samtrex
Goto Top

Benutzerverwaltung unter XP Pro

Eingeschränktes Benutzerprofiel aber Volles Recht für den Admin!!!

Hallo erstmal, es geht um einen XP Pro Rechner - den meine liebe Mutter bekommen soll........
Ich habe das System so eingerichtet wie ich es haben will.... - Als Admin
Dann habe ich für Sie ein eigenes Konto eingerichtet, das ich als Admin konfiguriert und dann zum Benutzer geändert habe.

So, jetzt mein Problem:
Ich möchte folgendes:

1. Wenn Sie sich anmeldet, soll ein Anmeldeskript ausgeführt werden, ebendso bei der Abmeldung.
2. Ich möchte für "Benutzer" verschiedene Programme sperren.
- Kann man da vielleicht in den Administrativen Vorlagen eine Liste erstellen???
3. Möchte ich das "Benutzer" keine neuen Netzwerkverbindungen anlegen oder bestehende ändern können.
- Zum Schutz vor Dailern und Co, da die Internetverbindung mit einem 56K Modem realisiert wird.
4. Möchte ich Teile der Systemsteuerung für "Benutzer" sperren.
5. Habe ich eine Firewall (Outpost) installiert, und möchte das von "Benutzern" keine Änderungen daran vorgenommen werden können.....
- Glaube zwar nicht so recht, das das möglich ist, aber ich denke ich frag einfach mal.

Was ich bisher geschafft habe:
Wenn sich jemand (egal wer) anmeldet, wird der Skript ausgeführt......
Ich habe sämtliche Verwaltungsanwendungen *.msc und wichtige Anwendungen (regedit; cmd; format; msconfig; ...) für die Gruppe "Benutzer" gesperrt (Einstellungen > Sicherheit). Geht aber bestimmt auch noch einfacher, könnte ich mir vorstellen.....
Wenn ich in den "lokalen Richtlinien" etwas einstelle/sperre gilt dies immer für alle, und nicht nur für eine Gruppe oder einen User.

Hoffe es gibt eine nicht all zu schwere Lösung.
Danke schon mal....

MfG Sam

Content-ID: 5178

Url: https://administrator.de/forum/benutzerverwaltung-unter-xp-pro-5178.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

Atti58
Atti58 29.12.2004 um 16:09:16 Uhr
Goto Top
Wie Du sicher bemerkt hast, traut sich niemand so richtig an dieses Thema ran, da es erstens so einfach nicht zu realisieren ist und zweitens die meisten hier in Netzen, Domänen oder Arbeitsgruppen arbeiten und solche Dinge anders regeln ...

Was Du als erstes machen kannst, ist, im Profil Deiner Mutter allen "Ballast" zu löschen oder zu verstecken. Dazu öffnest Du im Windows-Explorer das Verzeichnis Deiner Mutter:

C:\Dokumente und Einstellungen\%MUTTER%\Startmenü\Programme"

und durchforstest die Unterverzeichnisse auf alles, was Deine nicht benötigt, das löscht Du oder setzt das Attribut "versteckt" (dann muss allerdings der Explorer für sie so eingestellt sein, dass versteckte Dateien nicht angezeigt werden).

Ähnlich kannst Du mit dem Verzeichnis:

C:\Dokumente und Einstellungen\Alle Benutzer\Startmenü\Programme"

verfahren, denke aber daran, dass diese Änderungen auch den Admin betreffen - also nicht löschen sondern höchstens verstecken und den Admin-Explorer entprechend einrichten.


Wenn Du Angst hast, dass Deine Mutter trotzdem "Unfug" macht, kannst Du ruhig noch mal posten, dann gehen wir an's "Eingemachte" face-wink ...

Gruß

Atti
SamTrex
SamTrex 29.12.2004 um 16:48:37 Uhr
Goto Top
Hallo Atti.....
also ..... ich folge Deinem Ruf......
Wenn Du Angst hast, dass Deine Mutter
trotzdem "Unfug" macht, kannst Du
ruhig noch mal posten, dann gehen wir an's
"Eingemachte" face-wink ...

Nun als erstes möchte ich jedoch vorrausschicken, das ich den ganzen Tag darüber gebrütet habe.....
Bin jetzt etwas weiter, aber vielleicht hast Du ja noch ein paar gute Vorschläge.....

