Beheer Windows-gebruikers met gpedit.msc

Je bent zeer gehecht aan je computersysteem, maar moet je dat delen met enkele medegebruikers? Dan wil je hen wellicht de nodige restricties opleggen, zodat ze een en ander niet zomaar kunnen ontregelen. Gpedit.msc helpt daarbij.

De mmc-module Groepsbeleidobjecteditor is een uitstekende tool om fijnmazige restricties op te leggen aan de gebruikers van je computersysteem. Je start die via het commando gpedit.msc. Deze module tref je echter alleen in Windows Pro(fessional) of hogere versies aan. Op deze site vind je weliswaar instructies om deze module ook in Windows 10 Home aan de praat te krijgen, maar je voert die op eigen risico uit; wij hebben die zelf niet geprobeerd.

De mogelijkheden binnen dit groepsbeleid zijn legio: je treft er honderden beleidsregels aan, verdeeld over de categorieën Computerconfiguratie en Gebruikersconfiguratie. Je hoeft maar binnen zo’n categorie naar de gewenste subcategorie te navigeren om vervolgens in het rechterpaneel een of meer beleidsregels te activeren. Er kleeft echter een nadeel aan: de ingestelde restricties gelden voor elke gebruiker en dus ook voor jou.

Gebruiksconfiguratie

Via een aangepaste mmc-module is het echter mogelijk de beleidsregels binnen de categorie Gebruikersconfiguratie op specifieke gebruikers(groepen) af te stemmen, en bijvoorbeeld alleen op niet-administrators te laten toepassen. Voer als administrator het commando mmc uit. Open het menu Bestand en kies Module toevoegen/verwijderen. Selecteer Groepsbeleidobjecteditor, klik op Toevoegen en op Bladeren. Ga naar het tabblad Gebruikers en kies ofwel een bepaalde gebruiker ofwel de groep Gebruikers die geen administrators zijn.

Bevestig met OK, Voltooien en OK. Via het menu Bestand kies je nu Opslaan als om de module te bewaren. Die start je vervolgens via een dubbelklik op. Alle restricties die je van hieruit binnen de categorie Gebruikersconfiguratie oplegt gelden uitsluitend voor de geselecteerde gebruikers(groep).

Windows beveiligingsbeleid

Windows Pro en hoger bevatten tevens een module waarmee je allerlei controles geautomatiseerd kunt laten uitvoeren. Je moet de gewenste controles dan wel eerst activeren en dat doe je alweer vanuit een andere mmc-module: Lokaal beveiligingsbeleid. Je start die via het commando secpol.msc (security policy). In het linkerpaneel open je achtereenvolgens Beveiligingsinstellingen / Lokaal beleid / Controlebeleid.

In het rechterpaneel krijg je nu de verschillende types van activiteiten te zien die je kunt monitoren. Dubbelklik op zo’n activiteit en geef aan wat je wilt vastleggen: Geslaagde pogingen en/of Mislukte pogingen. Bijkomende feedback vind je op het tabblad Uitleg bij de gekozen activiteit.

Hoed je er wel voor om zomaar wat – laat staan alle – activiteiten te loggen aangezien sommige flink wat overhead kunnen genereren. Onder meer de volgende items lijken ons nuttig: Aanmeldingsgebeurtenissen (vooral de mislukte pogingen) en Objecttoegang. Bevestig je keuzes met OK.

gpedit.msc

© PXimport

Via dit lokale beveiligingsbeleid is het mogelijk diverse activiteiten te monitoren. Hieronder vind je enige toelichting bij de interessantste beleidscontroles.

Aanmeldingsgebeurtenissen: een gebruiker meldt zich af of aan, of verbindt zich via het netwerk;

Accountaanmeldingsgebeurtenissen: een gebruiker meldt zich via het netwerk af of aan of authenticeert zich via een lokaal gebruikersaccount;

Accountbeheer: een gebruiker(sgroep) wordt gecreëerd, gewist, gewijzigd, hernoemd of ge(de)activeerd, of een wachtwoord wordt aangepast;

Objecttoegang: een gebruiker benadert een bestand, map of registersleutel;

Procesopsporing: een gebeurtenis als het starten van een toepassing of het beëindigen van een proces vindt plaats;

Systeemgebeurtenissen: een gebruiker sluit bijvoorbeeld het systeem af of herstart het.

Controlevermeldingen

Als je inderdaad ook het controlebeleid voor objecttoegang hebt geactiveerd (zie vorige stap) dan moet je Windows nog wel duidelijk maken welke objecten je precies wenst te monitoren en onder welke omstandigheden dat moet gebeuren. We nemen als voorbeeld het benaderen van een bepaalde bestandsmap.

Open de Verkenner en navigeer naar de map die je wilt monitoren. Klik die met de rechtermuisknop aan, kies Eigenschappen en open het tabblad Beveiliging. Druk op de knop Geavanceerd en ga naar het tabblad Controleren – desgevraagd bevestig je met Doorgaan. Je krijgt nu een overzicht van de Controlevermeldingen. Wellicht is dat op dit moment nog leeg. Druk op de knop Toevoegen en kies vervolgens Een principal selecteren, waarna je de gebruiker selecteert die je wilt controleren. Dat kan eventueel ook gewoon Iedereen zijn.

Desnoods doe je dat via Geavanceerd / Nu zoeken. Zodra de gewenste gebruikers zijn toegevoegd geef je bij Type aan welk soort pogingen je wilt monitoren: Alles, Geslaagd of Mislukt. Bij Van toepassing op geef je in het uitklapmenu aan welke inhoud van deze map en eventuele submappen je in de gaten wilt houden. Bevestig je keuzes ook hier met OK.

Op vergelijkbare manier kun je nu ook de toegang controleren tot registersleutels. Start Regedit als administrator, navigeer naar de gewenste sleutel en klik die met de rechtermuisknop aan. Selecteer Machtigingen, druk op de knop Geavanceerd en open het tabblad Controleren. De rest van het verhaal ken je inmiddels.

Logboek

De gegevens die je hebt verzameld via het ingesteld controlebeleid belanden automatisch in het Windows-logboek Beveiliging. Je opent deze via de mmc-module eventvwr.msc. Bij Trefwoorden lees je hetzij Controle mislukt (met hangslot), hetzij Controle geslaagd (met sleutel), naargelang het om een mislukte dan wel een geslaagde poging gaat.

Dubbelklik op een item om meer informatie op te vragen. Houd er echter rekening mee dat je wellicht moet scrollen in het venstertje om alle details te kunnen aflezen – waaronder ook de naam van het object waarvoor een toegangspoging werd ondernomen. Net zoals bij andere logboeken zul je wellicht ook hier van de ingebouwde filtermogelijkheden gebruik willen maken. Dat kan via Huidig logboek filteren.

Tekst: Toon van Daele

Deel dit artikel
Voeg toe aan favorieten