10
Windows 7 Clientrechner - System härten für Standardbenutzer, Ersatz für Steady-State
Hallo.
Drei Rechner in unserem Jugendzentrum, die derzeit mit Vista laufen (Workgroup, keine Domäne), sollen mit Windows 7 Professional x64 SP1 neu aufgesetzt werden.
Da die Jugendlichen, die an den Rechnern was tun, mitunter recht firm und raffiniert sind, hatte der der Jugendzentrumsleiter unter Vista das Microsoft-Tool "Steady-State" eingesetzt, damit Änderungen nach dem nächsten Systemstart wieder rückgängig sind.
Problem:
Steady-State läuft nicht mehr unter Windows 7.
Ich habe dem Jugendzentrumsleiter erklärt, daß ein lokaler Standardnutzer eigentlich keine ausreichenden Rechte hat, um das System zu beschädigen oder zu sehr zu versaubeuteln. Der Mann hat mir aus mehreren Gründen widersprochen. Es geht wohl um Software, zu deren Setup keine Admin-Rechte nötig sind, weil sie sich ins Userprofil installiert, und desweiteren, weil die Jugendlichen mit sehr viel Eifer versuchen, in Systemsteuerung, Registry und anderswo was rumzufummeln.
Eine Google-Suche nach Alternativen zu Steady-State, die unter Windows 7 laufen, hat so einiges ausgespuckt.
Trotzdem die Bitte und Frage:
Kann mir jemand aus eigener Erfahrung etwas hierzu empfehlen, was gut funktioniert?
Ich persönlich würde anders vorgehen, ich würde versuchen, die kritischen Bereiche wie Systemsteuerung, Aufruf der Registry u. w. m. per lokaler GPO auszublenden. das löst aber nicht das Problem mit Software, die mit einfachen Userrechten installiert werden kann. Außerdem ist mir entfallen, wie man verhindert, daß lokale GPOs auch auf den lokalen Admin wirken (ich wußte das mal, hab's aber leider vergessen).
Noch etwas:
Gibt es unter Windows 7 noch die sog. "Mandatory Profiles", und, falls ja, könnten die eine Lösung sein?
Viele Grüße
von
departure69
Drei Rechner in unserem Jugendzentrum, die derzeit mit Vista laufen (Workgroup, keine Domäne), sollen mit Windows 7 Professional x64 SP1 neu aufgesetzt werden.
Da die Jugendlichen, die an den Rechnern was tun, mitunter recht firm und raffiniert sind, hatte der der Jugendzentrumsleiter unter Vista das Microsoft-Tool "Steady-State" eingesetzt, damit Änderungen nach dem nächsten Systemstart wieder rückgängig sind.
Problem:
Steady-State läuft nicht mehr unter Windows 7.
Ich habe dem Jugendzentrumsleiter erklärt, daß ein lokaler Standardnutzer eigentlich keine ausreichenden Rechte hat, um das System zu beschädigen oder zu sehr zu versaubeuteln. Der Mann hat mir aus mehreren Gründen widersprochen. Es geht wohl um Software, zu deren Setup keine Admin-Rechte nötig sind, weil sie sich ins Userprofil installiert, und desweiteren, weil die Jugendlichen mit sehr viel Eifer versuchen, in Systemsteuerung, Registry und anderswo was rumzufummeln.
Eine Google-Suche nach Alternativen zu Steady-State, die unter Windows 7 laufen, hat so einiges ausgespuckt.
Trotzdem die Bitte und Frage:
Kann mir jemand aus eigener Erfahrung etwas hierzu empfehlen, was gut funktioniert?
Ich persönlich würde anders vorgehen, ich würde versuchen, die kritischen Bereiche wie Systemsteuerung, Aufruf der Registry u. w. m. per lokaler GPO auszublenden. das löst aber nicht das Problem mit Software, die mit einfachen Userrechten installiert werden kann. Außerdem ist mir entfallen, wie man verhindert, daß lokale GPOs auch auf den lokalen Admin wirken (ich wußte das mal, hab's aber leider vergessen).
Noch etwas:
Gibt es unter Windows 7 noch die sog. "Mandatory Profiles", und, falls ja, könnten die eine Lösung sein?
Viele Grüße
von
departure69
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274780
Url: https://administrator.de/contentid/274780
Printed on: April 20, 2024 at 13:04 o'clock
10 Comments
Latest comment
Guten Morgen!
