Samenvatting

In dit artikel wordt beschreven hoe u groepsbeleid kunt gebruiken om de controlefunctie voor Windows-registersleutels in te stellen.


Terug naar begin

Een groepsbeleidobject maken

Ga als volgt te werk om een groepsbeleidobject te maken waarmee u de controle van een domein kunt inschakelen:

1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik opActive Directory: gebruikers en computers.
2. Klik met de rechtermuisknop op uw domein en klik vervolgens op Eigenschappen.
3. Open het tabblad Groepsbeleid en klik op Nieuw.
4. Typ de naam die u voor dit beleid wilt gebruiken (bijvoorbeeld Controlebeleid inschakelen) en druk op ENTER.
5. Klik op Eigenschappen en klik vervolgens op de tab Beveiliging.
6. Schakel het selectievakje Groepsbeleid toepassen uit voor de beveiligingsgroepen waarop u dit beleid niet wilt toepassen.
7. Schakel het selectievakje Groepsbeleid toepassen in voor de groepen waarop u dit beleid wel wilt toepassen. Klik vervolgens op OK.

Terug naar begin

De controlefunctie in groepsbeleid inschakelen

Als de controlefunctie niet is ingeschakeld, moet u deze eerst inschakelen. Bij een domein moet u de controle inschakelen voor een groepsbeleidobject dat is gekoppeld aan het domein. Bij een server of werkstation dat geen lid is van een domein, moet u de controle van een lokaal groepsbeleidobject inschakelen.


Terug naar begin

De controlefunctie voor een domeincontroller inschakelen

1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik opActive Directory: gebruikers en computers.
2. Klik met de rechtermuisknop op uw domein en klik vervolgens op Eigenschappen.
3. Klik op de tab Groepsbeleid, klik op het groepsbeleidobject dat u wilt gebruiken en klik vervolgens op Bewerken.
4. Klik onder Computerconfiguratie op Windows-instellingen. Klik op Beveiligingsinstellingen en op Lokaal beleid om deze opties uit te vouwen. Klik hierna op Controlebeleid.
5. Dubbelklik opObjecttoegang controleren.
6. Schakel het selectievakjeDeze beleidsinstellingen vastleggenin. Schakel de selectievakjes Geslaagd en Mislukt in en klik op OK.
   
   OPMERKING: als u de instelling Objecttoegang controleren hebt geselecteerd, hebt u daarmee ook de controle van het Windows-register ingeschakeld.
7. Sluit de module Groepsbeleid af en klik op Sluiten.

Terug naar begin

De controlefunctie inschakelen voor een computer die geen lid is van een domein

1. Klik op Start en op Uitvoeren.
2. Typ in het vak Openen het volgende: gpedit.mscen klik op OK.
3. Klik onder Computerconfiguratie op Windows-instellingen. Klik op Beveiligingsinstellingen en op Lokaal beleid om deze opties uit te vouwen. Klik hierna op Controlebeleid.
4. Dubbelklik opObjecttoegang controleren.
5. Schakel het selectievakjeDeze beleidsinstellingen vastleggenin. Schakel de selectievakjes Geslaagd en Mislukt in en klik op OK.
   
   OPMERKING: als u de optie Objecttoegang controleren hebt geselecteerd, hebt u daarmee ook de controle van het Windows-register ingeschakeld.
6. Sluit de module Groepsbeleid af.

Terug naar begin

Een registersleutel controleren

WAARSCHUWING: een onjuist gebruik van Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortkomen uit een onjuist gebruik van Register-editor, kunnen worden opgelost. Het gebruik van Register-editor is dan ook voor uw eigen risico.


Raadpleeg het Help-onderwerp "Sleutels en waarden wijzigen" in Register-editor (Regedit.exe) of de Help-onderwerpen "Registergegevens toevoegen en verwijderen" en "Registergegevens bewerken" in Regedt32.exe voor aanwijzingen voor het wijzigen van het register. Maak een reservekopie van het register voordat u wijzigingen aanbrengt. Als u werkt met Windows NT of Windows 2000, moet u ook de hersteldiskette bijwerken.

