Internet-Terminal auf Windows-Ebene ohne Dateizugriff?
Hallo liebe IT'ler
folgende Frage hätte ich.
Ist es möglich auf Windowsebene (also OHNE zusätzliche Tools/Programme) das Windows so einzustellen, dass nur bestimmte Nutzer (z.B. Nutzer: Internetterminal) absolut KEINEN Zugriff auf jegliche Dateien, sowie Wechseldatenträger haben und NUR den Internetexplorer bzw. Firefox öffnen können?
Insgesamt also nur eine einzige Internetberechtigung.
Pc bootet -> Nur ein Symbol (Internet) auf dem Desktop und dem Startmenü sichtbar.
Grüße
Ist es möglich auf Windowsebene (also OHNE zusätzliche Tools/Programme) das Windows so einzustellen, dass nur bestimmte Nutzer (z.B. Nutzer: Internetterminal) absolut KEINEN Zugriff auf jegliche Dateien, sowie Wechseldatenträger haben und NUR den Internetexplorer bzw. Firefox öffnen können?
Insgesamt also nur eine einzige Internetberechtigung.
Pc bootet -> Nur ein Symbol (Internet) auf dem Desktop und dem Startmenü sichtbar.
Grüße
14 Antworten
- LÖSUNG DerWoWusste schreibt am 03.11.2011 um 10:12:24 Uhr
- LÖSUNG MiMa89 schreibt am 03.11.2011 um 10:14:21 Uhr
- LÖSUNG nikoatit schreibt am 03.11.2011 um 10:14:51 Uhr
- LÖSUNG MiMa89 schreibt am 10.11.2011 um 15:22:15 Uhr
- LÖSUNG DerWoWusste schreibt am 10.11.2011 um 15:25:50 Uhr
- LÖSUNG MiMa89 schreibt am 10.11.2011 um 17:23:02 Uhr
- LÖSUNG DerWoWusste schreibt am 10.11.2011 um 21:17:05 Uhr
- LÖSUNG MiMa89 schreibt am 14.11.2011 um 11:17:40 Uhr
- LÖSUNG DerWoWusste schreibt am 14.11.2011 um 11:39:40 Uhr
- LÖSUNG MiMa89 schreibt am 14.11.2011 um 13:13:22 Uhr
- LÖSUNG DerWoWusste schreibt am 14.11.2011 um 18:52:21 Uhr
- LÖSUNG MiMa89 schreibt am 15.11.2011 um 14:42:54 Uhr
- LÖSUNG DerWoWusste schreibt am 15.11.2011 um 14:52:04 Uhr
- LÖSUNG MiMa89 schreibt am 17.11.2011 um 08:23:14 Uhr
- LÖSUNG DerWoWusste schreibt am 15.11.2011 um 14:52:04 Uhr
- LÖSUNG MiMa89 schreibt am 15.11.2011 um 14:42:54 Uhr
- LÖSUNG DerWoWusste schreibt am 14.11.2011 um 18:52:21 Uhr
- LÖSUNG MiMa89 schreibt am 14.11.2011 um 13:13:22 Uhr
- LÖSUNG DerWoWusste schreibt am 14.11.2011 um 11:39:40 Uhr
- LÖSUNG MiMa89 schreibt am 14.11.2011 um 11:17:40 Uhr
- LÖSUNG DerWoWusste schreibt am 10.11.2011 um 21:17:05 Uhr
- LÖSUNG MiMa89 schreibt am 10.11.2011 um 17:23:02 Uhr
- LÖSUNG DerWoWusste schreibt am 10.11.2011 um 15:25:50 Uhr
- LÖSUNG MiMa89 schreibt am 10.11.2011 um 15:22:15 Uhr
LÖSUNG 03.11.2011 um 10:12 Uhr
LÖSUNG 03.11.2011 um 10:14 Uhr
Moin,
das kannst mit jeder Windows Pro bzw. Business-Version ab XP.
Dazu musst du dem User die Explizit den Zugriff auf den NTFS-Ebene auf die "verbotenen Ordner" verweigern.
Die weiteren Einschränkungen nimmst du in den Lokalen Richtlinien vor (bzw. Windows 7 AppLocker in Enterprise und Ultimate)
Gruß
das kannst mit jeder Windows Pro bzw. Business-Version ab XP.
Dazu musst du dem User die Explizit den Zugriff auf den NTFS-Ebene auf die "verbotenen Ordner" verweigern.
Die weiteren Einschränkungen nimmst du in den Lokalen Richtlinien vor (bzw. Windows 7 AppLocker in Enterprise und Ultimate)
Gruß
LÖSUNG 10.11.2011 um 15:22 Uhr
Bestimmte Berechtigungen habe ich nun gesetzt.
Wie ich schon gelesen habe, kann es sein, dass man durch falsche Berechtigungen sich den Admin "aussperren" kann.
