75278
Goto Top

Einschränkungen bei Vista-Benutzern

Hallo,

ich möchte bei diversen Windows Vista Home Basic Notebooks die Benutzerrechte so einschränken, dass die NICHTS dürfen, außer bestimmte Programme starten und nutzen.
Unter JUGENDSCHUTZ konnte ich schon eine Menge einstellen, jedoch besteht immer noch die Möglichkeit, z.B. das Design oder die Energieeinstellungen zu ändern, und dierse andere Sachen.

Ist es bei der Home Basic möglich, einen User so einzuschränken, dass er quasi nicht mal mehr einen USB Stick einstecken kann?

Danke und viele Grüße
ich

Content-Key: 109776

Url: https://administrator.de/contentid/109776

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: KennyNet
KennyNet 23.02.2009 um 19:29:28 Uhr
Goto Top
Hallo erstmal,

vorab sei gesagt, daß ich nicht die allergrößte Ahnung habe aber ich frage mich, ob die diversen Programme dann überhaupt noch richtig funktionieren, wenn man die Benutzerrechte derart einschränkt. Kennst Du eigentlich das Tool "Steady State" von Microsoft ? Ich könnte mir vorstellen, daß das auch was für Dich wäre. Damit könnte man zumindest erreichen, daß alle von den Usern gemachten Änderungen nur temporär wären und beim nächsten Neustart ist wieder alles beim alten, so wie Du das vorher konfiguriert hattest.

Ist nur ne Idee aber das scheint mir einfacher als per Gruppenrichtlinie (wenn es das in der Vista Basic überhaupt gibt) oder Lokale Sicherheitsrichtlinie jede Kleinigkeit zu verbieten.

Vielleicht hilft Dir das ja auch schon.

Bis dann
Mitglied: Dieter-56
Dieter-56 23.02.2009 um 19:50:52 Uhr
Goto Top
n'abend danny,

usb und cd-lw kannst du im bios schonmal deaktivieren, ist bloß die frage, ob all zu viele einschränkungen auch sinnvoll sind.

gruß
dieter
Mitglied: DerWoWusste
DerWoWusste 23.02.2009 um 21:02:21 Uhr
Goto Top
er quasi nicht mal mehr einen USB Stick einstecken kann
Speziell mit Vista lassen sich USB-Sticks wunderbar einschränken - jedoch nicht so einfach bei Home. Schau in die Doku (WindowsServer2008andWindowsVistaSP1GroupPolicySettings.xlsx) zu den Gruppenrichtlinien von 2008 und Vista sp1. Auszug (Zeile 160): DeviceInstallation.admx Allow installation of devices using drivers that match these device setup classes Machine System\Device Installation\Device Installation Restrictions HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions!AllowDeviceClasses, HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions\AllowDeviceClasses At least Windows Vista Specifies a list of device setup class GUIDs describing devices that can be installed.\n\n\nThis setting is intended to be used only when the "Prevent installation of devices not described by other policy settings" setting is enabled and does not have precedence over any setting that would prevent a device from being installed.\n\n\nIf you enable this setting, any device with a hardware ID or compatible ID that matches one of the IDs in this list can be installed or updated, if that installation has not been specifically prevented by the "Prevent installation of devices that match these device IDs," "Prevent installation of devices for these device classes," or "Prevent installation of removable devices" policy setting. If another policy setting prevents a device from being installed, the device cannot be installed even if it is also described by a value in this setting.\n\n\nIf you disable or do not configure this setting and no other policy describes the device, the "Prevent installation of devices not described by other policy settings" setting determines whether the device can be installed.\n\n\nIf this computer is a Terminal Server, then enabling this policy also affects redirection of the specified devices from a Terminal Services Client to this computer. No No None
--
Zusammengefasst: Du kannst Device-IDs auf eine Whitelist setzen (oder pauschal alles verbieten).

Ob Du den Jugendschutz schon voll ausgespielt hast, ist zudem die Frage. Nutzt Du eine White- oder eine Blacklist? Probier eine Whitelist (...darf nur folgende Programme nutzen).
Mitglied: 75278
75278 24.02.2009 um 12:21:09 Uhr
Goto Top
Hallo,
vielen Dank für eure Antworten!

"Kennst Du eigentlich das Tool "Steady State" von Microsoft ? "
Das klingt schon mal sehr vielversprechend. Das schaue ich mir mal an. Im Endeffekt würde das ja schon (fast) reichen!

"...Jugenschutz ausgespielt..."
Jap, habe ich. Es gibt eine Whitelist.

Wegen der WARUM EINSCHRÄNKEN Frage:
Es handelt sich hier um Seminarnotebooks, welche alle paar Wochen mal für ein Seminar genutzt werden, welches über 2 Tage á 8h geht.
Die Seminarteilnehmer bekommen dort eine bestimmte Software erklärt. Die sollen also nicht im System rumstellen, sondern einfach nur und ausschließlich diese Software benutzen und diese eine Website (wo man die Software bekommt) ansurfen können. DAS habe ich soweit schon hinbekommen.

Nun versuche ich

a) zu vermeiden, dass per USB Stick oder optischem Laufwerk irgendwelche Dateien AUF den PC kommen und
b) dass die Windowsoberfläche IMMER auf "Klassisches Design" steht.

Nicht jeder Teilnehmer kennt Vista (manche haben noch nie einen PC benutzt) und dessen (wie ich finde sehr hübsche) Oberfläche.
Das mit den Device-IDs schaue ich mir mal an.

Viele Grüße
ich
Mitglied: 75278
75278 25.02.2009 um 13:22:07 Uhr
Goto Top
Zitat von @KennyNet:
Kennst Du eigentlich das Tool "Steady
State" von Microsoft ? Ich könnte mir vorstellen, daß
das auch was für Dich wäre.

Sehr sehr cool! Habe das Tool heute auf dem Musternotebook installiert und bin (FAST!) begeistert.
Man kann wunderbar einschränken und ausblenden etc. Perfekt!
Schade dass die Windows Disk Protection a) nur auf ALLE User anwendbar ist und b) nicht per Kopfdruck wiederhergesteltl werden kann, sondern nur nach Reboot oder festem Zeitintervall.

Aber das krieg ich schon irgendwie hin. Erstmal vielen Dank für diesen super Tip!