admister
Goto Top

Als Admin für die User was einstellen

Ethernet - Windows XP mit Linux-Server

Hallo, @ all

Ich habe einen kleinen Schul-EDV-Raum zu managen (16 Plätze).
Es gibt 16 User-Namen (user01, user02, user03 usw.).
Diese haben alle eingeschränkte Rechte, damit man nicht täglich Pornobilder vom Desktop entfernen muß.
Ich selbst habe noch einen Master-Zugang, der wesentlich mehr Rechte hat. Außerdem ist das root-PW für den Linux-Server vorhanden.

Derzeit ist für die User das hochlangweilige Windows-Klassisch-Design aktiv.
Ich möchte es für alle User umstellen auf "Windows XP", weil das für Word 2003 drastisch mehr Farbe und Übersichtlichkeit bringt.

Aber als User erhält man die Meldung "Anzeige vom Admin deaktiviert".
Ein Registry-Eingriff als User scheitert ebenfalls mangels Schreibrechten.

Wenn ich das ganze als NetzwerkMaster oder lokaler Admin einstelle wirkt sich das nicht auf den User aus, weil es in ntuser.dat gespeichert wird.
Mittels komplizierter Manipulationen per ntuser.pol gelang mir zwar, das Design für einen User zu ändern. Aber es gelang danach nicht, den Veränderungsschutz wieder zu aktivieren.

Wer hat eine gute Lösung??

Content-ID: 111662

Url: https://administrator.de/forum/als-admin-fuer-die-user-was-einstellen-111662.html

Ausgedruckt am: 27.12.2024 um 19:12 Uhr

SarekHL
SarekHL 17.03.2009 um 15:48:04 Uhr
Goto Top
Habt Ihr Euch mal überlegt, auf einen Windows-Server umzusteigen? Für Schulen ist der gar nicht so teuer (etwa 280 Euro für Windows Server 2008 und die benötigten 16 Zugriffslizenzen). Dann könntest Du über die Gruppenrichtlinien sehr genau steuern, was die Schüler dürfen, wie ihr Desktop ausschaut und so weiter.

Und wegen der "Pornobilder" würde ich Euch dringend einen Internetfilter empfehlen. Der "Schulfliter Plus" von "Time for Kids" (www.time-for-kids.de) kostet im Jahr 145 Euro und filtert sehr zuverlässig. Es ist dabei aber speziell für die Bedürfnisse einer Schule konzipiert. Als Lehrer kann man zum Beispiel Lernboxen einrichten, mit denen man bestimmte Inhalte vorübergehend freigeben kann (z.B. die Seiten von extremistischen Parteien, wenn man dieses Thema gerade im Unterricht behandelt).
71856
71856 17.03.2009 um 16:50:03 Uhr
Goto Top
Wenn ich das richtig verstanden habe.. (??)
könntest Du das als lokaler Admin über "Gruppenrichtlinie" einstellen bzw wieder erlauben.

START > AUSFÜHERN > gpedit.msc
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anzeige

(Die Einstellungen stehen ja in der reg und werden somit in der ntuser.dat gespeichert)

Dann wie gewünscht ändern und wieder zurückstellen.

Wegen den "Porno" Bilder.. ich bezweifle das der "Schulfilter" in der hinsicht hilfreich ist..
Man muss ja nur mal nach Wallpaper suchen.. schon hat man wieder halbnackte auf dem Deskt.

ich habe es wie folgt unterbunden:
START > AUSFÜHERN > gpedit.msc
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anzeige > Ändern des Hintergrunddes verhindern

(Somit kann man schonmal kein Bild einfach aus dem Explorer per rechtsklick als Hintergrund einrichten)

und

Benutzerkonfiguration > Administrative Vorlagen > Desktop > Active Desktop > Active Desktop-Hintergrund .. konfiguriert mit einem Pfad zu einem Desktopbild das auf einem Server liegt.

Gruss
SarekHL
SarekHL 17.03.2009 um 16:56:54 Uhr
Goto Top
Wegen den "Porno" Bilder.. ich bezweifle das der "Schulfilter" in der hinsicht hilfreich ist.. Man muss ja nur mal nach Wallpaper suchen.. schon hat man wieder halbnackte auf dem Deskt.

