Benutzerrechte in Windows 8.1 einschränken
Hallo,
ich habe einen Laptop mit Windows 8.1 (KEINE Pro oder Enterprise Version). Ich habe dort ein Administratorkonto sowie ein Benutzerkonto ohne Administratorrechte.
Ich möchte das Benutzerkonto möglichst weitgehend einschränken, da der Benutzer nur eine Access DB benutzen soll, die beim Starten automatisch in der Vollbildansicht geladen wird. Hierzu habe ich ein paar Fragen:
1. Kann ich Hardwarekomponenten (z.B. den WLAN Adapter, USB Ports) für das Administratorkonto aktiviert lassen, für das Benutzerkonto aber abschalten? Als angemeldeter Benutzer kann ich die Geräte im Gerätemanager nicht deaktivieren (auch nicht wenn ich das Admin-Kennwort eingebe, oder habe ich hier etwas übersehen?). Wenn ich die Geräte dort als angemeldeter Admin deaktiviere, sind sie eben auch für beide (Admin und Benutzer) deaktiviert. Der Admin muss aber z.B. weiterhin USB nutzen können.
2. Wie binde ich die Access DB am besten in den Autostart des Benutzerkontos ein, sodass diese auf jeden Fall startet nachdem der Benutzer sich angemeldet hat? Gibt es eine Möglichkeit, das Beenden der Access DB zu verhindern oder bei Beenden automatisch eine Abmeldung des Benutzers durchzuführen?
3. Gibt es auch in der Nicht-Pro Variante von Windows 8.1 eine Möglichkeit, weitere Rechte des Benutzerkontos zu beschneiden (z.B. Uhrzeit einstellen, Desktop-Symbole anpassen, Explorer aufrufen, Autostart-Programme anpassen (die Access DB!), .......?
Vielen Dank schon mal Vorab!
Grüße,
Sebastian
ich habe einen Laptop mit Windows 8.1 (KEINE Pro oder Enterprise Version). Ich habe dort ein Administratorkonto sowie ein Benutzerkonto ohne Administratorrechte.
Ich möchte das Benutzerkonto möglichst weitgehend einschränken, da der Benutzer nur eine Access DB benutzen soll, die beim Starten automatisch in der Vollbildansicht geladen wird. Hierzu habe ich ein paar Fragen:
1. Kann ich Hardwarekomponenten (z.B. den WLAN Adapter, USB Ports) für das Administratorkonto aktiviert lassen, für das Benutzerkonto aber abschalten? Als angemeldeter Benutzer kann ich die Geräte im Gerätemanager nicht deaktivieren (auch nicht wenn ich das Admin-Kennwort eingebe, oder habe ich hier etwas übersehen?). Wenn ich die Geräte dort als angemeldeter Admin deaktiviere, sind sie eben auch für beide (Admin und Benutzer) deaktiviert. Der Admin muss aber z.B. weiterhin USB nutzen können.
2. Wie binde ich die Access DB am besten in den Autostart des Benutzerkontos ein, sodass diese auf jeden Fall startet nachdem der Benutzer sich angemeldet hat? Gibt es eine Möglichkeit, das Beenden der Access DB zu verhindern oder bei Beenden automatisch eine Abmeldung des Benutzers durchzuführen?
3. Gibt es auch in der Nicht-Pro Variante von Windows 8.1 eine Möglichkeit, weitere Rechte des Benutzerkontos zu beschneiden (z.B. Uhrzeit einstellen, Desktop-Symbole anpassen, Explorer aufrufen, Autostart-Programme anpassen (die Access DB!), .......?
Vielen Dank schon mal Vorab!
Grüße,
Sebastian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275614
Url: https://administrator.de/forum/benutzerrechte-in-windows-8-1-einschraenken-275614.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
14 Kommentare
Neuester Kommentar
Hi.
1 Man kann Geräte nicht benutzergebunden aktivieren/deaktivieren. Das hindert Dich natürlich nicht, sie zu deaktivieren und im Adminkonto als Autostart einen Task zu nutzen, der bei Anmeldung läuft und die Geräte aktiviert und bei Abmeldung wieder deaktiviert, dies ginge über ein Skript mit der devcon.exe. Wenn Du nun noch nicht weißt, wie das gehen soll, lass Dir in einer getrennten Frage dazu helfen.