Wie kann ich es schon vorher verhindern bzw. kann ich Berechtigungen/Freigaben NUR für User setzen, anstatt für alle Benutzer (somit auch Admin's)?
Wie ich schon gelesen habe, kann es sein, dass man durch falsche Berechtigungen sich den Admin "aussperren" kann.
Wie kann ich es schon vorher verhindern bzw. kann ich Berechtigungen/Freigaben NUR für User setzen, anstatt für alle Benutzer (somit auch Admin's)?
LÖSUNG 10.11.2011 um 15:25 Uhr
Bitte beschreibe, was Du getan hast. "Bestimmte Berechtigungen habe ich nun gesetzt" kann ja nun vieles heißen: NTFS oder Softwareeinschränkung?
Aussperren ist unmöglich. Wer auch immer das behauptet, hat kein Fünkchen Ahnung.
Denn: A) Ein Admin kann sich alle NTFS-Rechte wieder geben. B) die Einschränkungsrichtlinien kann man so einstellen, dass sie zwischen Admin und User unterscheiden und das Konfigtool dazu (secpol.msc) geht immer auf, denn es liegt in einem default erlaubten Pfad.
Aussperren ist unmöglich. Wer auch immer das behauptet, hat kein Fünkchen Ahnung.
Denn: A) Ein Admin kann sich alle NTFS-Rechte wieder geben. B) die Einschränkungsrichtlinien kann man so einstellen, dass sie zwischen Admin und User unterscheiden und das Konfigtool dazu (secpol.msc) geht immer auf, denn es liegt in einem default erlaubten Pfad.
LÖSUNG 10.11.2011 um 17:23 Uhr
Ich habe unter Windows XP in den Richtlinien für den Lokalen Computer (Gruppenrichtlinie) verschiedene Dinge wie z.B. Systemsteuerung anzeigen deaktiviert, Eigene Dateien usw anzeigen verweigert.
Die Nutzer (in der Domäne, nicht Lokal!!!) sollen ja nur den Internet Explorer auf dem Dekstop angezeigt bekommen.
Kein Zugriff auf jegliche Ordner/Festplatten!
Nun wie schon gesagt, ändere ich die Einstellungen mit dem Administrator und habe gerade keine Systemsteuerung mehr -.-
Kann also demnach nichts mehr ändern.
Die Nutzer (in der Domäne, nicht Lokal!!!) sollen ja nur den Internet Explorer auf dem Dekstop angezeigt bekommen.
Kein Zugriff auf jegliche Ordner/Festplatten!
Nun wie schon gesagt, ändere ich die Einstellungen mit dem Administrator und habe gerade keine Systemsteuerung mehr -.-
Kann also demnach nichts mehr ändern.
LÖSUNG 10.11.2011 um 21:17 Uhr
Lokale GPOs kann man erst seit Vista ohne Weiteres zwisdchen User und Admin differenziert durchsetzen. Bei xp ginge jedoch http://support.microsoft.com/kb/325351 8Anleitung für 2003, aber ich glaube, das geht auch bei xp, wüsste nicht, warum nicht).
LÖSUNG 14.11.2011 um 11:17 Uhr
Den Artikel habe ich schon durchgelesen.
Ich mache ja genau was dort im Artikel angegeben ist.
"Erweitern Sie das User Configuration -Objekt, und erweitern Sie dann Administrative Vorlagen -Objekt.
Aktivieren Sie alle Richtlinien, die sollen (z. B. Desktop für "Ausblenden der Netzwerkumgebung" oder "Ausblenden Internet Explorer Symbol auf Desktop")."
Benutzerkonfiguration -> Administrative Vorlagen und klicke zum testen z.B. auf "Systemsteuerung" und aktiviere, dass der Zugriff auf die Systemsteuerung nicht zugelassen werden soll.
Speichere und melde mich als Administrator ab und melde mich z.B. nun mit einem Benutzernamen aus der Domäne an.
Siehe da, die Richtlinie klappt und die Systemsteuerung ist nicht mehr zu sehen.
Problem: Sobald ich mich wieder als lokaler Administrator anmelde, ist hier AUCH die Systemsteuerung nicht mehr sichtbar!
Was nun? :/
Ich mache ja genau was dort im Artikel angegeben ist.
"Erweitern Sie das User Configuration -Objekt, und erweitern Sie dann Administrative Vorlagen -Objekt.
Aktivieren Sie alle Richtlinien, die sollen (z. B. Desktop für "Ausblenden der Netzwerkumgebung" oder "Ausblenden Internet Explorer Symbol auf Desktop")."
Benutzerkonfiguration -> Administrative Vorlagen und klicke zum testen z.B. auf "Systemsteuerung" und aktiviere, dass der Zugriff auf die Systemsteuerung nicht zugelassen werden soll.