1. Klik op Start en op Uitvoeren.
2. Typ in het vak Openen het volgende: regedt32en klik op OK.
3. Klik op de registersleutel die u wilt controleren, bijvoorbeeld:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Klik in het menu Beveiliging op Machtigingen.
5. Klik op Geavanceerd, klik op de tab Controle en klik vervolgens op Toevoegen.
6. Klik op de account waarvan u de toegang tot deze registersleutel wilt controleren, bijvoorbeeld Geverifieerde gebruikers en klik op OK.
7. Schakel de volgende selectievakjes onder zowel Geslaagd als Mislukt in:

   Waarde instellen
   Subsleutel maken

8. Klik op OK en nogmaals op OK.
   
   
   Mogelijk wordt ook een bericht van de volgende strekking weergegeven:

   In het huidige controlebeleid voor deze computer is de controlefunctie niet ingeschakeld. Als het controlebeleid voor deze computer afkomstig is van een domein, moet u een domeinbeheerder vragen om de controlefunctie met de Groepsbeleid-editor in te schakelen. Als dit niet het geval is, kunt u de editor voor lokaal computerbeleid gebruiken om het controlebeleid lokaal op deze computer te configureren.

   Als de controlefunctie niet is ingeschakeld, moet u deze eerst inschakelen. Hiervoor volgt u de procedure in het onderwerpDe controlefunctie inschakelen via groepsbeleidvan dit artikel.
9. Klik op OK en nogmaals op OK.
10. Sluit Register-editor af.

De controlegebeurtenissen worden weergegeven in het beveiligingslogboek van Logboekinzage.


Terug naar begin

Registersleutels controleren met behulp van een beveiligingssjabloon

U kunt registersleutels ook controleren met een beveiligingssjabloon. U configureert het controlebeleid door een aangepaste beveiligingssjaboon te maken of een bestaande sjabloon te wijzigen. Vervolgens kunt u deze sjabloon via groepsbeleid toepassen op meerdere computers in een domein of op een afdeling.


Terug naar begin

Een beveiligingssjabloon maken

Ga als volgt te werk om een nieuwe beveiligingssjabloon te maken of een bestaande sjabloon te wijzigen:

1. Klik op Start en op Uitvoeren.
2. Typ in het vak Openen het volgende: mmcen klik op OK.
3. Klik in het menu Console op Module toevoegen/verwijderen.
4. Klik op Toevoegen en vervolgens op Beveiligingssjabloon.
5. Klik achtereenvolgens op Toevoegen, Sluiten en OK.
6. Klik onder de map Consolebasis op de optie Beveiligingssjablonen om deze uit te vouwen.
7. Klik op de map station:\WINNT\Security\Templates om deze uit te vouwen, waarbij stationhet station aangeeft waarop Windows is geïnstalleerd.
8. Voer een van de volgende stappen uit:
   • Als u een bestaande sjabloon wilt wijzigen, klikt u om de gewenste sjabloon uit te vouwen, bijvoorbeeld hisecws (high-security workstation).
     
     
     -of-
   • Ga als volgt te werk om een nieuwe beveiligingssjabloon te maken:
     1. Klik met de rechtermuisknop op station:\WINNT\Security\Templates en klik vervolgens op Nieuwe sjabloon.
     2. Typ een naam voor de sjabloon in het vakSjabloonnaamen klik op OK.
     3. Klik om de nieuwe sjabloon uit te vouwen.
9. Klik met de rechtermuisknop op Register en klik vervolgens op Sleutel toevoegen.
10. Klik in de lijst Register op de gewenste registersleutel om deze uit te vouwen, bijvoorbeeld:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

11. Klik op Geavanceerd, klik op de tab Controle en vervolgens op Toevoegen.
12. Klik op de account waarvan u de toegang tot deze registersleutel wilt controleren, bijvoorbeeld Geverifieerde gebruikers en klik op OK.
13. Schakel in de lijst Toegang de gewenste selectievakjes onder Geslaagd en Mislukt in. Hiermee geeft u het type toegang aan dat u wilt controleren voor de geselecteerde gebruiker of beveiligingsgroep. Klik vervolgens op OK.
    
