drkzne
Goto Top

Ausführen windows R

Hotkey windows + R verbieten, nicht nur verstecken.

Hallo liebe Leute,

wir hier in der Schule, hatten es bis jetzt immer so, dass die Schülerrechner Administrator rechte behalten haben.

Nach dem im letzten Jahr, immer mehr mist gebaut wurde haben wir uns dazu beschlossen, Administrator Rechte weg zu nehmen und auch "Ausführen" zu verbieten.

Nun dachte ich gut - sollte ja kein Problem sein.

Ab in die regestrie rein und "NoRun" auf 0 gesetz.

Schade aber auch, hiermit kann ich es leider nur aus dem Startmenü verstecken.

Dann bin ich weiter in die gpedit gegangen und habe das Ausführen verboten.

windows + r gedrückt und siehste, so soll es sein.

Adminrechte vom "schueler" Account genommen und als Administrator angemeldet.

wieder windows + r gedrückt und was fällt mir ein..

Die Lokalen GPO greifen ja für jeden Benutzer..
Über mmc bin ich dann wieder in die GPO gegangen und habe die Konfiguration erst einmal wieder rausgenommen.

Nun meine eigentliche Frage

Wie bzw. ist es möglich, Ausführen + Hotkey + R zu verbieten für den Benutzerkonto "Schueler" aber für den Benutzerkonto "Administrator"
zu zu lassen?
Die Rechner laufen alle lokal.

Schon einmal danke.

Freundlicher Gruß
Lukas

Edith sagt:

Laut Microsoft

http://technet.microsoft.com/en-us/library/cc938270.aspx

soll der Regedit Befehl NoRun auch den Hotkey verbieten. Macht er aber nicht.

Content-ID: 124619

Url: https://administrator.de/forum/ausfuehren-windows-r-124619.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Seardan
Seardan 10.09.2009 um 09:08:36 Uhr
Goto Top
Hallo,

ist ein Windows Server im Einsatz, und wenn ja, welcher? Das wäre schon eine wichtige Information!

Man steuert sowas klassischer Weise über eine Policy!

Gruß

Seardan
drkznE
drkznE 10.09.2009 um 09:11:14 Uhr
Goto Top
Hallo,

in diesem Computerlabor werden keine Server benutzt.
Alle Rechner melden sich lokal an windows an.
maretz
maretz 10.09.2009 um 10:42:09 Uhr
Goto Top
Ganz ehrlich: Dann wirst du kaum Chancen haben. Einen Stand-Alone-PC so sicher machen das man da nicht mehr rankommt dürfte für die meisten Leute praktisch unmöglich sein - zumindest wenn man den noch gleichzeitig benutzbar lassen will...

Hast du denn ne Chance da ne Verbindung zum Server hinzubekommen? Allein die Zeit die du benötigst um jeden Rechner einzeln zu verwalten dürfte schon teurer sein als nen Switch & Netzwerkkabel für den Raum...
MartinWa
MartinWa 10.09.2009 um 10:42:32 Uhr
Goto Top
Mal so gefragt, warum möchtest du denn unbedingt Windows+R blockieren.
Wenn die Junioren alias Schüler eh keine Adminrechte mehr haben, können sie nicht viel machen außer eventuell cmd öffnen und dort ipconfig oder sonst was eintippen. Wenn se aber z.B. Versuchen die GPO mit dem Befehl gpedit.mmc kommen sie zwar an das Fenster aber nicht an den Inhalt etc. (Grund: nicht genügend rechte)

greatz
maretz
maretz 10.09.2009 um 10:45:42 Uhr
Goto Top
Grad noch nen Zusatzproblem: Nehmen wir an du entfernst die "Ausführen"-Funktion aus dem Startmenü und sperrst auch wunderbar Win+R. Was sollte einen Schüler jetzt daran hindern den explorer zu nehmen und beliebige Dinge auszuführen? (Sei es der Fileexplorer oder den IE missbrauchen)? Oder er öffnet sich einfach ne msdos-eingabeaufforderung (notfalls via Explorer) - und schon hat er sein "run"...

also - verschwende lieber keine Zeit damit das auszuprobieren - dann lieber die Zeit damit ausfüllen das ganze in nen Sinnvollen Rahmen (und das heisst Netzwerkanbindung) zu lenken...
MartinWa
MartinWa 10.09.2009 um 10:59:02 Uhr
Goto Top
na ja nun wäre noch die frage in welcher Altersklasse das alles ist xD

wenn es zw. 12-16 ist - sollte es net soviel geben die Kriminelle energie haben ;)
drkznE
drkznE 10.09.2009 um 11:11:25 Uhr
Goto Top
Halöle

vielen Dank für alle Antworten.

Ich versuche mal alles zu beantworten.

Verbindung zum Server -> Nein

Nur die Verwaltungs Rechner sind hier an einem Server AD + FileServer angebunden.

@ MartinWA

Warum? Weil mein Chef das gerne hätte. :E

"Wenn se aber z.B. Versuchen die GPO mit dem Befehl gpedit.mmc kommen sie zwar an das Fenster aber nicht an den Inhalt etc. (Grund: nicht genügend rechte)"

Das muss ich gleich mal Testen, danke dafür!


Es ist eine Berufsschulklasse der Fachinformatiker aus dem 1-3 Lehrjahr die in diesem Raum sind.
Alter von 16-25. Leider sind die nicht alt zu doof.

Daher wollten wir, versuchen so viel sicherheit wie möglich rein zu bringen.

Ich danke für die Antworten und setze den Beitrag mal auf gelöst.
maretz
maretz 10.09.2009 um 11:26:09 Uhr
Goto Top
Hmm - da hat aber noch jemand seinen Glauben ans Gute behalten können... Heute haben die meist scho in der Grundschule den ersten Kontakt zum PC -> und mit 12-16 kommen die dann auf richtig dumme Ideen ;) (Ganz ehrlich: Meiner einer hat in dem Alter auch in der Schule nicht nur brav und Artig gesessen -> nur das wir damals den Unsinn noch nicht mit nem PC machen konnten, da waren andere Dinge dran beteiligt ;) )

Und wenn es sich um Fachinformatiker handelt würde ich da definitiv nur mit nem Server arbeiten -> daran beissen sich auch die noch die Zähne aus (wenn man den gut aufsetzt und einstellt). Es muss ja nicht gleich der Server der Verwaltungsdomäne sein -> die beiden Netze würde ich auch physikalisch getrennt halten ;)
Sonnenscheinhasser
Sonnenscheinhasser 10.09.2009 um 12:22:39 Uhr
Goto Top
Zitat von @drkznE:


wieder windows + r gedrückt und was fällt mir ein..

Die Lokalen GPO greifen ja für jeden Benutzer..

Nicht unbedingt.
Verbiete dem Administrator einfach das lesen von C:\windows\system32\grouppolicy

Schwarze Grüße,
Tom
exellent
exellent 10.09.2009 um 13:57:10 Uhr
Goto Top
Hey,

für deine Zwecke sollte "Steady State" von Microsoft (Freeware) genau das richtige sein !

Grüße
exellent
drkznE
drkznE 10.09.2009 um 14:05:05 Uhr
Goto Top
danke euch beiden.

Ich werde beides austesten.