2 Schreib eine Verknüpfung zur msaccess.exe in den Autostart und direkt dahinter den Pfad zu jender Datenbank. Damit dich der Nutzer bei Beenden von Access automatisch abmeldet, müsstest Du msaccess.exe als Shell konfigurieren: http://www.windowsnetworking.com/kbase/WindowsTips/Windows7/AdminTips/A ... (gilt auch für win8.x)
3 Nutzer dürfen die Uhrzeit nicht stellen. Desktop-Symbole des allgemeinen Desktops (c:\users\public\desktop) dürfen sie auch nicht änderm, nur den eigenen Desktop. Explorer aufrufen kannst Du verhindern über anpassung der NTFS-Rechte in Verbindung mit alternativer Shell (siehe 2). Und beim persönlichen Autostart kannst Du NTFS-Rechte beschneiden.
1 Man kann Geräte nicht benutzergebunden aktivieren/deaktivieren. Das hindert Dich natürlich nicht, sie zu deaktivieren und im Adminkonto als Autostart einen Task zu nutzen, der bei Anmeldung läuft und die Geräte aktiviert und bei Abmeldung wieder deaktiviert, dies ginge über ein Skript mit der devcon.exe. Wenn Du nun noch nicht weißt, wie das gehen soll, lass Dir in einer getrennten Frage dazu helfen.
2 Schreib eine Verknüpfung zur msaccess.exe in den Autostart und direkt dahinter den Pfad zu jender Datenbank. Damit dich der Nutzer bei Beenden von Access automatisch abmeldet, müsstest Du msaccess.exe als Shell konfigurieren: http://www.windowsnetworking.com/kbase/WindowsTips/Windows7/AdminTips/A ... (gilt auch für win8.x)
3 Nutzer dürfen die Uhrzeit nicht stellen. Desktop-Symbole des allgemeinen Desktops (c:\users\public\desktop) dürfen sie auch nicht änderm, nur den eigenen Desktop. Explorer aufrufen kannst Du verhindern über anpassung der NTFS-Rechte in Verbindung mit alternativer Shell (siehe 2). Und beim persönlichen Autostart kannst Du NTFS-Rechte beschneiden.
Kein Problem.
Drücke STRG-Shift-Esc
->der Task manager startet. Öffne einen neuen Task: explorer.exe oder direkt regedit.exe, damit Du es rückgängig machen kannst.
Das Verhalten ist normal, wenn Du den Eintrag unter HKLM setzt. Sorry, ich hätte es für HKCU (bestimmte Nutzer) verlinken sollen, siehe http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2007.h ...
Nimm es also bei HKLM zurück auf explorer.exe und setz' es in HKCU des Nutzer auf msaccess und folge den hinweisen bei winfaq, wie man festlegt, dass es pro Nutzer unterschiedlich sein darf.
Und trag den kompletten Pfad zur msaccess.exe ein.
Drücke STRG-Shift-Esc
->der Task manager startet. Öffne einen neuen Task: explorer.exe oder direkt regedit.exe, damit Du es rückgängig machen kannst.
Das Verhalten ist normal, wenn Du den Eintrag unter HKLM setzt. Sorry, ich hätte es für HKCU (bestimmte Nutzer) verlinken sollen, siehe http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2007.h ...
Nimm es also bei HKLM zurück auf explorer.exe und setz' es in HKCU des Nutzer auf msaccess und folge den hinweisen bei winfaq, wie man festlegt, dass es pro Nutzer unterschiedlich sein darf.
Und trag den kompletten Pfad zur msaccess.exe ein.
wenn ich Access beende (und somit auch die DB schließe), wird der Benutzer aber nicht abgemeldet, sondern es verbleibt ein leerer Bildschirm
Seltsam, sollte so sein. Dann müsstest Du Workarounds beschreiten, die mit Skripten arbeiten und checken, ob der Prozess msaccess.exe besteht und wenn nicht, eine Abmeldung dieses Users bewirken. Natürlich darf das Skript erst starten, nachdem msaccess erstmalig gestartet ist
Keine Sorge. Zunächst zu Deinem Fehler: Du hast vermutlich die Usergruppe rausgenommen oder gar verweigert - da ist der Admin natürlich bei letzterem auch betroffen. Um die Rechte zurückzustellen, musst Du einen ACL-Eintrag für Deinen Nutzer schreiben, ohne dabei den Explorer zu benutzen. Versuch's mal so: starte den Taskmanager über STRG-Shift-Esc. Von da aus gehst Du auf ->Datei - neuer Task - durchsuchen. Such dir da Notepad.exe im Windowsverzeichnis und über Rechtsklick ->als Administrator ausführen hast Du ein starkes Notepad. Von Dort aus kannst Du über den öffnen-Dialog die Explorer.exe raussuchen (Filter von .txt-Dateien ändern auf "alle Dateien") und kannst dann deren ACL wieder anpassen. Trag Deinen Nutzer zumindest namentlich ein, damit das nicht noch einmal passiert.