Ich habe den Schulfilter in zwei Schulen im Einsatz und bin wirklich zufrieden. Er filtert sehr sehr zuverlässig, und zwar nicht nur Erotik, sondern alle jugendgefährdenden Inhalte (z.B. Waffen, Rassismus, Alkohol) und auf Wunsch auch Messengerdienste und Social Networks (schließlich sollen die Kids in der Schule lernen und nicht im SchülerVZ rumsurfen).


ich habe es wie folgt unterbunden:
START > AUSFÜHERN > gpedit.msc
Benutzerkonfiguration > Administrative Vorlagen >
Systemsteuerung > Anzeige > Ändern des Hintergrunddes
verhindern

Das geht über Gruppenrichtlinen in einer Domäne (darum habe ich einen Windows-Server vorgeschlagen) viel komfortabler. Da definiert man einmal am Server, was für die Schüler gelten soll und muß nicht an jeden PC einzeln ran ...
71856
71856 17.03.2009 um 17:38:45 Uhr
Goto Top
Nochmal wegen den Bildern..
Ich bin in einer Einrichtung für "Erwachsenenbildung" tätig.. (mit 8 EDV-Schulungsräume) daher hat mich das ganze auch lange beschäftigt und geärgert face-smile

Wir haben eine WatchGuard laufen.. welche natürlich auch einiges Filtert. Dennoch kann so ein "Flter" ja nicht verhindern das mir z.b über Google / Bildersuche ein Bild Namens Sonnenuntergang.jpg angezeigt wird..
Blöd wenn dann auf dem Bild eine Nackte am Strand zu sehen ist ;)

Zu gpedit.msc
Das geht über Gruppenrichtlinen in einer Domäne

Nein, das kann er auch lokal an jedem XP-Prof einstellen.
SarekHL
SarekHL 17.03.2009 um 17:48:51 Uhr
Goto Top
Wir haben eine WatchGuard laufen.. welche natürlich auch einiges Filtert. Dennoch kann so ein "Flter" ja nicht verhindern das mir z.b über Google / Bildersuche ein Bild Namens Sonnenuntergang.jpg angezeigt wird..
Blöd wenn dann auf dem Bild eine Nackte am Strand zu sehen ist ;)

Hinter dem Schulfilter sitzt ein Team, daß Inhalte klassifiziert, auch Bilder. Das heißt, die Filterung erfolgt nicht nach dem Dateinamen ...

Machen wir mal einen Test, gib mir mal eine entsprechende Bild-URL und ich gebe sie am Donnerstag in der Schule mal ein. Mal sehen, ob das Bild angezeigt wird oder nicht ;)


Zu gpedit.msc
> Das geht über Gruppenrichtlinen in einer Domäne

Nein, das kann er auch lokal an jedem XP-Prof einstellen.

Natürlich KANN er das. Aber das ist doch Wahnsinn. Auch wenn er nur 16 Computer zu betreuen hat, ist es viel zu aufwendig, jede Richtlinie an jedem einzelnen PC einzugeben. Ist doch viel einfacher, das zentral über den Server zu steuern. Denn irgendwann kommt jemand auf die Idee, daß dies und jenes auch noch gut wäre, und dann faßt er noch mal 16 Rechner einzeln an und so weiter. Das muß doch nicht sein ...
71856
71856 17.03.2009 um 20:24:00 Uhr
Goto Top
Hinter dem Schulfilter sitzt ein Team, daß Inhalte klassifiziert, auch Bilder. Das heißt, die Filterung erfolgt nicht nach dem Dateinamen ...

Ahha.. Ok das wusste ich nicht.

Bei der URL Auswahl hab ich mich mal zurückgehalten face-smile
http://heroclix-game.com/heroclix-blog/downloads/Wallpapers/INDY_Wallpa ...
http://www.rouge.ch/blog/wp-content/uploads/2008/11/apple_wallpaper.jpg
http://www.os-informer.de/screenshots/418x627/2009/02/wallpaper_nvidias ...

Natürlich KANN er das. Aber das ist doch Wahnsinn.

face-smile Nun ja, da ist was drann.
Wenn wir mal endlich mit allen Pc`s durch sind haben wir weit über 200 PC´s bearbeitet ;)
Ich habe mir von einem PC das Verzeichnis GroupPolicy auf USB-Sticks kopiert und noch eine Batchdatei zum automatischen kopieren erstellt..
Bewaffnet mit 2-3 Sticks hat man so einen 16+1 Schulungsraum dann recht schnell erledigt face-smile

schönen Abend noch
admister
admister 19.03.2009 um 21:27:58 Uhr
Goto Top
Hallo!!!