Welcher Virenschutz/InternetSecurity/Firewall ist im Einsatz? - Das lässt sich auch einiges einstellen
Gruß
Eisbein
Welcher Virenschutz/InternetSecurity/Firewall ist im Einsatz? - Das lässt sich auch einiges einstellen
Gruß
Eisbein
Zitat von @eisbein:
Guten Morgen!
Welcher Firenschutz/InternetSecurity/Firewall ist im Einsatz? - Das lässt sich auch einiges einstellen
Guten Morgen!
Welcher Firenschutz/InternetSecurity/Firewall ist im Einsatz? - Das lässt sich auch einiges einstellen
He he, sehr gute Frage.
Die Internetverbindung kommt aus der Sicherheitsappliance unserer Schule nebenan (Schulrouter +), da ist Contentfilter und für Schulbetrieb passende Firewalleinstellungen schon drin. Lokaler Virenschutz sind die MSE.
Um die externe Verbindung mache ich mir keine Sorgen, es geht wirklich darum, was der lokale Standarduser mit seinen ansich eingeschränkten Rechten trotzdem alles noch so "anstellen" kann - die Rechner sollen halt irgendwie "sauber" bleiben.
Gruß
Eisbein
Eisbein
Viele Grüße
von
deaprture69
Hallo!
Als Standarduser sollte er nichts anrichten können.
Man kann aber um sicher zu gehen, einzelnen Ordnern (zb. Programme, etc.) spezielle Rechte geben und entziehen. Dann kann der Standarduser nur mehr das machen was ich erlaube. (zb. nur lesen und ausführen aber nicht schreiben).
GPO ist aber sicherlich die elegantere Lösung
Gruß
Eisbein
Um die externe Verbindung mache ich mir keine Sorgen, es geht wirklich darum, was der lokale Standarduser mit seinen ansich eingeschränkten Rechten trotzdem alles noch so "anstellen" kann - die Rechner sollen halt irgendwie "sauber" bleiben.
Als Standarduser sollte er nichts anrichten können.
Man kann aber um sicher zu gehen, einzelnen Ordnern (zb. Programme, etc.) spezielle Rechte geben und entziehen. Dann kann der Standarduser nur mehr das machen was ich erlaube. (zb. nur lesen und ausführen aber nicht schreiben).
GPO ist aber sicherlich die elegantere Lösung
Gruß
Eisbein
Hallo.
> Um die externe Verbindung mache ich mir keine Sorgen, es geht wirklich darum, was der lokale Standarduser mit seinen ansich
eingeschränkten Rechten trotzdem alles noch so "anstellen" kann - die Rechner sollen halt irgendwie
"sauber" bleiben.
Als Standarduser sollte er nichts anrichten können.
Sehe ich eigentlich auch so, ich muß aber die Bedenken des Jugendzentrumsleiters berücksichtigen (sh. Ursprungsfrage).
Man kann aber um sicher zu gehen, einzelnen Ordnern (zb. Programme, etc.) spezielle Rechte geben und entziehen. Dann kann der
Standarduser nur mehr das machen was ich erlaube. (zb. nur lesen und ausführen aber nicht schreiben).
Standarduser nur mehr das machen was ich erlaube. (zb. nur lesen und ausführen aber nicht schreiben).
Richtig, doch das hilft bspw. nicht im Userprofil. Und das kann ich nicht einschränken, sonst läuft der Account nicht mehr.
Ich suche eigentlich nach:
- Steady-State-Alternative, mit der schon jemand Erfahrungen hat
oder
- Lösung per lokaler GPO (wenn zu klären ist, wie man verhindert, daß diese dann auch auf den lokalen Admin wirkt)
oder
- evtl. Mandatory-Profiles (ich weiß daß es die mal gab, hab' die aber nie benutzt und deswegen keine Erfahrungen damit)
Gruß
Eisbein
Grüße
von
departure69
Ersatz für Microsoft Steady State gesucht
Gruß jodel32
p.s. es gibt Software-Restriction Policies mit denen du nur bestimmte Software zur Ausführung freigeben kannst !
Stichwort Applocker
Gruß jodel32
p.s. es gibt Software-Restriction Policies mit denen du nur bestimmte Software zur Ausführung freigeben kannst !
Stichwort Applocker
Zusatz zu Jodel:
Und verschlüssel die Karre, sonst kannst Du sämtliche Maßnahmen vergessen.