    
    Schakel bijvoorbeeld het selectievakje Waarde instellen in onder zowel Geslaagd als Mislukt.
14. Klik op OK.
    
    
    Als het volgende bericht wordt weergegeven, klikt u op OK:

    In het huidige controlebeleid voor deze computer is de controlefunctie niet ingeschakeld. Als het controlebeleid voor deze computer afkomstig is van een domein, moet u een domeinbeheerder vragen om de controlefunctie met de Groepsbeleid-editor in te schakelen. Als dit niet het geval is, kunt u de editor voor lokaal computerbeleid gebruiken om het controlebeleid lokaal op deze computer te configureren.

15. Klik op OK en nogmaals op OK.
16. Vouw de optie Lokaal beleid uit en klik op Controlebeleid.
17. Dubbelklik in de lijst Beleid opObjecttoegang controleren.
18. Schakel het selectievakjeDeze beleidsinstellingen vastleggenin. Schakel de selectievakjes Geslaagd en Mislukt in en klik op OK.
    
    OPMERKING: als u de instelling Objecttoegang controleren hebt geselecteerd, hebt u daarmee ook de controle van het Windows-register ingeschakeld.
19. Sluit de module Beveiligingssjablonen af.
20. Als het dialoogvenster Beveiligingssjablonen opslaan verschijnt, klikt u op Ja om het aangepaste beveiligingssjabloon dat u hebt gemaakt op te slaan.

Terug naar begin

Een beveiligingssjabloon toepassen

Via groepsbeleid kunt u de beveiligingssjabloon met het ingestelde controlebeleid toepassen. Hiertoe gaat u als volgt te werk:

1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik opActive Directory: gebruikers en computers.
2. Voer een van de volgende stappen uit:
   • Als u de beveiligingssjabloon wilt toepassen op het hele domein, klikt u met de rechtermuisknop op het domein en klikt u vervolgens op Eigenschappen.
     
     
     -of-
   • Als u de beveiligingssjabloon wilt toepassen op een afdeling, vouwt u het domein uit en klikt u met de rechtermuisknop op de afdeling. Vervolgens klikt u op Eigenschappen.
3. Maak een groepsbeleidobject om de beveiligingssjabloon toe te passen. Ga hiervoor als volgt te werk:
   1. Klik op Nieuw.
   2. Typ een naam voor het groepsbeleidobject in het vakNieuw groepsbeleidobject(bijvoorbeeld Beveiligingssjabloon voor controlebeleid toepassen) en druk op ENTER.
4. Klik in de lijstGroepsbeleidobjectkoppelingenop het gewenste groepsbeleidobject en klik op Bewerken.
5. Klik onder Computerconfiguratie op Windows-instellingen om deze optie uit te vouwen. Klik met de rechtermuisknop op Beveiligingsinstellingen en klik vervolgens op Beleid importeren.
6. Klik op de beveiligingssjabloon die u hebt gemaakt. Schakel het selectievakjeDeze database wissen vöör het importerenin en klik vervolgens op Openen.
   
   OPMERKING: als het selectievakjeDeze database wissen vöör het importerenis ingeschakeld, worden alle beveiligingsinstellingen van het groepsbeleidobject vervangen door de instellingen van de beveiligingssjabloon die u importeert.
7. Sluit de module Groepsbeleid af en klik op Sluiten.
8. Sluit Active Directory: gebruikers en computers af.