Erst mal vielen Dank für Eure Bemühung und bitte Entschuldigung für die späte Reaktion. Ich war arbeitsüberlastet.
Eine Lösung gibts leider noch nicht! Anscheinend muß ich noch viel mehr Info liefern.
Die EDV-Anlage wurde von Vollprofis im Jahr 2000 eingerichtet - mit der damals üblichen Linux-Samba-Server-Architektur.
Den Support der Einrichter kann ich aber in dieser Sache nicht in Anspruch nehmen.
Eine Umorganisation des Servers scheidet 100% aus.
Einbau von irgendwelchen Filterprogrammen scheidet auch 100% aus.

Der Linux-Server verhält sich als "domäne pinguin", die Clients melden sich über XP Pro dort an. Der Server stellt den Clients Netzwerkverzeichnisse zur Verfügung, einen Drucker, eine Firewall, sowie über DSL-Modem einen Internet-Zugang (squid). Auch ein Seitenfilter (squid guard) läuft dort bereits.

Meine Kernproblem geht nicht um die Bildschirmhintergründe.
Meine Kernfrage ist: Ich bin der offizielle Administrator, habe ein Masterpasswort und das root-passwort des Linux-Servers.
Mit diesen Kompetenzen möchte ich einiges an den Rechten der normalen User fein-tunen.
Auf dem Linux-Server befinden sich (in i:\profile\WinXP) Server-Profile aller User, die automatisch mit den lokalen Benutzerprofilen bei An/Abmeldung synchronisiert werden.
Außerdem wird skriptgesteuert eine ntuser.pol aus einem Sicherheitsverzeichnis des Servers bei jeder Anmeldung ins Benutzerprofil kopiert (wohl um zu verhindern, daß die User dauerhaft zu mehr Rechten kommen).

Gpedit.msc kann unmöglich die Lösung sein. Die meisten der zahllosen Einstellungen meldet gpedit als "unkonfiguriert".
Benutzernamen wie master, user1, user2 usw. werden überhaupt nicht angeboten. In "administrative Vorlagen" gibt es keinen Menüpunkt Desktop und auch nicht den Menüpunkt Anzeige.
Es gibt nur
-Windows-Komponenten
-System
-Netzwerk
-Drucker
Aber kein Punkt führt weiter

ALLE User sind NICHT lokal angelegt sondern nur in der Domäne angelegt!! Die Netzwerkuser können sich NICHT lokal anmelden sondern nur in der Domaine, d.h. der Server muß laufen.

Nach meinem Gefühl muß die Rechte-Setzung auf dem Samba-Fileserver erfolgen. Möglicherweise hat dieser dazu schon ein tool, aber ich kenne den Aufruf nicht. Oder man kann sich ein tool downloaden und dort einsetzen??

Ich wäre weiterhin sehr dankbar für Hilfe. Es wäre mir sogar eine Prämie wert.
SarekHL
SarekHL 19.03.2009 um 21:36:08 Uhr
Goto Top
Gpedit.msc kann unmöglich die Lösung sein. Die meisten der zahllosen Einstellungen meldet gpedit als "unkonfiguriert".

Das heißt ja nur, daß nichts definiert wurde, also gilt da die Standardeinstellung der jeweiligen Windows-Installation.


Benutzernamen wie master, user1, user2 usw. werden überhaupt nicht angeboten. In "administrative Vorlagen" gibt es keinen Menüpunkt Desktop und auch nicht den Menüpunkt Anzeige.

Eben weil Du keine "reine" Windows-Domäne mit einem Windows-DomainController hast. In einem ActiveDirectory hättest Du sehr weitgehende Möglichkeiten, einzelne Richtlinien für einzelne Benutzer(gruppen) oder auch für einzelne Computer(gruppen) zu definieren. Darum heißen die Dinger ja auch GRUPPENrichtlinien ;)

Aber wenn eine Umstrukturierung ausgeschlossen ist, dann nützt Dir das ja eh nichts. Ich ziehe mich dann auch aus diesem Thread zurück, denn von Linux habe ich Null Ahnung ...
71856
71856 20.03.2009 um 22:02:43 Uhr
Goto Top
Linux ist auch nicht meine stärke..
Ich habe zwar schon Samba + LDAP Server eingerichtet.. aber das ist ja hier nicht das eigentliche Problem.