Lösung per lokaler GPO (wenn zu klären ist, wie man verhindert, daß diese dann auch auf den lokalen Admin wirkt)
->MLGPOs, siehe https://technet.microsoft.com/en-us/library/cc766291%28v=ws.10%29.aspx? machen genau das.Und verschlüssel die Karre, sonst kannst Du sämtliche Maßnahmen vergessen.
Hallo departure69,
ich habe an Schulen und Jugendheimen gute Erfahrungen mit der PC Wächter Software gemacht: http://www.dr-kaiser.de/ Nach einem Neustart ist das System wieder "jungfräulich", egal was die Jugendlichen verändert haben.
Gruß Sven
ich habe an Schulen und Jugendheimen gute Erfahrungen mit der PC Wächter Software gemacht: http://www.dr-kaiser.de/ Nach einem Neustart ist das System wieder "jungfräulich", egal was die Jugendlichen verändert haben.
Gruß Sven
Zitat von @114757:
p.s. es gibt Software-Restriction Policies mit denen du nur bestimmte Software zur Ausführung freigeben kannst !
Stichwort Applocker
p.s. es gibt Software-Restriction Policies mit denen du nur bestimmte Software zur Ausführung freigeben kannst !
Stichwort Applocker
Applocker ist leider nicht möglich, dazu bräuchte ich Win 7 Enterprise oder Ultimate, habe aber nur Win 7 Pro.
Ich teste aber gerade http://www.toolwiz.com/products/toolwiz-time-freeze/, gebe dann nochmal ein Feedback.
Viele Grüße
von
departure69
Zitat von @Sveny79:
ich habe an Schulen und Jugendheimen gute Erfahrungen mit der PC Wächter Software gemacht: http://www.dr-kaiser.de/
ich habe an Schulen und Jugendheimen gute Erfahrungen mit der PC Wächter Software gemacht: http://www.dr-kaiser.de/
Moin, das kann ich nur bestätigen. Sowohl die Software als auch die alternativen Hardwarekarten funktionieren wunderbar und lassen sich auch mit mehreren hundert Rechnern gut verwalten. Für Bildungseinrichtungen gibt es da noch Zusatztools um Bildschirm und Internet zu sperren/freigeben, und mit der zentralen Verwaltung lassen sich per Mausklick Gruppen von Rechnern (meist PC-Räume) hochfahren, Schutz ausschalten, dann z.B. neue Software installieren und hinterher den Schutz zentral wieder einzuschalten. Bei drei Rechnern kostet dass dann 3x49€ für die aktuelle Version, aus meiner Sicht sind die gut investiert ;)
Auch wenn man alles soweit es geht beschränkt, ist es entweder zu viel (dann geht "mal schnell die Software von CD ausprobieren" nicht), kreative Jugendliche finden aber trotzdem immer einen Weg (und sei es das Verstellen per Hilfsprogrammmanager, so dass dann plötzlich alles in invertierten Farben ist und vorgelesen wird); die Bedenken des Leiters kann ich daher durchaus teilen.
Viele Grüße
eagle2
Sodele.
Der Test von Toolwiz Timefreeze wurde erfolgreich beendet.
Genial: Das Programm ist komplett Freeware, auch im kommerziellen Einsatz.
Alle Änderungen sind beim nächsten Neustart wieder weg, genau das, was auch Steady-State tat.
Muß der Admin mal was ändern (Hard- oder Softwareinst. Windows-Update usw.), kann er Timefreeze stoppen, nach einem Reboot können Änderungen vorgenommen werden (die dann auch erhalten bleiben), dann Timefreeze wieder einschalten, erneuter Reboot und Timefreeze ist wieder aktiv.
Höchstsimpel und -wirksam, genau das, was zu meinem Anliegen passt.
Nochmals Danke für alle Beiträge.
Viele Grüße
von
departure69
Der Test von Toolwiz Timefreeze wurde erfolgreich beendet.
Genial: Das Programm ist komplett Freeware, auch im kommerziellen Einsatz.
Alle Änderungen sind beim nächsten Neustart wieder weg, genau das, was auch Steady-State tat.
Muß der Admin mal was ändern (Hard- oder Softwareinst. Windows-Update usw.), kann er Timefreeze stoppen, nach einem Reboot können Änderungen vorgenommen werden (die dann auch erhalten bleiben), dann Timefreeze wieder einschalten, erneuter Reboot und Timefreeze ist wieder aktiv.
Höchstsimpel und -wirksam, genau das, was zu meinem Anliegen passt.
Nochmals Danke für alle Beiträge.
Viele Grüße
von
departure69