Also:
Ich habe mich da mal erkunigt, was alles so in der Verwaltung und der Systemsteuerung ist. Dabei bin ich auf *.msc und *.clp Dateien gestossen.
Ob meine Mutter die sehen kann, oder nicht ist für mich nicht so wichtig, hauptsache ist sie kann die Sachen nicht öffnen. So habe ich allen msc und clp unter "Eigenschaften > Sicherheit" die lese/ausführen Berechtigung gesperrt. Klappt gut, sie kann kaum noch was aufrufen. Meine grösste Sorge gilt allerdings eher Dailern und Trojanern. Ich habe bei mir einen Router 2 Firewalls und einen Viernscanner am laufen und das alles über DSL. Sie hat dahingegen 1. nicht die geringste Ahnung davon was ein PC ist, und ist mit einem 56k Modem unterwechs. Sprich ich mache mir Sorgen wegen Dailern. Eine Firewall von OutPost hat sie und nen aktuellen AntiVir. Dachte ich mir *Du Fuchs..... sperrst einfach die Netzwerkverbindungen!* HA! AL!! Als ich die gesperrt hatte, waren plötzlich auch die Netzwerkverbindungen vom Desktop weg, und zu allem Überfluss auch noch das Icon zur Einwahl!!! Wobei.... ist das dann nur weg, und der Internet Explorer fragt beim Start nach dem Passwort oder ist es ganz weg???
Ich habe es jedenfalls wieder freigegeben. Aber die Internetoptionen habe ich gesperrt. Nur reicht das um zu verhindern das die Standarteinwahl geändert wird???
Dann habe ich noch Datenträgerkontingete verteilt, damit sie mir nicht die Platte zu voll macht. Was allerdings auch noch zu einem Problem geführt hat..... face-sad
Ich habe auf der 2. HDD einen Ordner namens "BackUp" erstellt und für Ihre Grupper gesperrt. Dachte mir dann das ich das mit meinem BackUp Prog da hinein sichern kann (Abmeldeskript) via runas.
*Denkste.... Habe ganz vergessen das das immer nach dem PW fragt, was ja nicht so ganz der Sinn ist ...... Darauf habe ich mich wieder auf die Suche begeben.....
Und bin schliesslich wieder hier gelandet. In einem Beitrag wurde das Prog "RunAs Proffessional" erwähnt. Hab ich mir gleich gekauft. 1 Lizenz kostet nur 10?....
Damit habe ich dann alles konfiguriert..... klappte auch.
Nur dazu jetzt noch ne frage.
Wenn Sie sich abmeldet kopiert der Asisstent die Outlook.pst & den Ordner Eigene Dateien von ihr nach D:\BackUp. <- Klappt nicht wirklich. Der führt das Backup nie aus. Unter meinem Adminkonto jedoch schon.
Wenn Sie sich anmeldet kopiert der Asisstent alles wieder zurück. (Ist für den Fall das ich den Rechner mal mit Ghost zurücksetze. Damit die Daten direkt wieder da sind.)

Jetzt habe ich in RunAs Pro einen Schalter gefunden, "Warte bis laufende Anwendung beendet ist" wenn der aktiviert ist klappt das. Kannst Du mir das vielleicht erklären?!

So, soweit bin ich jetzt.
Was mich noch interessieren würde ware: Wie schalte ich die An-/Abmeldeskripts Benutzerdefiniert?
Das nervt nämlich, wenn ich mich mit meinem Konto anmelde und Ihre Sicherungen gemacht werden.

Danke schon mal....... und entschuldigt wenn ich etwas viel geschrieben habe, aber ich habe heute schon eine ganze Anleitung verfasst..... bin etwas in rage ..... face-smile *g
Thx

Gruss Sam
Atti58
Atti58 30.12.2004 um 08:33:11 Uhr
Goto Top
Hallo Sam,

na ja, ich konnte ihn gerade noch lesen, Deinen Roman face-wink ...

Da bist Du ja selber schon ganz schön weit gekommen und mit Deiner Beschreibung können andere das leidige "DAU"-Problem face-smile auch angehen, Glückwunsch!

Ich fang mal hinten an:

"Wie schalte ich die An-/Abmeldeskripts Benutzerdefiniert?" -> ganz einfach, lege das Script im Ordner: "C:\Dokumente und Einstellungen\%MUTTER%\Startmenü\Programme\Startup" (evtl auch "Autostart" hab' hier nur engl. BS)

"Warte bis laufende Anwendung beendet ist" ... Kannst Du mir das vielleicht erklären?! -> Wenn z.B. Outlook geschlossen wird, dauert es ein paar Sekunden, bis die Datei "Outlook.pst" auf die Platte geschrieben wurde, in dieser Zeit ist der Zugriff auf diese Datei gesperrt, man kann (normalerweise face-wink ) keine Dateien zwei oder mehrmals öffnen und Schreibzugriff haben ...

"Aber die Internetoptionen habe ich gesperrt. Nur reicht das um zu verhindern das die Standarteinwahl geändert wird???" -> wohl eher nicht, diese Dialer-Programmierer haben schon ein paar Tricks, solche Sachen zu umgehen. Ich rate Dir zu einem "Anti-Dialer-Programm", findest Du im Netz. Besser noch wäre es, wenn Du bei der Telekom die 0190 und 0900 (0137 ?) spereen lassen würdest, das kostet wohl einmalig 5 Teuro, ist aber die sicherste Methode. Da Du Ghost verwendest, ist's ja auch kein Problem, den Originalzustand wiederherzustellen. Kann man das eigentlich auch "automatisiert" über die "Startdiskette" machen, also Disk einlegen, booten -> der Rest wird alleine gemacht?

Bei den Dateien hast Du Dir sehr viel Arbeit gemacht, für eine so "ausgeklügelte" Variante ist es aber wohl das Beste, ich hätte Dir wahrscheinlich dazu geraten, ganze Verzeichnisse zu sperren, dann wäre natürlich auch das eine odeer andere Programm unter die Räder gekommen, das Du eigentlich freigeben wolltest face-wink ...

