Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konzentrierte Arbeitsumgebung fest vorgeben

Frage Microsoft Windows Userverwaltung

Mitglied: Lateiner

Lateiner (Level 1) - Jetzt verbinden

20.02.2010, aktualisiert 21.02.2010, 3567 Aufrufe, 10 Kommentare

Hallo!
Ich bin der Lateiner. Ich bin ein Administrator eines kleinen Betriebs und habe ein kleines Problem. Mehr im eigentlichen Beitrag.

Mein Problem ist:
Ich habe an einem Computer (Windows XP Professional SP 2) eine Anwendung installiert, der ausschließlich Aufmerksamkeit geschenkt werden sollte.
Leider kann ich nicht selber an diesem Platz arbeiten, sonst würde ich diese Aufgabe selber wahrnehmen.
Ich habe meinen Mitarbeitern immer vertraut, doch statt ihrer Aufgabe nachzukommen, haben die Mitarbeiter zuerst die Systemspiele bemüht, anstatt ihrer Aufgabe nachzukommen. Nachdem ich diese deaktiviert habe, brachten sie Spiele mit externen Datenträgern mit, inzwischen schnüffeln die aus Langeweile auch schon im Dateisystem rum. Es ist also langsam Zeit, härter durchzugreifen. Ich habe schon mit einem Keylogger geblufft - Einfach mit Visual Basic ein Fenster mit einer typischen "Keylogger-Oberfläche" erstellt und es meinen Mitarbeitern gezeigt. Danach habe ich sie eine Einverständniserklärung unterzeichnen lassen - juristisch ist das einwandfrei.
Doch es hörte nicht auf - ich habe schon wieder meine Mitarbeiter beim Spielen und herumsuchen erwischt. Auch habe ich schriftlich USB-Datenträger verboten - da ich die Ports auch regelmäßig brauche, kann ich sie nicht sperren.
Jetzt meine Vorstellung:
Ich hätte gerne eine sichere (also auch mit großen technischen Sachverstand nicht in vertretbarer Zeit zu überlisten) Lösung, ähnlich dem Kiosk-System von IKEA, die die 5 Tasks eines Programms zulässt, aber den Desktop und alle anderen Programme sperrt. Eine Entsperrung soll eintweder durch ein Passwort oder durch eine USB-Stick-Lösung geschehen.
Was die Sache erschwert: Mein Programm erfordert Administratorrechte, was ein Aushebeln der Lösung vereinfacht.

Freeware wäre optimal, aber auch eine Boxed-Lösung, die in der Nähe von Frankfurt verkauft wird, würde mir sehr weiterhelfen.


Dankeschön im Voraus für Eure Hilfe!


Lateiner
Mitglied: Mad-Eye
20.02.2010 um 19:21 Uhr
Falls du wirklich so Probleme mit dem Personal hast könntest du dir mal Citrix anschauen falls deine Anwendung darauf läuft könnte man die leute mit der Anwendung als "Published App" versorgen und das wäre auch das einzige Fenster was da ist also nichts zum schnüffeln/machen/tun.

Oder du erstellst ein AD Konto und sperrst dem Nutzer wirklich alles was er nicht braucht/darf per GPO.

Gruß
Mad-Eye
Bitte warten ..
Mitglied: 60730
20.02.2010 um 19:56 Uhr
Moin,

schau mal unter (meinen) Links - da findest du USB Secure
Als Alternative Shell das gewünschte / besagte zu nutzende Programm eintragen oder sich ein Ministartmenü aus NU3Menü bauen.

PS: Programme, die Administrationsrechte brauchen gibt es nicht, die User brauchen max. Schreibrechte im Programmordner oder in einem Teil der Registry.
Das ist zwar etwas "fummeliger" herauzufinden, aber immer noch sicherer, als Adminrechte.

Gruß
Bitte warten ..
Mitglied: maretz
20.02.2010 um 20:20 Uhr
Moin,

erstmal ist auch mit einer einverständiserklärung ein Keylogger ganz sicher nicht einwandfrei. Es gibt auch - zum Glück - sowas wie nen Arbeitnehmerschutz und nem Datenschutz. Und wenn ich Leute wie dich hier lese dann kann ich dem Gesetzgeber dafür auch nur danken!

