6
Bestimmte Anwendungen für bestimmte Benutzer sperren
Ein PC mit Windows 7 und 4 Benutzern.
1 Vorschulkind benutzt den PC für Spiele
1 Volksschulkind benutzt den PC für Spiele und Hausarbeiten
1 Erwachsener Gelegenheitsnutzer
1 Erwachsener, der den PC aktualisiert.
Die Kinder sollen mit dem PC keinen Internetbrowser starten können.
1 Programm für Fotobearbeitung und 1 Programm für Videobearbeitung soll nur vom Gelegenheitsnutzer aufgerufen werden können.
Programme installieren und Windowseinstellungen sollen nur vom Administrator vorgenommen werden können.
Über gpedit kann man Softwareeinschränkungen für diverse Anwendungen erstellen.
Leider kann man aber nur zwischen "Nicht eingeschränkt", "Nicht erlaubt" und "Standardbenutzer" wählen.
Ich habe keine Möglichkeit gefunden, statt "Standardbenutzer" den Nutzernamen oder eine Benutzergruppe anzugeben.
Gibt es eine andere Möglichkeit oder habe ich etwas übersehen?
Bitte um Hilfe
Gerry
1 Vorschulkind benutzt den PC für Spiele
1 Volksschulkind benutzt den PC für Spiele und Hausarbeiten
1 Erwachsener Gelegenheitsnutzer
1 Erwachsener, der den PC aktualisiert.
Die Kinder sollen mit dem PC keinen Internetbrowser starten können.
1 Programm für Fotobearbeitung und 1 Programm für Videobearbeitung soll nur vom Gelegenheitsnutzer aufgerufen werden können.
Programme installieren und Windowseinstellungen sollen nur vom Administrator vorgenommen werden können.
Über gpedit kann man Softwareeinschränkungen für diverse Anwendungen erstellen.
Leider kann man aber nur zwischen "Nicht eingeschränkt", "Nicht erlaubt" und "Standardbenutzer" wählen.
Ich habe keine Möglichkeit gefunden, statt "Standardbenutzer" den Nutzernamen oder eine Benutzergruppe anzugeben.
Gibt es eine andere Möglichkeit oder habe ich etwas übersehen?
Bitte um Hilfe
Gerry
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667160
Url: https://administrator.de/contentid/667160
Printed on: April 26, 2024 at 19:04 o'clock
6 Comments
Latest comment
Hi
also ... so ziemlich jede Jugendschutz-Anwendung kann sowas. Da kann man dann dem User seine Apps zuordnen und Internet sperren oder nur gewisse Kategorien erlauben bzw sperren.
also ... so ziemlich jede Jugendschutz-Anwendung kann sowas. Da kann man dann dem User seine Apps zuordnen und Internet sperren oder nur gewisse Kategorien erlauben bzw sperren.
Ich würde das nach Möglichkeit lieber mit Windows eigenen Bordmitteln einstellen.
Eine zusätzliche Software frißt womöglich wieder CPU-Leistung und bremst daher das System.
Die Windows eigene Softwareeinschränkung kann ja eigentlich genau das, was ich will.
Es fehlt ja nur die Möglichkeit, statt Standardbenutzer eine Benutzergruppe oder direkt einen Benutzer auszuwählen.
Gerry
Eine zusätzliche Software frißt womöglich wieder CPU-Leistung und bremst daher das System.
Die Windows eigene Softwareeinschränkung kann ja eigentlich genau das, was ich will.
Es fehlt ja nur die Möglichkeit, statt Standardbenutzer eine Benutzergruppe oder direkt einen Benutzer auszuwählen.
Gerry
das kommt daher weil SRP nur unterscheidet Zwischen "Ist Admin oder ist nicht Admin". Von daher: Nein, SRP kann das nicht. (Was du da hast unter "Sicherheitsstufen" ist eh das falsche. Das ist nur das Standardverhalten. Die Eigentlichen Einstellungen macht man da unter "Zusätzliche Regeln")
Eine Option wäre noch den Usern die Rechte auf die nicht erlaubten Programme zu nehmen. Das wird aber eine fummelige arbeit, weil du da mit einem Blacklisting arbeiten würdest, anstatt mit einem Whitelisting. Ungewollte Programme explizit sperren würde so gehen. Aber halt nicht "Darf NUR Programm X und Y, sonst nichts". Sobald die Kids ein bisschen kreativ werden, haben sie das also ruckzuck umgangen
Je nach dem wie sicher das sein soll könntest du auch nur unter Benutzerkonfig>Admin.Vorlagen>System>Nur zugelassene Anwendungen nutzen. Das greift aber nur bei allem was der User quasi per Doppelklick im Explorer starten will. Wenn er eine CMD öffnet oder über den Taskmanager die Exe startet, dann geht das trotzdem
Thema "Verbraucht zusätzliche Systemressourcen": Eher nicht. Wenn der Rechner jetzt nicht grad 10+ Jahre alt ist, dann macht sowas quasi keinen spürbaren unterschied. Das ist ja kein Virenscanner.
