69313
Dec 12, 2008, updated at Dec 17, 2008 (UTC)
12144
3
0
Zuweisen von Benutzerrechten
Auf einem Büro PC mit Internetzugang sollen die Mitarbeiter alle installierten Programme wie z.B. Word, Excel, Outlook, Internet usw. nutzen können, dürfen aber keine Downloads oder andere Programme auf der Festplatte ablegen und installieren. Der Rechner besitzt eine Festplatte mit drei Partitionen, Betriebssystem ist XP Prof. SP3.
Downloads sollen sie aber auf einem USB- Stick speichern können. Ich wollte ihnen zunächst die Schreibrechte auf den Partitionen entziehen aber dann können sie ja auch kein Word- Dokument mehr auf der Festplatte speichern.
Das (Mein) Problem ist: Eine Word- oder Excel- Datei dürfen sie auf der Platte ablegen und speichern, Downloads und andere Programme sollen sie nicht ablegen und installieren können.
Wie kann ich dies am besten einrichten bzw. konfigurieren ? Geht das mit Betriebssystemmitteln oder benötige ich zusätzliche Tools wie z.B. Windows Steady State.
Schönen Dank für jeden Hinweis .. Gruß .. Godewind
Downloads sollen sie aber auf einem USB- Stick speichern können. Ich wollte ihnen zunächst die Schreibrechte auf den Partitionen entziehen aber dann können sie ja auch kein Word- Dokument mehr auf der Festplatte speichern.
Das (Mein) Problem ist: Eine Word- oder Excel- Datei dürfen sie auf der Platte ablegen und speichern, Downloads und andere Programme sollen sie nicht ablegen und installieren können.
Wie kann ich dies am besten einrichten bzw. konfigurieren ? Geht das mit Betriebssystemmitteln oder benötige ich zusätzliche Tools wie z.B. Windows Steady State.
Schönen Dank für jeden Hinweis .. Gruß .. Godewind
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103920
Url: https://administrator.de/contentid/103920
Printed on: April 19, 2024 at 16:04 o'clock
3 Comments
Latest comment
Moin Moin
Das installieren von Programmen verhinderst, du indem du deinen Anwendern keine Lokalen Administratoren rechte gewährst.
Das lokale Speichern von Dateien kannst du verhindern indem Du den per GPO entweder den Zugriff verhinderst oder die Laufwerke ausblendest.
Gruß L.
dürfen aber keine Downloads oder andere Programme auf der Festplatte ablegen und installieren.
Damit ist die lokale Platte des Clients gemeint, nicht wahr.Das installieren von Programmen verhinderst, du indem du deinen Anwendern keine Lokalen Administratoren rechte gewährst.
Das lokale Speichern von Dateien kannst du verhindern indem Du den per GPO entweder den Zugriff verhinderst oder die Laufwerke ausblendest.
Gruß L.
RE. Benutzerrechte
Danke Logan, mit deinem Tipp habe ich das Problem z.T. lösen können. In der Tat können Benutzer mit eingeschränktem Konto viele Programme nicht mehr installieren. Schwieriger war da schon das ausblenden oder sperren verschiedener Laufwerke und Partitionen für einzelne User. Mit dem Gruppenrichtlinien Editor ist mir das nicht gelungen, denn die Optionen:
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden (NoDrives).
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen (NoViewOnDrive).
unter Benutzerkonfiguration/Administrative Vorlagen gelten immer für alle Nutzer des Rechners (auch für den Administrator). Ferner kann man hier den Zugriff nur auf bestimmte vorgegebene Laufwerke einschränken.
Auch der Beitrag von Nils: „Laufwerke ausblenden für bestimmte Benutzer - die besten Methoden“ half hier nicht weiter da ich mir ja selbst den Zugriff auf die Registry.pol entzogen habe.
Zitat: .. beende die Gruppenrichtlinien, die Registry wird aktualisiert. Nun der Trick: Lösche die Datei c:\windows\system32\GroupPolicy\User\Registry.pol und zwar bevor du dich abmeldest. Somit sind die Änderungen nur bei diesem User aktiv. Wenn du die Datei nicht löscht, gilt sie für alle User.
Ich habe das Problem jetzt wie folgt gelöst. Z.B. für Benutzer Müller die Partitionen C: D: E: sperren. Ich gebe Müller vorübergehend Admin- Rechte und melde mich neu an. Mit dem Registry-Editor unter
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
einen neuen Wert mit dem Namen NoViewOnDrive als Datentyp REG_DWORD erstellen und (Dezimal) Wert 28 zuweisen (C=4 + D=8 + E=16 ergibt 28).
Abmelden und unter einem Admin- Konto neu anmelden, jetzt dem User Müller die Admin- Rechte wieder entziehen. Diese Konfiguration gilt NUR für den Benutzer Müller, er kann trotz Rechteentzug weiterhin z.B. Word-Dokumente unter Eigene Dateien abspeichern.
