aturdent
Goto Top

Benutzerrechte in Windows 8.1 einschränken

Hallo,

ich habe einen Laptop mit Windows 8.1 (KEINE Pro oder Enterprise Version). Ich habe dort ein Administratorkonto sowie ein Benutzerkonto ohne Administratorrechte.

Ich möchte das Benutzerkonto möglichst weitgehend einschränken, da der Benutzer nur eine Access DB benutzen soll, die beim Starten automatisch in der Vollbildansicht geladen wird. Hierzu habe ich ein paar Fragen:

1. Kann ich Hardwarekomponenten (z.B. den WLAN Adapter, USB Ports) für das Administratorkonto aktiviert lassen, für das Benutzerkonto aber abschalten? Als angemeldeter Benutzer kann ich die Geräte im Gerätemanager nicht deaktivieren (auch nicht wenn ich das Admin-Kennwort eingebe, oder habe ich hier etwas übersehen?). Wenn ich die Geräte dort als angemeldeter Admin deaktiviere, sind sie eben auch für beide (Admin und Benutzer) deaktiviert. Der Admin muss aber z.B. weiterhin USB nutzen können.

2. Wie binde ich die Access DB am besten in den Autostart des Benutzerkontos ein, sodass diese auf jeden Fall startet nachdem der Benutzer sich angemeldet hat? Gibt es eine Möglichkeit, das Beenden der Access DB zu verhindern oder bei Beenden automatisch eine Abmeldung des Benutzers durchzuführen?

3. Gibt es auch in der Nicht-Pro Variante von Windows 8.1 eine Möglichkeit, weitere Rechte des Benutzerkontos zu beschneiden (z.B. Uhrzeit einstellen, Desktop-Symbole anpassen, Explorer aufrufen, Autostart-Programme anpassen (die Access DB!), .......?

Vielen Dank schon mal Vorab!

Grüße,

Sebastian

Content-ID: 275614

Url: https://administrator.de/forum/benutzerrechte-in-windows-8-1-einschraenken-275614.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

DerWoWusste
DerWoWusste 25.06.2015 um 13:50:38 Uhr
Goto Top
Hi.

1 Man kann Geräte nicht benutzergebunden aktivieren/deaktivieren. Das hindert Dich natürlich nicht, sie zu deaktivieren und im Adminkonto als Autostart einen Task zu nutzen, der bei Anmeldung läuft und die Geräte aktiviert und bei Abmeldung wieder deaktiviert, dies ginge über ein Skript mit der devcon.exe. Wenn Du nun noch nicht weißt, wie das gehen soll, lass Dir in einer getrennten Frage dazu helfen.

2 Schreib eine Verknüpfung zur msaccess.exe in den Autostart und direkt dahinter den Pfad zu jender Datenbank. Damit dich der Nutzer bei Beenden von Access automatisch abmeldet, müsstest Du msaccess.exe als Shell konfigurieren: http://www.windowsnetworking.com/kbase/WindowsTips/Windows7/AdminTips/A ... (gilt auch für win8.x)

3 Nutzer dürfen die Uhrzeit nicht stellen. Desktop-Symbole des allgemeinen Desktops (c:\users\public\desktop) dürfen sie auch nicht änderm, nur den eigenen Desktop. Explorer aufrufen kannst Du verhindern über anpassung der NTFS-Rechte in Verbindung mit alternativer Shell (siehe 2). Und beim persönlichen Autostart kannst Du NTFS-Rechte beschneiden.
Aturdent
Aturdent 25.06.2015 um 21:54:07 Uhr
Goto Top
Hi,

jetzt habe ich wohl etwas Dummes gemacht... Ich habe die Shell "Explorer.exe" durch "msaccess.exe" ersetzt, indem ich den unter dem Link angegebenen Eintrag in der Registry geändert habe. Jetzt erhalte ich jedoch nach der Anmeldung (sowohl als Admin als auch als Nutzer) nur noch einen leerer Bildschirm mit Mauszeiger. Wie kann ich das rückgängig machen?

Danke!

Sebastian
DerWoWusste
DerWoWusste 25.06.2015 aktualisiert um 22:01:22 Uhr
Goto Top
Kein Problem.
Drücke STRG-Shift-Esc
->der Task manager startet. Öffne einen neuen Task: explorer.exe oder direkt regedit.exe, damit Du es rückgängig machen kannst.

Das Verhalten ist normal, wenn Du den Eintrag unter HKLM setzt. Sorry, ich hätte es für HKCU (bestimmte Nutzer) verlinken sollen, siehe http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2007.h ...
Nimm es also bei HKLM zurück auf explorer.exe und setz' es in HKCU des Nutzer auf msaccess und folge den hinweisen bei winfaq, wie man festlegt, dass es pro Nutzer unterschiedlich sein darf.

Und trag den kompletten Pfad zur msaccess.exe ein.
Aturdent
Aturdent 25.06.2015 um 22:35:49 Uhr
Goto Top
Hi,
das hat funktioniert, danke!

Als Shell für den Admin startet nur weiterhin Explorer.exe, als Shell für den Nutzer startet msaccess.exe inklusive dem pfad auf die DB, sodass automatisch nach der Anmeldung die DB geladen wird. Also nicht per Autostart. MS Access läuft auf dem System nur in der Runtime Version, daher kann ich msaccess.exe nicht ohne DB starten.