Eine Option wäre noch den Usern die Rechte auf die nicht erlaubten Programme zu nehmen. Das wird aber eine fummelige arbeit, weil du da mit einem Blacklisting arbeiten würdest, anstatt mit einem Whitelisting. Ungewollte Programme explizit sperren würde so gehen. Aber halt nicht "Darf NUR Programm X und Y, sonst nichts". Sobald die Kids ein bisschen kreativ werden, haben sie das also ruckzuck umgangen
Je nach dem wie sicher das sein soll könntest du auch nur unter Benutzerkonfig>Admin.Vorlagen>System>Nur zugelassene Anwendungen nutzen. Das greift aber nur bei allem was der User quasi per Doppelklick im Explorer starten will. Wenn er eine CMD öffnet oder über den Taskmanager die Exe startet, dann geht das trotzdem
Thema "Verbraucht zusätzliche Systemressourcen": Eher nicht. Wenn der Rechner jetzt nicht grad 10+ Jahre alt ist, dann macht sowas quasi keinen spürbaren unterschied. Das ist ja kein Virenscanner.
Daß die Einstellung unter dem Punkt "zusätzliche Regeln" erfolgen muß, ist mir bekannt.
Da aber der Begriff Softwareeinschränkungen aussagekräftiger ist, und auch gleichzeitig der Überbegriff ist, habe ich es so geschrieben.
Ursprünglich wollte ich auch die Einschränkungen direkt bei der Programmdatei vornehmen.
Leider funktioniert das bei der Datei iexplore.exe nicht.
Bei Sicherheit können nur die eingetragenen Benutzer angesehen, aber keine gelöscht und auch keine zusätzlich definiert werden.
Auch im Modus "erweitert" kann nichts verändert werden.
Bei der Programmdatei google.exe können die Benutzer verändert werden.
Da ich aber eine Einstellungsmöglichkeit für alle Anwendungen benutzen will, habe ich es über die Softwareeinschränkungen versucht.
Wenn du auch keine Möglichkeit mit Windows eigenen Anwendungen kennst, werde ich es eben mit einer zusätzlichen Software versuchen.
Welche Programme sind da zu empfehlen?
Gerry
Da aber der Begriff Softwareeinschränkungen aussagekräftiger ist, und auch gleichzeitig der Überbegriff ist, habe ich es so geschrieben.
Ursprünglich wollte ich auch die Einschränkungen direkt bei der Programmdatei vornehmen.
Leider funktioniert das bei der Datei iexplore.exe nicht.
Bei Sicherheit können nur die eingetragenen Benutzer angesehen, aber keine gelöscht und auch keine zusätzlich definiert werden.
Auch im Modus "erweitert" kann nichts verändert werden.
Bei der Programmdatei google.exe können die Benutzer verändert werden.
Da ich aber eine Einstellungsmöglichkeit für alle Anwendungen benutzen will, habe ich es über die Softwareeinschränkungen versucht.
Wenn du auch keine Möglichkeit mit Windows eigenen Anwendungen kennst, werde ich es eben mit einer zusätzlichen Software versuchen.
Welche Programme sind da zu empfehlen?
Gerry
Die Kinder sollen mit dem PC keinen Internetbrowser starten können.
Sag mal was bist denn du für einer? Zwecks Lernen, etc. den Browser sperren? ;)
Gibt es eine andere Möglichkeit oder habe ich etwas übersehen?
ja, nennt sich GPO, da nur Windows 7 ohne Server, sollte aber gehen. Start / Ausführen MMC, dort laut Screenshot, die Gruppenrichtlinien hinzufügen und unter Benuter ausäwhlen für wen die gelten sollen, dann in den Richtlinien selbst (4.) die gewünschten Restriktionen setzen.
Aber Vorsicht: da sperrt man sich leicht selber aus!!!!!!!
LG.
H.K.
Hallo!
Danke an Alle, die mit diversen Beiträgen hilfreich zur Lösung beigetragen haben.
Ich habe mich für die Variante mit dem Registryeintrag entschieden.
Der Entscheidungsgrund war, daß keine zusätzliche Software notwendig ist, und daß bei sperren der Anwendung registry der Nutzer keine Möglichkeit hat, die erlaubten Anwendungen zu ändern.
Natürlich könnte der Anwender, wenn er mit einem anderen Benutzernamen, der Administratorrechte hat - einsteigt, die erlaubten Anwendungen ändern.
Da ich davon ausgehe, daß auf einem Privat-PC keine Hackerprofis die Nutzerrechte verändern wollen, reicht dies vollkommen aus.
Danke an Alle, die mit diversen Beiträgen hilfreich zur Lösung beigetragen haben.
Ich habe mich für die Variante mit dem Registryeintrag entschieden.
Der Entscheidungsgrund war, daß keine zusätzliche Software notwendig ist, und daß bei sperren der Anwendung registry der Nutzer keine Möglichkeit hat, die erlaubten Anwendungen zu ändern.
Natürlich könnte der Anwender, wenn er mit einem anderen Benutzernamen, der Administratorrechte hat - einsteigt, die erlaubten Anwendungen ändern.
Da ich davon ausgehe, daß auf einem Privat-PC keine Hackerprofis die Nutzerrechte verändern wollen, reicht dies vollkommen aus.