Ansonsten hast Du mit Deinem Weg sicher sehr viel mehr gelernt, als wenn wir Dir hier alles vorgekaut hätten,

ich wünsche Dir einen guten Rutsch,

Atti.
SamTrex
SamTrex 30.12.2004 um 14:42:09 Uhr
Goto Top
"DAU"-Problem
Was heisst "DAU" ????

An-/Abmeldeskripts
"C:\Dokumente und Einstellungen\%MUTTER%\Startmenü\Programme\Startup"
Hm... gut, damit hätte sich das mit den Anmeldeskripts gekläret .... und beim Abmelden????

Internetoptionen
Wohl eher nicht, diese Dialer-Programmierer haben schon ein paar Tricks, solche Sachen zu umgehen. Ich rate Dir zu einem
"Anti-Dialer-Programm.
Da kann ich vielleicht noch einen Tipp zu geben...
Die Nummer zu sperren wäre warscheinlich das einfachste Methode, nur ist meinem lieben Mutter das zuviel trara.... ;)
Ich hab das nochmal ausprobiert und das Netzwerk gesperrt, auch über die Administrativen Vorlagen. Das Netzwerk ist auch gesperrt...... Auch für RAS habe ich nur
lesen erlaubt, aber sie kann es als Benutzer trotzdem kopieren und ändern (DFÜ). Warum auch immer. Dann bin ich auf die Idee gekommen mal nach der Endung des DFÜ-Eintrags zu suchen....
Es handelt sich hier um *.pbk Dateien...... Bei Google habe ich folgendes interesantes gefunden:
http://www.pc-magazin.de/praxis/windows/cm/tipps/tipps.php?nr=1&id= ...
Und das habe ich dann auch gemacht. "rasphone.pbk für Benutzer schreibzugriff verweigert. TADA!
Das einzige was jetzt noch geht ist das man die nummer von Hand eingeben kann und wählt.... aber sichern kann man nichts mehr. Denke das sollte reichen. :]

Ghost - Ab 2003 auch für NTFS und andere....
Kann man das eigentlich auch "automatisiert" über die "Startdiskette" machen, also Disk einlegen, booten
-> der Rest wird alleine gemacht?
Ja, Du kannst es booten und mit verschiedenen Parametern starten.
z.B. Booten von HDD/CD/FDD starten - sichern nach ........ neustarten. Rückwärts natürlich genauso.
Falls Du ein BackUp auf dem Server hast, kannst Du es auch über das LAN wieder herstellen.
Du kannst Dir das Handbuch zu Ghost 2003 ja mal ansehen. Hab es bei mir auf der HP.
http://www.samtrex.mynetcologne.de/ghost.pdf <- Aber sag mir bitte bescheid wenn Du es hast oder nicht brauchst. Dann lösche ich es wieder.....

Bei den Dateien hast Du Dir sehr viel Arbeit gemacht, für eine so "ausgeklügelte" Variante ist es aber wohl das Beste, ich hätte Dir
wahrscheinlich dazu geraten, ganze Verzeichnisse zu sperren, dann wäre natürlich auch das eine odeer andere
Programm unter die Räder gekommen, das Du eigentlich freigeben wolltest face-wink ...
Du wirst lachen.... genau das habe ich am anfang auch gemacht.
C:\Windows
C:\Programme
Nur leseberechtigt. Klappt aber nicht weil viele Progs ja Dateien schreiben... Allein C:\Windows\Temp. Naja, war ne menge Arbeit, hast Du recht.

Ansonsten hast Du mit Deinem Weg sicher sehr viel mehr gelernt, als wenn wir Dir hier alles vorgekaut hätten...
Da hast Du recht.... allerdings habe ich dafür einen 36 Stunden Tag gemacht .... aber es war lustig... :]
Allein das mit dem "RunAs" & "Warten bis Programm beendet" hat mich fast 6 Stunden gekostet..... Bin schon fast verzeifelt.
So kann man sich aber mal ein Bild davon machen, wie es euch so geht wenn ihr mal ein richtiges Problem habt. Wo es dem Chef nicht schnell genug geht......
Von da her, mein Respekt Leute!!!

Dank Dir nochmal Atti!
Und guten RUTSCH!!!

MfG Sam
Atti58
Atti58 30.12.2004 um 15:14:14 Uhr
Goto Top
... was ein GAU ist, weißt Du? - der "Größte Anzunehmende Unfall" im Atomkraftwerk - ein DAU ist der "Dümmste Anzunehmde User" - IT-Fachsprache eben face-wink face-smile ...

... beim Abmelden wird's schon komplizierter - das kannst Du wohl nur über die lokale Computerpolicy machen: Du definierst ein "logoff"-Scropt, das auf:

"C:\Dokumente und Einstellungen\%USERNAME%\Start Menu\Programs\Startup\shutdown.bat"

beim Admin ist die shutdown.bat leer, bei den DAU's steht der Kopierbefehl drin ...

PDF erledigt, danke!!

Alles klar, Dir auch einen guten Rutsch

Atti.