User soll nix dürfen!

Ich möchte gerne ein ganz einfaches User-Konto haben. Dieser User soll lediglich sein Programm starten können, und sonst gar nichts. Ich habe versucht bei meinem Einfachst-User mittels der Sicherheitsrichtlinien Einschränkungen vorzunehmen. Habe es aber z.B. nicht hinbekommen, daß es dem USer unmöglich ist den Explorer zu starten oder die Anzeige zu ändern. POLEDIT gibt es ja nicht mehr, damit ging das bei 95er Rechnern.

 

Hi,

gern geschehen - falls Du ab Freitag und in der nächsten Woche weitere Fragen hast : ich bin für eine Woche im Urlaub ;-) also nicht wundern ...

Gruss,

Martin

 

Hi,
habe ich so gemacht, und hat auch gut funktioniert. Vielen Dank nochmal. Diese Funktion kannte ich überhaupt nicht, jetzt habe ich auch eine kleine Idee davon bekommen was das mit dem ganzen Konsolenkram zu sagen hat. Nicht schlecht das ganze.
So fahre jetzt nach Hause, bis demnächst und gute Nacht.
Gruss

Stephan

 

Hi,

nein, die kannst Du ruhig in System32 belassen (solltest Du auch tunlichst ;-) ). Du erstellst Dir Deine eigene MMC, indem Du auf Ausführen gehst und mmc eintippst.
Dann erscheint ein leeres Fenster; Du gehst oben auf Konsole --> Neues Snap-In hinzufügen/entfernen. Nun erscheint ein neues Fenster : Konsolenstamm; ganz unten auf "Hinzufügen" klicken - jetzt werden alle verfügbaren Snap-In}s gelistet. Du markierst den Eintrag "Gruppenrichtlinie" und bestätigst mit "Hinzufügen". Im nächsten Fenster wirst Du gefragt, für welches Gruppenrichtlinienobjekt das Snap-In gedacht ist : Lokaler Computer. "Fertigstellen" anklicken und das Fenster "Eigenständiges Snap-In hinzufügen" schliessen, im Fenster "Snap-in hinzufügen/entfernen" auf OK klicken. Hiermit ist Deine eigene Verwaltunskonsole für die Gruppenrichtlinien fertig. Jetzt wieder auf Konsole klicken, speichern unter und den einen Namen vergeben sowie als Speicherort den Desktop.
Übrigens ist diese Konsole um beliebige Snap-In}s erweiterbar, so dass Du Dir ohne viel Aufwand eine eigene Verwaltungskonsole aufbauen kannst - das spart oft das lästige Durchgeklicke durch zig Untermenüs.

Gruss,

anakin_x4

 

Wie kann man die MMC auf den Desktop legen. Muß man die gpedit.msc dahin kopieren?

 

Hi,

entweder gehst Du wieder in Benutzer und Kennwörter in der Systemsteuerung und entfernst das Häkchen bei "Benutzer müssen für den Computer Benutzernamen und Kennwort eingeben" (da weiss ich allerdings nicht, welcher Benutzer dann standardmässig angemeldet wird - ich vermute mal stark, es ist der Admin; alles andere wäre Schwachsinn, da man dann keine Veränderungen mehr am System machen könnte) oder Du installierst Dir TweakUI. Da gibt es unter dem Karteireiter Logon die Option, ein Konto anzugeben, welches dann immer angemeldet wird. Allerdings würde ich davon absehen und es lieber wie in meinem vorhergehenden Posting beschrieben regeln !
Punkt 2 ist etwas kniffelig und ich bin mir nicht sicher, ob meine Lösung richtig ist - ich denke aber mal, dass sie zu 99,9 % trifft.
Man könnte sich als Administrator eine eigene MMC erstellen, die genau dieses Snap-In (also das für die Richtlinien enthält) wenn man diese MMC dann (als Admin) auf seinem Desktop ablegt, ist sie für normale User nicht zusehen, da sie innerhalb des Admin-Profils liegt. Einmal als Admin angemeldet, kann man durch Doppelklick auf die MMC sofort Zugriff auf die Richtlinien erhalten - auch mit deaktiviertem Explorer und ohne "Ausführen".

Gruss,

Martin
[Diese Nachricht wurde von anakin_x4 am 28.08.2002 | 20:54 geändert.]