Ich würde dir vorschlagen das du dir einen RICHTIGEN Admin ins Haus holst (z.B.von ner EDV-Firma den Support mit einkaufst) und dir von diesem einen Rat einholst wie man sowas machen kann. Es geht relativ problemlos (Thin Clients,...) - aber sollte von einer Fachperson eingerichtet werden. Weiterhin kann dir diese Person auch sagen wie du sowas mit Spielen verhindern kannst OHNE gleich mit ner Kanone auf Spazen zu schiessen...
Bitte warten ..
Mitglied: Lateiner
20.02.2010 um 20:32 Uhr
Hallo!
Dieses Programm hat auch keinen Installer - das greift wirklich sehr tief ins System ein. Es greift auf den Windows-Ordner, die Registry und alle anderen möglichen Ordner zu. Ich trau' mich auch nicht, da irgendwas zu machen - wenn man ohne Passwort eh nicht aufs eigentliche System zugreifen kann, dann, so finde ich, ist das System relativ sicher.
Hab' auch was gefunden: SiteKiosk. Da kann man außer Surfen auch noch Programme verwalten kann, wär so was in der Richtung was. Ich finde nur, dass 150€ etwas happig sind.
Gibt's da eine gute (zuverlässige) Lösung, wesentlich günstiger (Schmerzgrenze 50€)?

Dankeschön,
Lateiner
Bitte warten ..
Mitglied: Arch-Stanton
20.02.2010 um 21:01 Uhr
>Ich bin ein Administrator eines kleinen Betriebs und ein kleines Problem...

na eben.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Lateiner
21.02.2010 um 09:21 Uhr
So ein Schreibfehler kann jedem mal passieren. Das ist aber nicht weiter wichtig und hilft mir auch nicht weiter

Lateiner
Bitte warten ..
Mitglied: Lateiner
21.02.2010 um 09:30 Uhr
Was meinst Du denn, was ich schon gemacht habe? Ich werde doch schon von einer "Admin-Service"-Firma (SEHR teuerer technischer Support... 300 € im Monat) betreut. Die haben auch was geproggt. Das habe ich aber in _sehr_ kurzer Zeit "manipulativ öffnen" können - was heißt, Vollzugriff auf die Administration erlangen - am Passwort lag's nicht. Ein einfaches Alt+F4 hat ausgereicht. Auch die, die sich als professionelle Admins ausgeben, können auch nicht richtig proggen...
Deshalb will ich mich ja auch an die richtigen Profis wenden, ob die mir helfen können. Mit einer Empfehlung bezüglich der Kiosk-Systeme, zum Beispiel. Thin Client ist nicht möglihc, da der Rechner an seine Hardware gebunden ist und additionell auch noch ein Server in einem kleinen, sehr fragil errichteten Netzwerk ist. Außerdem ist ein Thin Client eine Dicke Berta im Gegensatz zu einem Kiosk-System, da das Netzwerk drei (!) Arbeitsplätze hat.
Da ich nur spezifische Software verwendenen darf, ist ein Thin Client entweder nicht möglich oder kostet mitdestens 3000 Euro, der Server schlug schon mit 12.000 zur Buche. Ekelhafter Systembetreuer...

Das mit dem Keylogger lass mal meine Sorge sein, der Vertrag ist von einem Fachanwalt Arbeits- und Medienrecht verfasst und entsprechend kompliziert und einwandrei...

Lateiner
Bitte warten ..
Mitglied: maretz
21.02.2010 um 09:47 Uhr
Moin,

stimmt. Ekelhafte Systembetreuer die einen ein vernünftiges System verkaufen wollen...

Ich würde dir empfehlen das du dir das Rechtesystem von Windows genau anguckst. Entweder du baust dir da auch nur so ne halb-frickel-Lösung die jeder umgehen kann oder du musst halt Geld in die Hand nehmen um das Ordentlich zu machen...

Zum Keylogger: Sorry, ich habe einfach etwas gegen Leute die meinen nur weil sie admins sind das die alles dürfen. Und ein Keylogger greift m.E. einfach zuweit in das System ein - aber da du von dieser Möglichkeit scheinbar gebrauch machen möchtest kann ich dir auch nicht weiter helfen. Selbst wenn es nämlich gesetzlich erlaubt sein soll (was ich nicht glaube - auch wenn das hoch-tolle Fachanwälte angeblich gemacht haben) dann gibt es auch dinge die trotzdem nicht sein müssen... Das hat aber was mit persönlichem Anstand zu tun das ich die Mitarbeiter nicht vollständig überwache...
Bitte warten ..
Mitglied: Lateiner
21.02.2010 um 10:27 Uhr
Du hast anscheinend meine Aussage nicht ganz verstanden.
Ich habe GEBLUFFT, um meine lieben Mitarbeiterlein vom Spielen abzuhalten! Ein Keylogger war NIE installiert, was ich auch nicht machen würde, da die Teile, wie Du schon gesagt hast, viel zu tief ins System eingreifen.
Ich hab meinen Mitarbeitern auch schon ERZÄHLT, dass das Programm, was gar nicht installiert ist, ALLES mitprotokolliert. Hat die auch nicht weiter gestört. Da ist es doch verständlich, dass mir langsam der Geduldsfaden reißt und ich was wie SiteKiosk installieren will