Zu gpedit..
Die Bezeichnung \"Gruppenrichtlinien\" ist ja eigentlich auch nicht gerade passend.
Alles was man dort verändert wirkt sich auf alle User ink. Administrator aus.
(Übrigends als lokaler Admin muss es z.B. diese Struktur + Einstellmöglichkeit geben: Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anzeige > Ändern des Hintergrunddes verhindern)

Ansonsten hätte ich nur noch eine Idee in welche Richtung es gehen könnte..

So wie ich das verstehe .. müssen wohl früher über gpedit oder poledit.exe die (Rechte / Einstellungen der User) Userprofile erstellt worden sein. Diese Einstellungen werden in der ntuser.pol und registry.pol gespeichert. Also hat man dann wohl einfach diese ntuser.pol auf den Linux-Server gelegt.. so das sich diese bei jeder Anmeldung auf die XP-Clients lädt.

Du müsstest dann jetzt wohl hergehen und einen PC über gpedit so Einrichten wie es Dir zusagt.. und dann die ntuser.pol + registry.pol auch wieder auf dem Linux-Server hinterlegen.
In i:\\profile\\WinXP werden sich wohl die registry.pol finden lassen??

Das ganze wird aber nicht so einfach zum umsetzten sein.. bzw. um mal eben so eine kleine Einstellung zu ändern ist der Aufwand viel zu groß.. Daher Win-Server aufstellen und gut ist face-smile

Kostenlose Möglichkeit:
Die User lokal anlegen und auf dem Server z.B. nur noch für jeden Pc ein Verzeichnis \"Eigene Dateien\" anlegen. Bei den Client´s dann einfach den Pfad von \"Eigene Dateien\" ändern/anpassen.
Die lokale Userrechte kann man z.B mit dem kostenlosen Tool SteadyState von MS recht einfach und dennoch umfangreich einstellen.
http://www.microsoft.com/windows/products/winfamily/sharedaccess/defaul ...

Edit: Vll ist auch das hier für Dich hilfreich:
http://wiki.butzhammer.de/index.php/Benutzerrichtlinien_erstellen_mit_P ...

Gruss
Citytow
Citytow 23.03.2009 um 12:25:41 Uhr
Goto Top
Das Geht trozdem... Wenn man das Bild mit Windows Fax/Bild Ansicht Öffnet... Gibs Unten en Kleinen Button ... " Bild als Hintergrund Verwenden" Und das Funktoniert PRIMA!!!!
admister
admister 23.03.2009 um 14:04:01 Uhr
Goto Top
Es geht mir nicht darum, jedes Mauseloch dichtzukriegen, das ein übereifriger User finden könnte.
Ich bin schon zufrieden, wenn ein paar Scheunentore nicht so weit offenstehen.

Die Idee von Froxy-HN könnte weiterbringen.
Ich konnte mit der XP-Userverwaltung z.B. user11 auf einer workstation als Mitglied der Server-Domäne anlegen.
Aber weiter komme ich dann nicht.
In gpedit steht zwar furchtbar viel drin, aber finde nirgends eine möglichkeit, z.B. die Option "Anzeige" für user11 zu sperren.
Usernamen finde ich überhaupt keine in gpedit. Wie geht das??
pschsch
pschsch 23.03.2009 um 14:14:24 Uhr
Goto Top
Also: Auch ich kenne mich mit Linux nur rudimentär aus.
Ich administriere einen Win2003Server, ohne dass ich groß Gruppenrichtlinien einsetze.

Die einzelnen Clients (ca. 40 in 2 Räumen) sind durch eine Rückstellungssoftware geschützt. Solche gibt's kostenlos (Windows shared computer toolkit [kann man leider nicht mehr herunterladen], und dessen Nachfolger Windows steady state). Wenn einer deiner Schüler dann was verstellt, ist das nur so lange, wie die Maschine läuft. Nach dem Shutdown ist der Schrott weg.
Bessere Rückstellungssoftware (Dr. Kaiser, Schwarz, hdd-Sheriff...) kann auch mehr, wie z.B. das Internet abschalten und remote-Zustandsänderung.

