Benutzer oder Gruppe in Rechten weit einschränken
Hallo,
wir wollen einen in unsere Firma einen Info PC für Kunden und Mitarbeiter einrichten.
Auf den Pc sind verschiedene PRogramme von Lieferanten installiert. Der PC hängt nich im Netzwerk.
Meine Aufgabe ist es ein User anzulegen der Programme die auf den Desktop verknüpft sind starten u. mit arbeiten kann.
Ich muß den PC soweit einschränken das man sich nur an/ abmelden, runterfahren und die Programme ausführen kann.
Er darf die rechte Maustaste nicht bewegen können, Er darf keine Einstellungen vornehmen und und....
Ich habe es auch schon so weit hinbekommen über die Gruppenrichtlinien allerdings übernimmt er diese dann auch für den Administrator (säge nich an einen Ast, auf den du sitzt)
Wie kann ich eine Gruppenrichtlinie (administrative Vorlagen) einen einzelnen User o. Benutzergruppe zuordnen.
wir wollen einen in unsere Firma einen Info PC für Kunden und Mitarbeiter einrichten.
Auf den Pc sind verschiedene PRogramme von Lieferanten installiert. Der PC hängt nich im Netzwerk.
Meine Aufgabe ist es ein User anzulegen der Programme die auf den Desktop verknüpft sind starten u. mit arbeiten kann.
Ich muß den PC soweit einschränken das man sich nur an/ abmelden, runterfahren und die Programme ausführen kann.
Er darf die rechte Maustaste nicht bewegen können, Er darf keine Einstellungen vornehmen und und....
Ich habe es auch schon so weit hinbekommen über die Gruppenrichtlinien allerdings übernimmt er diese dann auch für den Administrator (säge nich an einen Ast, auf den du sitzt)
Wie kann ich eine Gruppenrichtlinie (administrative Vorlagen) einen einzelnen User o. Benutzergruppe zuordnen.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22130
Url: https://administrator.de/forum/benutzer-oder-gruppe-in-rechten-weit-einschraenken-22130.html
Ausgedruckt am: 29.04.2025 um 03:04 Uhr
6 Kommentare
Neuester Kommentar
Hello,
ja, ein bekanntes Problem das der Admin mit eingeschränkt wird;) Damit das nicht mehr der Fall ist kannst du folgendes machen:
[Admin ist von Gruppenrichtlinien-Einschränkungen betroffen]
Die Gruppenrichtlinien sind gespeichert unter "C:\WINDOWS\system32\GroupPolicy" (oder C:\winnt\..). Entziehe dem Administrator alle Rechte auf dieses File! Bestätige die darauffolgende Warnung mit OK. Neu booten und sehen ob der Admin immer noch eingeschränkt ist, dürfte eigentlich nicht mehr der Fall sein.
Eine Gruppenrichtlinien nur einem User/Gruppe hinzuzufügen ist lokal nicht möglich, da bräuchtest du schon Domänen accounts.
[Rechte Allgemein]
Entziehe dem User auch die Rechte auf das Alluser Profile (Icons & Startmenü deines Users musst du demenstprechend anpassen)
Falls erwünscht kannst du auch Rechte-Beschränkungen auf dein User-Profile geben, musst einfach die Vererbung jeweils entfernen.
[User Profile]
Ich an deiner Stelle würde noch ein Mandatory-Profile für den User einrichten. Somit sind bei einem reboot alle Änderungen (Desktop, Userspezifische Einstellungen, usw) wieder wie neu, sprich so wie du sie ursprünglich konfiguriert hast.
ja, ein bekanntes Problem das der Admin mit eingeschränkt wird;) Damit das nicht mehr der Fall ist kannst du folgendes machen:
[Admin ist von Gruppenrichtlinien-Einschränkungen betroffen]
Die Gruppenrichtlinien sind gespeichert unter "C:\WINDOWS\system32\GroupPolicy" (oder C:\winnt\..). Entziehe dem Administrator alle Rechte auf dieses File! Bestätige die darauffolgende Warnung mit OK. Neu booten und sehen ob der Admin immer noch eingeschränkt ist, dürfte eigentlich nicht mehr der Fall sein.
Achtung, somit kannst du als Admin nicht mehr auf die Gruppenrichtlinien Zugreifen, d.h. Zugriffsrechte erst nehmen wenn du alles nach Wunsch eingerichtet hast! (Natürlich kannst du dir dir Rechte jederzeit wieder zurückgeben)
[Rechte Allgemein]
Entziehe dem User auch die Rechte auf das Alluser Profile (Icons & Startmenü deines Users musst du demenstprechend anpassen)
Falls erwünscht kannst du auch Rechte-Beschränkungen auf dein User-Profile geben, musst einfach die Vererbung jeweils entfernen.
