3
XP Prof SP3, Kindersicherung mit Bordmitteln
Hallo allerseits!
Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
Ausgangssituation:
Das funktioniert bisher:
Folgende Probleme sind noch offen:
Danke im Voraus für eure Ideen!
Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
- ein Multi-User-OS das allein können muss
- weil die Beschränkung auf möglichst niedriger Ebene passieren sollte (Umgehung bestmöglich verhindern)
Ausgangssituation:
- Windows XP Prof. Sp3
- drei Benutzerkonten:
- eingeschränkter Benutzer: zum Arbeiten
- eingeschränkter Benutzer: zum Spielen
- Admin: für die Verwaltung des Systems durch die Eltern
- ein unbelehrbarer Teenager
Das funktioniert bisher:
- NTFS-Zugriffsrechte: der Arbeits-Account darf nicht spielen und das Admin-Passwort ist dem Nutzer aus gutem Grund unbekannt
- die Anmeldezeit wurde eingeschränkt:
net user ... /times:So-Do,7-21;Fr-Sa,7-23 - weil
"net accounts /forcelogoff:..."nicht den naiv erwarteten Effekt zeigt, wurde das erzwungene Abmelden über einen vom Admin geplanten Task um 21 bzw. 23 Uhr realisiert:shutdown -l -f - PTB-Zeitsync und BIOS-Passwort zum Schutz der Systemzeit
Folgende Probleme sind noch offen:
- spielen über "Ausführen als..." bzw. mit "RunAs" über die Kommandozeile
- tägliches Zeitkontingent von 1 oder 2 Stunden für den Spiel-Account
- das Problem wurde hier schon mal ohne Lösung diskutiert
- es wäre sicher hilfreich, per Abmeldeskript die Sitzungsdauer abfragen zu können, damit das Zeitkonto sukzessive reduziert werden kann
- mit Sachen wie Ruhezustand, Standby und
"tsdiscon"kann man geplante Abmeldebefehle umgehen - jeder mit Nutzerrechten initiierte Zeitzähler kann auch mit Nutzerrechten manipuliert werden
"runas /savecred /user:Administrator ..."ist eine gaaaanz schlechte Idee- Anmeldeskripts, die im Hintergrund weiterlaufen, kann man abbrechen
- eine zeitverzögerte Abmeldung beherrscht XP scheinbar auch nicht
REM Vorsicht mit diesem Befehl, unverhofft kommt oft... shutdown -l -f -t 3600
Danke im Voraus für eure Ideen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 117870
Url: https://administrator.de/contentid/117870
Printed on: April 16, 2024 at 07:04 o'clock
3 Comments
Latest comment
Kindersicherung mit Windows-Bordmitteln - trauriger Witz.
Ich würde in meiner Naivität so vorgehen:
beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).
Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.
Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)
Gruß
Peter
Ich würde in meiner Naivität so vorgehen:
beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).
Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.
Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)
Gruß
Peter
Hallo Peter!
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".
Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
MfG
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Zitat von @pxxsxx:
... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Okay, genau genommen, sollte ihm das Skript ja aufgezwungen werden. Das müsste, objektiv betrachtet, möglich sein - aber M$ hat hier anscheinend andere Ansichten.... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".
Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie
"015A45F78B5D6B8A76F7E6C897D" kommt immer gut :-PHat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
MfG
Zitat von @hellsmurf:
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
Ja, ich hab noch ne Idee...quick and dirty:Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
- dem Arbeitsaccount den Zugriff auf
"C:\Windows\system32\runas.exe"verbieten - den Kontextmenü-Eintrag "Ausführen als..." bei Executables für den Arbeitsaccount deaktivieren:
- [Windows]+[R] >>>
"regedit" HKEY_CLASSES_ROOT\exefile\shell\runas>>> Rechtsklick >>> Berechtigungen >>> User hinzufügen und Zugriff sperren- sofern existent, mit
HKEY_CLASSES_ROOT\batfile\shell\runasundHKEY_CLASSES_ROOT\cmdfile\shell\runasgenauso verfahren
Ich denke, damit steht das Konzept erstmal grundsätzlich. Ist zwar nicht "wasserdicht" aber doch zumindest "spitzwassergeschützt".
MfG