Terug naar begin

Probleemoplossing

Als u het controlebeleid hebt geconfigureerd, kan het voorkomen dat de service niet goed werkt. Deze situatie kan om de volgende redenen ontstaan:

• Het controlebeleid dat u hebt ingesteld, wordt overschreven door een beleidsinstelling voor een site, domein of afdeling. Ga als volgt te werk om dit probleem op te lossen:
  1. Klik op Start en op Uitvoeren.
  2. Typ in het vak Openen het volgende: gpedit.mscen klik op OK.
  3. Klik onder Computerconfiguratie op Windows-instellingen. Klik op Beveiligingsinstellingen en op Lokaal beleid om deze opties uit te vouwen. Klik hierna op Controlebeleid.
  4. Bekijk in het deelvenster Beleid het item in de kolom Actieve instelling van het beleid dat u wilt toepassen.
     
     
     Als deze optie is ingesteld opGeen controle, wordt het controlebeleid dat u hebt geconfigureerd wellicht overschreven door een groepsbeleidobject van een hoger niveau. U kunt dit nagaan door de items van de groepsbeleidobjecten op het hogere niveau te controleren op mogelijke conflicten. Hierbij gaat het om items die zijn gekoppeld aan de afdeling of aan het domein.
  5. Schakel het selectievakjeDeze beleidsinstellingen vastleggenin. Schakel de selectievakjes Geslaagd en Mislukt in en klik op OK.
     
     OPMERKING: als u de instelling Objecttoegang controleren hebt geselecteerd, hebt u daarmee ook de controle van het Windows-register ingeschakeld.
  6. Sluit de module Groepsbeleid af.
• De instelling van het controlebeleid wordt overschreven door een groepsbeleidobject met een hogere prioriteit. Ga als volgt te werk om dit probleem op te lossen:
  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik opActive Directory: gebruikers en computers.
  2. Klik in de consolestructuur met de rechtermuisknop op uw domein. Klik vervolgens op Eigenschappen.
  3. Open het tabblad Groepsbeleid.
     
     
     Bekijk de lijstGroepsbeleidobjectkoppelingen.De hogergelegen items in de lijst overschrijven de items op lagere niveaus.
  4. Als het groepsbeleidobject waarin uw controlebeleid is opgenomen zich onder een item van een groepsbeleidobject bevindt waarin de controle wordt uitgeschakeld, voert u een van de volgende stappen uit:
     • Klik op het groepsbeleidobject met het controlebeleid dat u wilt toepassen en klik vervolgens op Omhoog om dit object boven het item met de hogere prioriteit te plaatsen.
       
       WAARSCHUWING: zorg ervoor dat de andere instellingen in het groepsbeleidobject geen conflict veroorzaken met de instellingen van de items in de lagergelegen beleidsobjecten.
       
       
       -of-
     • Bewerk de items in de groepsbeleidobjecten die boven het groepsbeleidobject liggen waarin het controlebeleid is opgenomen, zodat de conflicterende beleidsinstellingen worden aangepast.
       
       OPMERKING: het kan soms handig zijn om de controle-instellingen van een groepsbeleidobject te combineren met die van een hogergelegen object, om zo de oorzaken van een conflict op te lossen en tegelijkertijd het aantal items van groepsbeleidobjecten te verminderen.
  5. Wanneer u klaar bent, klikt u op OK. Klik vervolgens op Afsluiten in het menu Bestand.
• De beleidsinstelling voor de site, het domein of de afdeling waarin de instelling voor het controlebeleid is opgenomen, is niet gerepliceerd naar andere computers. U lost dit probleem op door het hulpprogramma Secedit.exe uit te voeren op een opdrachtregel. Hierdoor wordt het groepsbeleid vernieuwd.
  Voor meer informatie over het gebruik van Secedit klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
  

  227302 Using SECEDIT to Force a Group Policy Refresh Immediately

Terug naar begin