[User Profile]
Ich an deiner Stelle würde noch ein Mandatory-Profile für den User einrichten. Somit sind bei einem reboot alle Änderungen (Desktop, Userspezifische Einstellungen, usw) wieder wie neu, sprich so wie du sie ursprünglich konfiguriert hast.
Hat leider nicht ganz so geklappt sobald ich diese Einstellung an den Gruppenrichtlinien ändere übernimmt er sie sofort für jeden User. Ich kann ihn zwar die Rechte verweigern C:\WINDOWS\system32\Group habe aber immer das gleiche Problem. Um die GRuppenrichtlinien zu barbeiten muß ich meinen USer zur Gruppe Administrator machen.
Die einzige Möglichkeit ist die Änderungen an den Gruppenrichtlinen in Sachen Berechtigungen zu beschränken.
Aber vielleicht habe ich es auch falsch gemacht.
Versuche es noch mal!!!!!
Vielen Dank
Die einzige Möglichkeit ist die Änderungen an den Gruppenrichtlinen in Sachen Berechtigungen zu beschränken.
Aber vielleicht habe ich es auch falsch gemacht.
Versuche es noch mal!!!!!
Vielen Dank
Sorry, vielleicht war ich zu undeutlich. Du musst die Rechte dem ADMINISTRATOR entziehen, und nicht dem User. Für den User sollen die Gruppenrichtlinien ja weiterhin gelten! Der User darf natürlich kein Admin sein.
Die Rechte hab ich ja den Administrator entzogen. Das Problem ist ja sobald ich eine Einstellung in den Gruppenrichtlinien geändert habe sind sie sofort aktiv d. h. auch für den Administrator. auch wenn ich danach C:\WINDOWS\system32\GroupPolicy den Admin alle Rechte entziehe.
Der User war nätürlich kein Admin.
Werd es aber nochmal versuchen, der Lösungvorschöag klingt plausibel und vielleicht habe ich ja einen Schritt vergessen.
Der User war nätürlich kein Admin.
Werd es aber nochmal versuchen, der Lösungvorschöag klingt plausibel und vielleicht habe ich ja einen Schritt vergessen.
OK, da hast du recht. Die Einstellungen greifen sofort nachdem du sie gesetzt hast. Allerdings hats bei mir meistens geklappt, auch wenn ich die rechte erst im nachhinein gesetzt habe. Abhilfe schafft hier einen zusätzlichen Admin-Account, mit dem du quasi die Gruppenrichtlinien erstellst. Dann hast du den "Haupt"-Administrator noch zur Verfügung (für Installationen und so).
Mir fiel aber noch eine andere Alternative ein:
[Kiosk-Mode]
Kenn ich zwar nur von der Linux-Seite her, habs aber auch schon unter Windows gesehen. Da geht auch so ziemlich nix bis auf ein paar auserwählte Programme.
[Virtuelle Desktop Oberfläche]
Das wäre sozusagen ein Ugrade zu deinen Bisherigen Massnahmen. Es gibt Tools, mit denen du deinen Desktop gestalten kannst. Allerdings können diese Teilweise viel mehr als nur Desktop-modding. Es gibt zB die Möglichkeit einen user-Desktop zu entwerfen. Darin kannst du alle Verknüpfungen angeben die in der Taskleiste oder auf dem Desktop erscheinen sollen. Den Admin betrifft das nicht. Hab selber noch nicht zu herumexperimentiert. Schau doch mal selbst nach: http://www.wincustomize.com
(Damit bastelst du dir quasi den Kiosk-Mode selber;)
Mir fiel aber noch eine andere Alternative ein:
[Kiosk-Mode]
Kenn ich zwar nur von der Linux-Seite her, habs aber auch schon unter Windows gesehen. Da geht auch so ziemlich nix bis auf ein paar auserwählte Programme.
[Virtuelle Desktop Oberfläche]
Das wäre sozusagen ein Ugrade zu deinen Bisherigen Massnahmen. Es gibt Tools, mit denen du deinen Desktop gestalten kannst. Allerdings können diese Teilweise viel mehr als nur Desktop-modding. Es gibt zB die Möglichkeit einen user-Desktop zu entwerfen. Darin kannst du alle Verknüpfungen angeben die in der Taskleiste oder auf dem Desktop erscheinen sollen. Den Admin betrifft das nicht. Hab selber noch nicht zu herumexperimentiert. Schau doch mal selbst nach: http://www.wincustomize.com
(Damit bastelst du dir quasi den Kiosk-Mode selber;)
Vielen Dank erstmal, das mit dem Tools habe ich mir schon überlegt und habe Tweak UI schon einge Einstellungen gemacht aber werde mich noch nach andere Tools umschauen.
