Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

XP Prof SP3, Kindersicherung mit Bordmitteln

Frage Microsoft Windows Userverwaltung

Mitglied: hellsmurf

hellsmurf (Level 1) - Jetzt verbinden

09.06.2009, aktualisiert 10.06.2009, 6915 Aufrufe, 3 Kommentare, 1 Danke

Hallo allerseits!

Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
  • ein Multi-User-OS das allein können muss
  • weil die Beschränkung auf möglichst niedriger Ebene passieren sollte (Umgehung bestmöglich verhindern)

Ausgangssituation:
  • Windows XP Prof. Sp3
  • drei Benutzerkonten:
    1. eingeschränkter Benutzer: zum Arbeiten
    2. eingeschränkter Benutzer: zum Spielen
    3. Admin: für die Verwaltung des Systems durch die Eltern
  • ein unbelehrbarer Teenager

Das funktioniert bisher:
  • NTFS-Zugriffsrechte: der Arbeits-Account darf nicht spielen und das Admin-Passwort ist dem Nutzer aus gutem Grund unbekannt
  • die Anmeldezeit wurde eingeschränkt:
    net user ... /times:So-Do,7-21;Fr-Sa,7-23
  • weil "net accounts /forcelogoff:..." nicht den naiv erwarteten Effekt zeigt, wurde das erzwungene Abmelden über einen vom Admin geplanten Task um 21 bzw. 23 Uhr realisiert:
    shutdown -l -f
  • PTB-Zeitsync und BIOS-Passwort zum Schutz der Systemzeit

Folgende Probleme sind noch offen:
  • spielen über "Ausführen als..." bzw. mit "RunAs" über die Kommandozeile
--> kann man das einem bestimmten User verbieten?
  • tägliches Zeitkontingent von 1 oder 2 Stunden für den Spiel-Account
    1. das Problem wurde hier schon mal ohne Lösung diskutiert
    2. es wäre sicher hilfreich, per Abmeldeskript die Sitzungsdauer abfragen zu können, damit das Zeitkonto sukzessive reduziert werden kann
    3. mit Sachen wie Ruhezustand, Standby und "tsdiscon" kann man geplante Abmeldebefehle umgehen
    4. jeder mit Nutzerrechten initiierte Zeitzähler kann auch mit Nutzerrechten manipuliert werden
    5. "runas /savecred /user:Administrator ..." ist eine gaaaanz schlechte Idee
    6. Anmeldeskripts, die im Hintergrund weiterlaufen, kann man abbrechen
    7. eine zeitverzögerte Abmeldung beherrscht XP scheinbar auch nicht
      REM Vorsicht mit diesem Befehl, unverhofft kommt oft... 
      shutdown -l -f -t 3600

Danke im Voraus für eure Ideen!
Mitglied: pxxsxx
10.06.2009 um 12:04 Uhr
Kindersicherung mit Windows-Bordmitteln - trauriger Witz.

Ich würde in meiner Naivität so vorgehen:

beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).

Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.

Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)

Gruß
Peter
Bitte warten ..
Mitglied: hellsmurf
11.06.2009 um 00:25 Uhr
Hallo Peter!

Zitat von pxxsxx:
Ich würde in meiner Naivität so vorgehen: ...
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Zitat von pxxsxx:
... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Okay, genau genommen, sollte ihm das Skript ja aufgezwungen werden. Das müsste, objektiv betrachtet, möglich sein - aber M$ hat hier anscheinend andere Ansichten.

Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".

Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie "015A45F78B5D6B8A76F7E6C897D" kommt immer gut :-P

Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: hellsmurf
12.06.2009 um 02:57 Uhr
Zitat von hellsmurf:
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
Ja, ich hab noch ne Idee...quick and dirty:
  • dem Arbeitsaccount den Zugriff auf "C:\Windows\system32\runas.exe" verbieten
  • den Kontextmenü-Eintrag "Ausführen als..." bei Executables für den Arbeitsaccount deaktivieren:
    1. [Windows]+[R] >>> "regedit"
    2. HKEY_CLASSES_ROOT\exefile\shell\runas >>> Rechtsklick >>> Berechtigungen >>> User hinzufügen und Zugriff sperren
    3. sofern existent, mit HKEY_CLASSES_ROOT\batfile\shell\runas und HKEY_CLASSES_ROOT\cmdfile\shell\runas genauso verfahren
Den Ansatz hab ich von hier.

Ich denke, damit steht das Konzept erstmal grundsätzlich. Ist zwar nicht "wasserdicht" aber doch zumindest "spitzwassergeschützt".
Mit freundlichen Grüßen
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Windows Server
SQL Server 2008 R2 SP3 neue Instanz (10)

Frage von technikdealer zum Thema Windows Server ...

Exchange Server
gelöst SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat (8)

Frage von Ezekiel666 zum Thema Exchange Server ...

Hyper-V
gelöst Bestehende XP-Installation mit Hyper-V virtualisieren (30)

Frage von fox14ch zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...