Deine Arbeitszeit sollte dir teuer genug sein, dass wenigstens diese Programme installiert werden; ich hatte früher auch die Probleme wie du, man kommt mit der Pflege der Clients nicht nach, wenn man solche Schutzmaßnahmen nicht ergreift. Dass diese nie zu hundert Prozent "wasserdicht" sind, ist klar, aber der Gewöhnungseffekt ist sehr hoch. Hatte mal das Problem nach einem Stromausfall, dass fast alle Geräte des "alten" und seltener benutzten Raums umgestellt waren, doch in über einem dreiviertel Jahr änderten die Schüler kaum etwas daran. Wäre ich nicht zufällig draufgekommen, dann wär's heute noch so. Die Rückstellsoftware hat ebenen einen stark erziehenden Wert...

Übrigens: Desktop-Hintergrund verstellen ist auch über Tweaks zu managen, versuch's mal mit "wallpaper_disable.reg" von kellys corner, das hilft schon ein wenig. Ich selbst nutze das nicht mehr, wie oben ausgeführt.

Ansonsten viel Erfolg bei deiner Sisyphus-Arbeit!
admister
admister 23.03.2009 um 14:33:51 Uhr
Goto Top
Danke für Deine Antwort. Ich bekomme für den EDV-Raum alljährlich eine Update-CD zugeschickt, die nur funktioniert, wenn die Netzwerkarchitektur im wesentlichen unverändert bleibt. Daher kommt ein Freezer-Programm eher nicht infrage und wäre auch "Kanonen auf Spatzen".

Ich möchte die Sache nochmal auf den Kern fokussieren.

Ausgangspunkt war, daß ich auf den Workstations Office 2000 mit Office 2003 ersetzt habe.
Nun wollte ich für alle User das Design Windows XP, weil damit Office 1000x besser aussieht und übersichtlicher ist.

Problem war, daß das nicht ging, weil kam "Option Anzeige vom Administrator gesperrt".

Ich konnte das austricksen, indem ich den Usern die ntuser.pol des masters unterjubelte.

Aber nun kann jeder in der Option "Anzeige" unbegrenzt rumwühlen.
Mein Kernwunsch ist eigentlich nur, die Option Anzeige so wie sie war, wieder gesperrt zu kriegen. Das muß doch möglich sein ohne grenzenlose Baugruben auszuheben, was ich weder kann noch darf noch will.
doublebind
doublebind 23.03.2009 um 18:59:28 Uhr
Goto Top
Hi!

als user (nicht master) anmelden.
start -> ausführen -> "runas /profile /user:"RECHNER ODER DOMÄNEN NAME"\Administrator (oder root) mmc" mit Passwort bestätigen.

dann Datei -> Snapin hinzufügen -> Hinzufügen und den Gruppenrichtlinieneditor hinzufügen -> OK - OK

dann kannst du wie oben schon mal erwähnt das was du ändern willst anpassen. beim nächsten boot wird alles gut.

DAS GEHT AUCH OHNE DOMÄNE. muss aber an jedem rechner durchgeführt werden.

edit:

unter Benutzerkonfig -> Administrative Vorlagen -> Systemsteuerung -> Anzeige -> Desktopdesigns gibt es die einstellungsmöglichkeit : " Bestimmten visuellen Stil laden...."

da einfach Aktivieren und unten "%windir%\Recources\Themes\Luna\Luna.msstyles" eintragen und das sollte dein problem lösen.

mfg
admister
admister 25.03.2009 um 21:01:59 Uhr
Goto Top
Hi, doublebind

Herzlichen Dank für Deine Antwort!!
Der Durchbruch ist endlich vollzogen.

Die Methode mit runas ist sehr interessant und neu für mich. Ich gelange damit nicht ganz ans Ziel - das pw wird zwar akzeptiert, aber jeder Dateiname (root.mmc oder so) zurückgewiesen. Aber ich werde da noch experimentieren.

Die zweite Methode aber klappt hervorragend. Das superversteckte "bestimmten Stil" habe ich nun endlich gefunden und kann es wunschgemäß einstellen.
Mir macht das Ganze Appetit, noch mehr einzustellen. Ich versuche mich jetzt als nächstes an der vermaledeiten Option "Als Hintergrund" im Internet Explorer 7, die mich 3 Stunden Arbeit pro Woche kostet.

Ich schreibe Dir in den nächsten Tagen eine email und Deine Tipps sind mir gerne eine Gegenleistung wert.
Bis zum Wochenende bin ich jetzt in anderen Angelegenheiten tätig. Nächste Woche habe ich wieder Zeit.
Viele Grüße!