Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

XP Prof SP3, Kindersicherung mit Bordmitteln

Frage Microsoft Windows Userverwaltung

Mitglied: hellsmurf

hellsmurf (Level 1) - Jetzt verbinden

09.06.2009, aktualisiert 10.06.2009, 6966 Aufrufe, 3 Kommentare, 1 Danke

Hallo allerseits!

Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
  • ein Multi-User-OS das allein können muss
  • weil die Beschränkung auf möglichst niedriger Ebene passieren sollte (Umgehung bestmöglich verhindern)

Ausgangssituation:
  • Windows XP Prof. Sp3
  • drei Benutzerkonten:
    1. eingeschränkter Benutzer: zum Arbeiten
    2. eingeschränkter Benutzer: zum Spielen
    3. Admin: für die Verwaltung des Systems durch die Eltern
  • ein unbelehrbarer Teenager

Das funktioniert bisher:
  • NTFS-Zugriffsrechte: der Arbeits-Account darf nicht spielen und das Admin-Passwort ist dem Nutzer aus gutem Grund unbekannt
  • die Anmeldezeit wurde eingeschränkt:
    net user ... /times:So-Do,7-21;Fr-Sa,7-23
  • weil "net accounts /forcelogoff:..." nicht den naiv erwarteten Effekt zeigt, wurde das erzwungene Abmelden über einen vom Admin geplanten Task um 21 bzw. 23 Uhr realisiert:
    shutdown -l -f
  • PTB-Zeitsync und BIOS-Passwort zum Schutz der Systemzeit

Folgende Probleme sind noch offen:
  • spielen über "Ausführen als..." bzw. mit "RunAs" über die Kommandozeile
--> kann man das einem bestimmten User verbieten?
  • tägliches Zeitkontingent von 1 oder 2 Stunden für den Spiel-Account
    1. das Problem wurde hier schon mal ohne Lösung diskutiert
    2. es wäre sicher hilfreich, per Abmeldeskript die Sitzungsdauer abfragen zu können, damit das Zeitkonto sukzessive reduziert werden kann
    3. mit Sachen wie Ruhezustand, Standby und "tsdiscon" kann man geplante Abmeldebefehle umgehen
    4. jeder mit Nutzerrechten initiierte Zeitzähler kann auch mit Nutzerrechten manipuliert werden
    5. "runas /savecred /user:Administrator ..." ist eine gaaaanz schlechte Idee
    6. Anmeldeskripts, die im Hintergrund weiterlaufen, kann man abbrechen
    7. eine zeitverzögerte Abmeldung beherrscht XP scheinbar auch nicht
      REM Vorsicht mit diesem Befehl, unverhofft kommt oft... 
      shutdown -l -f -t 3600

Danke im Voraus für eure Ideen!
Mitglied: pxxsxx
10.06.2009 um 12:04 Uhr
Kindersicherung mit Windows-Bordmitteln - trauriger Witz.

Ich würde in meiner Naivität so vorgehen:

beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).

Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.

Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)

Gruß
Peter
Bitte warten ..
Mitglied: hellsmurf
11.06.2009 um 00:25 Uhr
Hallo Peter!

Zitat von pxxsxx:
Ich würde in meiner Naivität so vorgehen: ...
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Zitat von pxxsxx:
... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Okay, genau genommen, sollte ihm das Skript ja aufgezwungen werden. Das müsste, objektiv betrachtet, möglich sein - aber M$ hat hier anscheinend andere Ansichten.

Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".

Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie "015A45F78B5D6B8A76F7E6C897D" kommt immer gut :-P

Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.

MfG
Bitte warten ..
Mitglied: hellsmurf
12.06.2009 um 02:57 Uhr
Zitat von hellsmurf:
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
Ja, ich hab noch ne Idee...quick and dirty:
  • dem Arbeitsaccount den Zugriff auf "C:\Windows\system32\runas.exe" verbieten
  • den Kontextmenü-Eintrag "Ausführen als..." bei Executables für den Arbeitsaccount deaktivieren:
    1. [Windows]+[R] >>> "regedit"
    2. HKEY_CLASSES_ROOT\exefile\shell\runas >>> Rechtsklick >>> Berechtigungen >>> User hinzufügen und Zugriff sperren
    3. sofern existent, mit HKEY_CLASSES_ROOT\batfile\shell\runas und HKEY_CLASSES_ROOT\cmdfile\shell\runas genauso verfahren
Den Ansatz hab ich von hier.

Ich denke, damit steht das Konzept erstmal grundsätzlich. Ist zwar nicht "wasserdicht" aber doch zumindest "spitzwassergeschützt".
MfG
Bitte warten ..
Ähnliche Inhalte
Windows XP
Woher LIZENZ für Windows XP Prof SP3 auf Virtueller Maschine
gelöst Frage von mstrd308Windows XP17 Kommentare

Hallo, ich möchte eine VM Ware einrichten, auf der WIN XP installiert wird. Woher bekomme ich nun dafür nun ...

Debian
VMWare-Player mit Windows XP Prof SP3 auf einem Igel Thin Clien
gelöst Frage von zer0rezDebian10 Kommentare

Hallo, zu meinem Vorhaben: ich würde gerne Windows XP Prof SP3 (min. Installation) auf meinem IGEL-M300C UD3 Thin Client ...

Ubuntu
Kindersicherung Ubuntu 14.04 LTS
gelöst Frage von mike7050Ubuntu7 Kommentare

Hallo, ich bin Neuling mit Linux - ich bitte hiermit um Verständis ;-) Ich möchte einen Rechner mit sieben ...

Mac OS X
Kindersicherung und Zugriffsbeschränkung auf Programme funktioniert nicht
Frage von ShardasMac OS X1 Kommentar

Hallo liebe Mac User, diese integrierte Kindersicherung des OSX ist irgendwie eine ganz schöne Enttäuschung. Mehrere iMacs werden in ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 13 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 18 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 18 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...