Mit den Werten der u.a. Tabelle kann man jede beliebige Laufwerkskombination für einzelne Nutzer ausblenden oder sperren.
Hier die Werte der einzelnen Laufwerks- Buchstaben von :
http://www.gruppenrichtlinien.de/index.html?/HowTo/Laufwerke_ausblenden ...
A=1 B=2 C=4 D=8 E=16 F=32 G=64 H=128 I=256 J=512
K=1024 L=2048 M=4096 N=8192 O=16384 P=32768 Q= 65536
R=131072 S=262144 T=524288 U=1048576 V=2097152 W=4194304
X= 8388608 Y=16777216 Z= 33554432 Alle=67108863
Gruß .. Godewind
Danke Logan, mit deinem Tipp habe ich das Problem z.T. lösen können. In der Tat können Benutzer mit eingeschränktem Konto viele Programme nicht mehr installieren. Schwieriger war da schon das ausblenden oder sperren verschiedener Laufwerke und Partitionen für einzelne User. Mit dem Gruppenrichtlinien Editor ist mir das nicht gelungen, denn die Optionen:
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden (NoDrives).
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen (NoViewOnDrive).
unter Benutzerkonfiguration/Administrative Vorlagen gelten immer für alle Nutzer des Rechners (auch für den Administrator). Ferner kann man hier den Zugriff nur auf bestimmte vorgegebene Laufwerke einschränken.
Auch der Beitrag von Nils: „Laufwerke ausblenden für bestimmte Benutzer - die besten Methoden“ half hier nicht weiter da ich mir ja selbst den Zugriff auf die Registry.pol entzogen habe.
Zitat: .. beende die Gruppenrichtlinien, die Registry wird aktualisiert. Nun der Trick: Lösche die Datei c:\windows\system32\GroupPolicy\User\Registry.pol und zwar bevor du dich abmeldest. Somit sind die Änderungen nur bei diesem User aktiv. Wenn du die Datei nicht löscht, gilt sie für alle User.
Ich habe das Problem jetzt wie folgt gelöst. Z.B. für Benutzer Müller die Partitionen C: D: E: sperren. Ich gebe Müller vorübergehend Admin- Rechte und melde mich neu an. Mit dem Registry-Editor unter
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
einen neuen Wert mit dem Namen NoViewOnDrive als Datentyp REG_DWORD erstellen und (Dezimal) Wert 28 zuweisen (C=4 + D=8 + E=16 ergibt 28).
Abmelden und unter einem Admin- Konto neu anmelden, jetzt dem User Müller die Admin- Rechte wieder entziehen. Diese Konfiguration gilt NUR für den Benutzer Müller, er kann trotz Rechteentzug weiterhin z.B. Word-Dokumente unter Eigene Dateien abspeichern.
Mit den Werten der u.a. Tabelle kann man jede beliebige Laufwerkskombination für einzelne Nutzer ausblenden oder sperren.
Hier die Werte der einzelnen Laufwerks- Buchstaben von :
http://www.gruppenrichtlinien.de/index.html?/HowTo/Laufwerke_ausblenden ...
A=1 B=2 C=4 D=8 E=16 F=32 G=64 H=128 I=256 J=512
K=1024 L=2048 M=4096 N=8192 O=16384 P=32768 Q= 65536
R=131072 S=262144 T=524288 U=1048576 V=2097152 W=4194304
X= 8388608 Y=16777216 Z= 33554432 Alle=67108863
Gruß .. Godewind
Moin Moin
Freut mich das ich dir helfen konnte.
Solange man keine Domäne mit AD hat: Ja.
Sonst könnte (solte) man natürlich gewisse Einstellungen nicht auf Admins anwenden.
Die Möglichkeiten in einer Arbeitsgruppe deine Anforderungen zu realisieren sind da mit "Bordmitteln" natürlich sehr eingeschränkt bzw. oft Bastelkram.
Deswegen soltest Du (je nach Anzahl Mitarbeiter/PC) den Einsatz Windows Servers 2003/8 (evtl. SBS) in Betracht ziehen.
Sei doch bitte so gut und setze den Beitrag auf erledigt.
Danke
Gruß L.
Freut mich das ich dir helfen konnte.
unter Benutzerkonfiguration/Administrative Vorlagen gelten immer für alle Nutzer des Rechners (auch für den Administrator).
Solange man keine Domäne mit AD hat: Ja.
Sonst könnte (solte) man natürlich gewisse Einstellungen nicht auf Admins anwenden.
Die Möglichkeiten in einer Arbeitsgruppe deine Anforderungen zu realisieren sind da mit "Bordmitteln" natürlich sehr eingeschränkt bzw. oft Bastelkram.
Deswegen soltest Du (je nach Anzahl Mitarbeiter/PC) den Einsatz Windows Servers 2003/8 (evtl. SBS) in Betracht ziehen.
Sei doch bitte so gut und setze den Beitrag auf erledigt.
Danke
Gruß L.