 

Hi,
das mit der Sicherheit ist schon o.k. den für Strg+Alt+Entf. habe ich gefunden, aber wie bekomme ich den Rechner dazu, daß sich Standardmässig ein anderer User anmeldet? Zweite Frage, wenn die Einstellungen in den Gruppenrichtlinien auch für den Administrator sind (weil die sind ja für jeden User) und dieser Gruppenrichtlinien >> Benutzerkonfiguration >> Administrative Vorlagen beim Startmenü den Menüeintrag "Ausführen" deaktiviert, wie kommt er dann jemals wieder dorthin um den Eintrga wieder zu deaktivieren. Er kann ja nicht "gpedit.msc" bei ausführen eingeben. Er könnte es über den Explorer im WinNt Verzeichnis finden und von dort starten, wenn er aber zusätzlich den Explorer sperrt, hat er sich dann selbst Schachmatt gesetzt?

 

Hi,

generell sollte jeder Benutzer sein eigenes Kennwort bekommen, das ist einfach sauber und sicher.
Um bei der Anmeldung über STRG+ALT+ENTF zu gehen gehst Du in der Systemsteuerung auf den Punkt Benutzer und Kennwörter und setzt bei Erweitert --> Einstellungen für einen sicheren Neustart das Häkchen bei Vor der Anmeldung STRG+ALT+ENTF drücken.
Um jetzt den PC noch zusätzlich vor unerlaubten Zugriffen zu schützen bzw. um zu erschweren, dass ein User sich unter einem anderen Account Zutritt verschaffen könnte, gehst Du in die Lokalen Sicherheitsrichtlinien --> Lokale Richtlinien --> Sicherheitsoptionen und aktivierst die Richtlinie Letzten Benutzernamen nicht im Anmeldedialog anzeigen.
Ausserdem kannst Du dann noch unter Lokale Richtlinien --> Überwachungsrichtlinien Anmeldeereignisse, Zugriffsversuche etc. überwachen lassen. Die Meldungen dazu finden sich dann nachher in der Ereignissanzeige, so dass man immer eine Möglichkeit hat, zu kontrollieren ob alles "sauber ist".

Gruss,

anakin_x4

 

Hi,
noch eine kleine Frage an dich, habe ich auch schon einmal im Forum gestellt, bekam aber keine Antwort. Mein Rechner meldet sich beim hochfahren automatisch mit Administrator an. Er fragt nicht nach dem Kennwort (also nicht erst ALT-STRG-ENTF) sondern fährt einfach hoch. Wenn ich jetzt möchte, daß er sich mit einem anderen User anmeldet, einmal mit, einmal ohne Kennwort, wo stelle das ein.

 

Hmm,

mit Buchempfehlungen ist das so eine Sache - da sollte man eigentlich in den Laden gehen und sich ein bisschen Zeit nehmen, mehrere Kandidaten auswählen und ein wenig darin schmökern. Kommt halt immer darauf an, was man von einem Buch erwartet und wie man es gerne präsentiert bekommt. Um richtig tief in die Materie einzusteigen empfiehlt sich die Technische Referenz zu Windows 2000 - allerdings kostet die auch satte 75 Euro, die zum W2K-Server sogar 300 Euro. Dafür bleiben auch keine Fragen offen.
Als Verlage empfehle ich Addison Wesley sowie O}Reilly - deren Titel kenne ich zwar nicht beim Namen, aber die haben eigentlich immer gute Bücher im Sortiment.
Ansonsten einfach auch mal bei Terrashop und Amazon vorbeischauen und sich Titel und Kommentare der Käufer dazu durchlesen.

Gruss,

Martin
[Diese Nachricht wurde von anakin_x4 am 27.08.2002 | 19:02 geändert.]

 

Hi,
das hat mir sehr geholfen, vielen Dank. Ich werfe meine Verkäuferinnen einfach in die Gruppe Gäste, kommt ja dann aufs gleiche raus. Eigenartigerweiser darf ein neu erstellter User der zunächt einmal in überhaupt keiner Gruppe ist ja recht viel. Das mit dem Link zur Antwort im Forum hatte ich zwei Sekunden nachdem ich danach gefragt hatte gefunden, aber trotzdem Danke. Hast du eine Buchempfehlung oder auch eine Website zu genau diesem Thema (User, Gruppen, Gruppenrichtlinien). Ich habe das Buch Windows 2000 Professional von Chip, ist aber ziemlich schlecht weil Oberflächlich, ist aber auch eins der ersten.

