In het artikel ‘Toegangscontrole’ (c’t 3/2020, p.94) beschrijven jullie hoe je de Windows 10 groepsbeleid-editor ook onder de Home-editie kunt installeren. De beschreven wijziging van de privileges voor gebruikers en groepen lukt op die manier, maar andere beleidsinstellingen lijken niet te worden overgenomen. Doe ik iets verkeerd met Windows 10 Home en de groepsbeleid-editor?
Nee, want Windows 10 Home laat daar meer zien dan daadwerkelijk mogelijk is. Het is namelijk zo dat Windows een soort dubbele boekhouding gebruikt voor groepsbeleid: met de groepsbeleid-editor maak je namelijk eerst zogenaamde Groepsbeleidsobjecten (Group Policy Objects, GPO) aan. Dat is een map die alle ingestelde opties bevat, inclusief commentaar.
De privileges van accounts kun je bewerken via het groepsbeleid. Men een truc kan dat zelfs bij Windows 10 Home.
De meeste GPO’s hebben een register-entry toegewezen gekregen. Pas wanneer die geactiveerd is, wordt een instelling daadwerkelijk van kracht in het systeem. Deze entry’s worden niet ingesteld door de groepsbeleid-editor zelf, maar door een service die groepsbeleid-client (gpsvc) heet. Die wordt geactiveerd bij het opstarten van het systeem, tijdens het inloggen van de gebruiker en bij handmatige wijzigingen.
Bij Windows 10 Home lijkt die service slechts beperkt te werken. Zo wordt alles genegeerd wat in de editor onder beheersjablonen kan worden bewerkt (na toegankelijk maken van die editor via een truc). Bij een test werkten alleen de beveiligingsinstellingen consistent.