>stimmt. Ekelhafte Systembetreuer die einen ein vernünftiges System verkaufen wollen...
Mal hierzu.
Mein Systembetreuer verlangt 300 Euro im Monat für gepflegtes Nichtstun. Die Software habe ich für ung. 12000 Euro gekauft und ein technischer Support ist leider zwingend erforderlich, da sich die Software alles Quartal sperrt und keinen muck mehr tut, bis dieser Systembetreuer wieder antanzt und den Entsperrungskey eingibt.

Wie gesagt, das Rechtesystem bringt mich nich weiter, da der Benutzer als Admin angemeldet sein muss. Da ist bekanntlich der Weg zur Benutzerverwaltung so offen wie ein Scheunentor.

Ich möchte nicht, dass das jetzt zu einem persönlich verletzenden Streitfall zwischen uns beiden wird, da das nur vom eigentlichen Thema ablenkt und auch nix bringt!


Lateiner
Bitte warten ..
Mitglied: maretz
21.02.2010 um 10:51 Uhr
Moin,

erste Frage: Warum muss der Benutzer als Admin angemeldet sein? Kann man nicht ggf. versuchen diese SW als Admin zu starten bzw. hier zu prüfen ob die Admin-Rechte nicht auch weggelassen werden können? (Das eine mal alle 3 Monate kann sich ja der Admin anmelden und die SW entsperren).

Was du sonst machen kannst: Du kannst dir nen Proxy-Server (meine Empfehlung Squid/SquidGuard) aufbauen und hier mit einer Whitelist arbeiten. Schon kann man zumindest im Internet nicht mehr unbegrenzt surfen - sondern nur auf den Seiten die der Admin vorgegeben hat.

Beim Email-Verkehr kannst du nen Gateway vorschalten welches automatisch alle Anhänge (exe, ...) löscht. Falls nötig dann noch die Regel einfügen das Anhänge generell nur an eine Adresse möglich sind.

Lokal kannst du natürlich die Spiele löschen.

Ich denke mit den Schritten bekommst du schon ne menge raus. Dazu noch eine EDV-VE die den Betrieb von privaten USB-Sticks verbietet (und bei sowenig Leuten ist das ja recht gut zu überblicken).

Ganz wichtig dabei - zumindest m.M. nach: Natürlich ist es verständlich das jemanden auch mal der Geduldsfaden reisst. Dann sollte man aber nicht irgendwelche Drohungen aussprechen und/oder sonstwie überzogen reagieren sondern das ganze Sachlich klären. Denn nen Mitarbeiter der meint überwacht zu werden wird automatisch die Leistung reduzieren weil die Arbeit keinen Spass mehr bringt und man sich immer beobachtet fühlt. Schon hast du irgendwann den Effekt das die zwar am Rechner keinen Unsinn mehr machen - dafür aber die Kaffeepause 20 min pro Std. dauert. Und du kannst schlecht rausfinden ob jemand am PC grad sitzt und träumt - oder ob der/die da grad sitzt und über ein Problem nachdenkt.

Ein Argument was bei uns sehr gut geholfen hat: Das wir diese Ansprache genau einmal halten - und sonst eben nötigenfalls die Konsequenzen ziehen müssen. ABER: Jedem Kollegen muss klar sein das seine Arbeit erledigt werden muss. Wenn also Kollege a immer im Web surft, Spielt,... dann müssen die anderen Kollegen dessen Arbeit mit erledigen. Und jedem muss klar sein das die Firma die Gehälter nur dann zahlen kann wenn auch Einnahmen da sind - sind also alle Kollegen nur am Spielen dann müssen die sich darüber klar sein das auch deren eigene Jobs in Gefahr sind. Und ganz ehrlich: Wenn das dann immernoch nicht hilft würde ich die Leute ohne schlechtes Gewissen feuern und neue einstellen. Denn dann haben die ihren Job nicht verstanden - und dafür würde ich nicht zahlen wollen... Es kommt sicher mal vor das jemand nen Tag unkonzentriert ist und hier dann auch nix zustande bringt. Das hat jeder mal - und dann ist halt nen Tag lang surfen auch mal ok. ABER: Das ist eben die Ausnahme - und nicht die Regel... Wenn das umgekehrt ist wird die Person erst zum Gespräch gebeten (falls da was vorgefallen ist was das erklärt kann man da auch drüber reden) und sonst eben direkt vor die Tür gesetzt...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...