Wenn ich Access beende (und somit auch die DB schließe), wird der Benutzer aber nicht abgemeldet, sondern es verbleibt ein leerer Bildschirm. Wie kann ich die automatische Abmeldung bewirken?

Grüße,

Sebastian
DerWoWusste
DerWoWusste 25.06.2015 um 22:39:05 Uhr
Goto Top
wenn ich Access beende (und somit auch die DB schließe), wird der Benutzer aber nicht abgemeldet, sondern es verbleibt ein leerer Bildschirm
Seltsam, sollte so sein. Dann müsstest Du Workarounds beschreiten, die mit Skripten arbeiten und checken, ob der Prozess msaccess.exe besteht und wenn nicht, eine Abmeldung dieses Users bewirken. Natürlich darf das Skript erst starten, nachdem msaccess erstmalig gestartet ist face-wink
Aturdent
Aturdent 25.06.2015 um 22:56:59 Uhr
Goto Top
ok, das versuche ich mal...

noch eine frage: ich versuche gerade die ntfs rechte für den Nutzer auf der Datei Explorer.exe zu entfernen. Obwohl ich als Admin angemeldet bin, kann ich aber komischerweise die rechte nicht ändern. Ich sehe sie (lesen, ausführen ist erlaubt), aber wenn ich auf bearbeiten klicke sind alle einträge grau und nicht änderbar. woran liegt das?
DerWoWusste
DerWoWusste 25.06.2015 um 23:12:24 Uhr
Goto Top
Weil der Admin per se nicht das Recht hat, diese rechte zu ändern. Musst Du erst den Besitz übernehmen und dir danach die Rechte (=Vollzugriff) geben, dann kannst Du auch Rechte ändern.
Aturdent
Aturdent 25.06.2015 um 23:15:04 Uhr
Goto Top
Alternativ zu dem Abschalten der Geräte (was nicht für einzelne Benutzer geht): Kann ich z.B. USB für das Benutzerkonto abschalten, also insbesondere die Nutzung von USB-Sticks? Wie gesagt, ich habe nicht die Pro Version wo so etwas mit dem gruppenrichtlinieneditor geht, richtig? (habe ich nur mal gelesen, nicht ausprobiert).

Mit devcon klappt das abschlaten im Prinzip, aber ich habe scheinbar Probleme die richtige geräte ID anzugeben. Ich habe das mit dem DVD ROM getestet und es steht zwar auf disabled, funktioniert aber dann immer noch, scheinbar habe ich es nicht vollständig disabled...!?

Danke!
Aturdent
Aturdent 25.06.2015 um 23:26:12 Uhr
Goto Top
verdammt... ich muss mir echt mal ein vernünftiges buch zulegen, um die Grundlagen zu verstehen... ich mache seit 20 jahren mit Windows Systemen rum, aber die Administration habe ich nicht wirklich verstanden...

Danke!
DerWoWusste
DerWoWusste 25.06.2015 um 23:29:30 Uhr
Goto Top
Du kannst die Richtlinien für "removable storage" aus der GPO Referenz nehmen und die zugehörigen Registrywerte setzen. Man kann da eine Unterscheidung zwischen Admin und Nichtadmin treffen, ja.
Aturdent
Aturdent 26.06.2015 um 21:44:45 Uhr
Goto Top
Wie übernehme ich denn den Besitz?????? Sorry, wahrscheinlich ist es mal wieder ganz einfach und ich finde es nur nicht...
Aturdent
Aturdent 26.06.2015 um 21:58:37 Uhr
Goto Top
Noch ein Problem: Ich habe den Besitz jetzt übernommen. Dann habe ich die Ausführungsrechte für den Nutzer (nicht-admin) entfernt. Hat auch gewirkt. Nur dummerweise hat jetzt der Admin auch keine Ausführungsrechte mehr (warum?). Wie kann ich die wieder setzen? Im Explorer kann ich das ja nicht mehr machen, weil der ja nicht mehr ausführbar ist... Habe ich mich jetzt ausgesperrt?????
DerWoWusste
DerWoWusste 27.06.2015 um 00:17:23 Uhr
Goto Top
Keine Sorge. Zunächst zu Deinem Fehler: Du hast vermutlich die Usergruppe rausgenommen oder gar verweigert - da ist der Admin natürlich bei letzterem auch betroffen. Um die Rechte zurückzustellen, musst Du einen ACL-Eintrag für Deinen Nutzer schreiben, ohne dabei den Explorer zu benutzen. Versuch's mal so: starte den Taskmanager über STRG-Shift-Esc. Von da aus gehst Du auf ->Datei - neuer Task - durchsuchen. Such dir da Notepad.exe im Windowsverzeichnis und über Rechtsklick ->als Administrator ausführen hast Du ein starkes Notepad. Von Dort aus kannst Du über den öffnen-Dialog die Explorer.exe raussuchen (Filter von .txt-Dateien ändern auf "alle Dateien") und kannst dann deren ACL wieder anpassen. Trag Deinen Nutzer zumindest namentlich ein, damit das nicht noch einmal passiert.
Aturdent
Aturdent 29.06.2015 um 06:07:41 Uhr
Goto Top
Super, alles geklärt!!!

Vielen Dank!!!