 

Hi,

fangen wir mal hinten an : gaaanz unten in der Mail steht ein Link - draufklicken und Du landest im Thema ;-)

Zum Rest : ok, wenn es darum geht haben wir eigentlich die ganze Zeit ein wenig am Thema vorbeigeredet. Wenn Deine Verkäuferinnen lediglich einen Account aus der Gruppe "Benutzer" zugewiesen bekommen, dann unterliegen Sie bei der Benutzung des PC}s schon starken Einschränkungen : sie dürfen z.B. nicht an der Systemsteuerung oder den Netzwerkeinstellungen (an allen sonstigen Einstellungen übrigens auch nicht - sie sehen sie lediglich, haben aber keine Möglichkeit etwas zu verändern) herumfummeln, Installieren und Deinstallieren von Soft- und Hardware geht auch nicht.
Oder aber Du lässt eine Anmeldung der User nur mit dem Gastkonto zu - dieses ist am stärksten eingeschränkt (noch stärker als Konten der Gruppe Benutzer) und garantiert für Sicherheit bzw. verhindert per se unbeabsichtigte Crashs aufgrund von Usereingriffen irgendeiner Art.
Hilft Dir das weiter ?

Gruss,

Martin
[Diese Nachricht wurde von anakin_x4 am 26.08.2002 | 22:10 geändert.]

 

Na ja du könntest das vieleicht, aber die meisten eben nicht. Man kann auch über Tastenkombination den Explorer starten wenn nichts mehr im Startmenü ist. Aber in dem Fall ist es so, daß Verkäuferinnen einfach nur nicht an die Systemsteuerung herankommen sollen und keinen Bildschirmschoner und so weiter installieren können. Also so ein Quatsch im Sinne von verhuntzen bis der Rechner nicht mehr läuft, was halt so normalo-user machen, weil PC is ja auch ein Spielzeug. Wenn das normale Startmenü weg ist, ist da aber schon Feierabend. Was ich mich frage ist wenn der Admin mit jeder Einschränkung auch immer gleich sich selbst einschränkt wer benutzt dann das "Gruppenrichtlinienabtörntool". Was ich mich auch frage, ist: muss ich jedes mal wenn ich eine mail bekomme, daß jemand geantwortet hat, meine Frage in den Tiefen des Forum suchen um wieder antworten zu können? Oder kann man irgendwie anders dahin springen. Das ist sonst so umständlich zu antworten.

 

Naja, sagen wir mal so : Du kannst die Einträge entfernen, ein geübter Benutzer weiss dann aber trotzdem, wie er die Programme startet (z.B. Symbol über Explorer suchen und starten).
Ansonsten ist mir trotz sinnieren und suchen nichts mehr eingefallen.

Gruss,

Martin

 

Hi Florian,

ich denke mal es liegt daran, dass ich auf meinem W2K die Ressource-Kits für W2k und W2K-Server installiert habe - kann ich zwar nicht 100%-ig garantieren dass es daran liegt (ist mein Laptop im Büro), aber halte das für die plausibelste Erklärung.

Fällt Dir ansonsten noch was ein ? Ich bin ein bisschen am Ende mit meinem Latein ...

Gruss,

Martin

 

Hallo !

Muß Stephan zustimmen , Poledit gabs bei mir in der Normalinstallation auch nicht und es ist auch nicht auf meiner
Win2k prof. CD (hab sie gerade durchsucht) . Vielleicht kommts ja auf die Version an .

MfG Florian

 

ne geht nicht bei mir. Habe WIN 2000 Professional (keine Server-Version)

 

Hmm, einfach Start --> Ausführen --> poledit.exe eingeben - funktioniert bei mir tadellos ...
Ansonsten siehe Posting weiter oben von Florian ;-)

Gruss,

anakin_x4

 

Klingt irgendwie völlig unglaublich. Damit ist das Ding doch völlig unsinnig bzw. unbrauchbar. Ist es nicht möglich wenigstens den schon vorhandenen Gruppen (Benutzer und co) eine Richtlinie zu verpassen (auf einem einzelnen PC). Eigentlich würden ja zwei User reichen, der Admin darf alles, der andere nix. Kannst ja noch mal darüber sinnieren. Ich werde auch noch mal mein altes Gehirn anwerfen und mich durch die Hilfe wühlen.

 

geht bei mir nicht !!