-server in de directory %SYSTEMROOT%\SYSTEM32\REPL\IMPORT\SCRIPTS
   De gebruikers RX-access geven en de administrators FULL ACCESS, zodat alleen deze laatste wijzigingen kunnen aanbrengen.
   Bij het inloggen vanaf een werstation wordt de lokale registry tijdelijk overschreven met de inhoud van de CONFIG.POL-file, tenminste indien bij de netwerkeigenschappen, item client voor microsoftnetwerk, de keuze inloggen op een NT-server aanstaat

c. instellingen van de verschillende items

Voor elk van de items, zowel bij gebruiker als computer kan men kiezen uit volgende 3 waarden.

Bij overdracht van de gegevens naar de registrydatabase gebeurt het volgende:

• checked: de huidige registrywaarde wordt overschreven dus dit recht wordt zeker actief
• cleared: de huidige registrywaarde wordt leeggemaakt dus dit recht wordt inactief
• filled: de huidige registrywaarde wordt niet overschreven; het al of niet actief zijn van het recht is afhankelijk van een vorige instelling

d. een paar voorbeelden

voorbeeld 1: voor elke lokale gebruiker op een win95-werkstation willen we in configuratiescherm de optie beeldscherm uitschakelen

Start win95 zonder in te loggen met een specifieke user (opgelet: het aanmelden naar NT eventueel af zetten). Activeer het programma poledit.exe en wijzig de default registrydatabase door te kiezen voor bestand, register openen, lokale gebruiker, configuratiescherm, beeldscherm, onderdeel beeldscherm in het configuratiescherm beperken, onderdeel beeldscherm in het configuratiescherm uitschakelen.
Elke nieuwe user zal automatisch gebuik maken van deze default registrydatabase

Voor reeds bestaande users volstaat de profiledirectory van deze user te wissen en opnieuw in te loggen.

voorbeeld2: voor elke gebruiker willen we een centrale CONFIG.POL file met volgende instellingen:

• voor de gebuiker
  • beeldscherm uitschakelen
  • netwerk: pagina identificatie en toegangsbeheer beperken
  • wachtwoorden: beveiliging volledig uitschakelen
  • systeem: alle pagina's verbergen
  • voor bureaublad: geen achtergrond en kleurenschema
  • systeembeperkingen: de werkset voor het register uitschakelen
• voor de computer
  • netwerk: microsoft client voor windowsnetwerken zowel bij aanmelden bij windows NT als bij werkgroep KLAS invoeren
  • systeem: gebuikersprofielen inschakelen