Userbase

Ik was net een computer aan het klaarstomen voor "guest" users.
Niet guest zoals MS dat definieert, maar een user account waarop mensen kunnen inloggen als ze bij mij een computer nodig hebben.
Probleem is dat ik mijn PCs zelden een shutdown geef, omdat ik vaak met dingen bezig ben en niet graag mijn workflow onderbreek.
Om users geen domne dingen te laten doen (ja, hij waarschuwt wel als je een shutdown doet terwijl andere users ook nog ingelogd zijn, maar we weten allemaal hoe goed users warnings lezen ), wil ik dus hun access tot de shutdown optie verwijderen.
Dit is op zich niet heel moeilijk (hoewel verschrikkelijk omslachtig om uit te voeren op een non-domain pc, want je kan blijkbaar geen gpos op group niveau instellen op een individuele pc, enkel op admins, nonadmins, en indivduele users), maar het probleem is dat ik graag zou hebben dat ze wel een standby/sleep of hibernate mogen doen.

Ik vroeg me af of dit mogelijk was, of kan ik het enkel met de grove borstel verbieden?


PS: heeft het nog zin om je dagdagelijkse user als nonadmin te runnen, eigenlijk?
Ik deed dat vroeger op XP (met het makemeadmin scriptje om een cmd prompt met admin rechten én met je eigen user token te kunnen draaien).
Maar tegenwoordig is dat toch allemaal anders.
Met UAC en elevation prompts draait alles op een admin account ook als nonadmin.
Ik ben van zins om mijn dagelijkse user ook gewoon admin te maken, ik zie niet direct nog een heel goeie reden om dat niet te doen; tenzij hier iemand nog een doorslaggevende reden weet?

https://www.howtogeek.com/248742/how-to ... n-windows/

Zoiets?

Nee, want dat is net het probleem met de gewone gpo aanpak; daarmee blokkeer je ook access tot sleep/hibernate.
Ik wil specifiek enkel shutdown/restart blokkeren; alles wat bestaande sessies afsluit, niks dat sessies met rust laat.

Nu, tis een luxevraagje eerder dan een noodzaak; als ik niks vind blokkeer ik het idd via gpo.
Ik vrees er idd voor, want ze worden allemaal gerund vanuit hetzelfde commando.

Wat je vraagt is mogelijk, maar vereist wat dieper ingrijpen op windows dan standaard mogelijk is.

Opt werk gebruiken we daar een intern ontwikkelde applicatie voor, die indien gestart de startbalk volledig masked, het startmenu en alle hotkeys uitschakeld, en access tot alle instellingen blokkeert. (natuurlijk kunnen wij als admin de boel wel nog unlocken )
Doet een overlay van een eigen (vintage xp look) startbalk en startmenu, laat alleen de programma's zien die we zelf definen in de config, en bied de user maar 1 relevantie systeem optie, namelijk "restart". voor de rest kunnen de gebruikers *niets* .
(Combineer dat met een 100% afgeschermde netwerk omgevingen, en je hebt de gebruikers eindelijk onder controle - de droom van elke IT'er, full control over timewasting en geen onnodige internet en netwerktraffiek.)

Lijkt me dat je op zoek moet naar een soortgelijke applicatie, maar dan iets meer massmarket, moet zeker bestaan.

Bwa, niet helemaal.

Ik kan ook de visuele shutdown/restart/sleep/hibernate knoppen verwijderen, en dan shortcuts maken naar een script en aan de desktop ofzo toevoegen, maar dan heeft de user nog wel het "recht" om een shutdown of restart te initieren.
Als je via gpo blocked, *mag* hij het gewoon niet van het OS.

Idd, je moet dus ook alle andere dingen afvangen zoals ctrl-alt-del, cmd opties, enz enz...

Maar als je geen gpo wil gebruiken, dan moet het op die manier

Dammit, daar was ik bang voor.

"wil" is een sterk woord; het probleem is idd dat de gpo een alles of niets ding is, je kan daarin niet finetunen welke opties wel of niet mogen.

Is het niet mogelijk om dan gewoon zelf een knop te maken die sleep/hybernate doet en die op het bureaublad te zetten (of in het startmenu) nadat je die shutdown knop verborgen hebt?

https://www.howtogeek.com/howto/18268/c ... bernation/

Dat is dus mogelijk, maar zoals ik hierboven zei, dan heeft de user nog wel het "recht" om de andere commandos uit te voeren.
Als ze dan per ongeluk eentje terugvinden dat ik vergeten te verbergen ben...
Bv er staat ooit zo'n keyboard met een shutdown knopje op en mijne frank is niet gevalllen...
Dan denk ik dat ik liever heb dat ze gewoon niks kunnen doen, totale lockdown.

Dit zou trouwens ook gebruikt worden voor de extra accounts op mijn laptop, bv de presentatie account (ja, ik presenteer niet vanuit mijn gewone user acct ).
Je weet nooit, als je dat ns onbewaakt achterlaat tijdens een sessie, dan is de access tenminste restricted zonder dat direct volledig te moeten locken.

Ik gebruik standaard een andere account voor presentaties om te vermijden dat mijn bureaublad weer eens overhoop gegooid wordt omdat Windows beslist dat de resolutie van de beamer overgenomen moet worden...

Yup, da's ook een van de redenen :-p

Gezien het voornamelijk een probleem is als uw account is ingelogd, is er geen script om een shutdown te herkennen en meteen te counteren met een shutdown -a Dat kan dan op u profiel draaien

Dat zou zoiezo niet helpen als de shutdown "immediate" is.