Speichere und melde mich als Administrator ab und melde mich z.B. nun mit einem Benutzernamen aus der Domäne an.
Siehe da, die Richtlinie klappt und die Systemsteuerung ist nicht mehr zu sehen.
Problem: Sobald ich mich wieder als lokaler Administrator anmelde, ist hier AUCH die Systemsteuerung nicht mehr sichtbar!
Was nun? :/
LÖSUNG 14.11.2011 um 13:13 Uhr
Ich gehe hier nochmal die Schritte kurz durch:
- Ausführen, Mmc, Lokale Gruppenrichtlinie hinzugefügt und Konsole auf dem Desktop gesichert (falls die Syssteuerung wieder verschwinden sollte -.-)
- Im system32-Ordner und GroupPolicy / User die Registry.pol gesichert. Also die mit den Standardeinstellungen
- In der Konsole, Benutzerkonfiguration -> Administrative Vorlagen zum testen "Arbeitsplatz vom Desktop entfernen" aktiviert
- Alles gesichert. Abgemeldet und als Domänenbenutzer angemeldet. Die Richtilinie greift.
- Als lokaler Admin angemeldet und hier greift die Richtlinie genauso!
- Also nun die "alte" Standard-Registry.pol wieder in den GroupPolicy Ordner geschoben, da er ja eigentlich nur die Standardeinstellungen für den lokalen Admin nehmen soll.
- Abgemeldet und wieder angemeldet.
Fazit: Domänen-Benutzer -> Arbeitsplatz nicht sichtbar
Lokaler Admin -> Arbeitsplatz trotz alter Sicherung der registry.pol auch nicht sichtbar.
- Ausführen, Mmc, Lokale Gruppenrichtlinie hinzugefügt und Konsole auf dem Desktop gesichert (falls die Syssteuerung wieder verschwinden sollte -.-)
- Im system32-Ordner und GroupPolicy / User die Registry.pol gesichert. Also die mit den Standardeinstellungen
- In der Konsole, Benutzerkonfiguration -> Administrative Vorlagen zum testen "Arbeitsplatz vom Desktop entfernen" aktiviert
- Alles gesichert. Abgemeldet und als Domänenbenutzer angemeldet. Die Richtilinie greift.
- Als lokaler Admin angemeldet und hier greift die Richtlinie genauso!
- Also nun die "alte" Standard-Registry.pol wieder in den GroupPolicy Ordner geschoben, da er ja eigentlich nur die Standardeinstellungen für den lokalen Admin nehmen soll.
- Abgemeldet und wieder angemeldet.
Fazit: Domänen-Benutzer -> Arbeitsplatz nicht sichtbar
Lokaler Admin -> Arbeitsplatz trotz alter Sicherung der registry.pol auch nicht sichtbar.
LÖSUNG 14.11.2011 um 18:52 Uhr
LÖSUNG 15.11.2011 um 14:42 Uhr
LÖSUNG 15.11.2011 um 14:52 Uhr
LÖSUNG 17.11.2011 um 08:23 Uhr
Also dieser Fall hat sich wohl gelöst.
Ich hatte alles richtig gemacht, bis auf die Tatsache dass ich fast gegen Ende die Rechte für den Admin wiederherstellen sollte, damit er eben nicht die Richtlinien mitzieht.
Dort habe ich auf "Nicht aktiviert" gestellt, was somit die ganzen Dinge auf Standard setzt (wie auch am Ende des Windows-Artikels steht), was nicht sein sollte.
Es muss z.B. "Arbeitsplatz verweigern" auf De!aktiviert gestellt werden, damit der Admin auch die richtige Einstellung zieht.
Naja, dummer Fehler aber nun läuft es :D
Jetzt muss ich es nur noch schaffen, dass der Internet Explorer die Proxy-Einstellung nach dem Neustart nicht verliert.
Vielen Dank an alle Beteiligten und vorallem an dich "DerWoWusste" ;)
Ich hatte alles richtig gemacht, bis auf die Tatsache dass ich fast gegen Ende die Rechte für den Admin wiederherstellen sollte, damit er eben nicht die Richtlinien mitzieht.
Dort habe ich auf "Nicht aktiviert" gestellt, was somit die ganzen Dinge auf Standard setzt (wie auch am Ende des Windows-Artikels steht), was nicht sein sollte.
Es muss z.B. "Arbeitsplatz verweigern" auf De!aktiviert gestellt werden, damit der Admin auch die richtige Einstellung zieht.
Naja, dummer Fehler aber nun läuft es :D
Jetzt muss ich es nur noch schaffen, dass der Internet Explorer die Proxy-Einstellung nach dem Neustart nicht verliert.
Vielen Dank an alle Beteiligten und vorallem an dich "DerWoWusste" ;)