Internet-Terminal auf Windows-Ebene ohne Dateizugriff?

Mitglied: MiMa89

MiMa89 (Level 1) - Jetzt verbinden

03.11.2011 um 09:59 Uhr, 5107 Aufrufe, 14 Kommentare

Hallo liebe IT'ler

folgende Frage hätte ich.

Ist es möglich auf Windowsebene (also OHNE zusätzliche Tools/Programme) das Windows so einzustellen, dass nur bestimmte Nutzer (z.B. Nutzer: Internetterminal) absolut KEINEN Zugriff auf jegliche Dateien, sowie Wechseldatenträger haben und NUR den Internetexplorer bzw. Firefox öffnen können?

Insgesamt also nur eine einzige Internetberechtigung.


Pc bootet -> Nur ein Symbol (Internet) auf dem Desktop und dem Startmenü sichtbar.


Grüße
Mitglied: DerWoWusste
03.11.2011 um 10:12 Uhr
Hi.

Das geht. NTFS-Rechte auf Ordner anpassen und Applocker (Win7/2008R2) bzw. Softwareeinschränkungsrichtlinien (Vista/2008 und 2003/xp) anpassen.
Bitte warten ..
Mitglied: MiMa89
03.11.2011 um 10:14 Uhr
Achja, wäre so eine alte Kiste mit Windows XP ^^
Bitte warten ..
Mitglied: nikoatit
03.11.2011 um 10:14 Uhr
Moin,

das kannst mit jeder Windows Pro bzw. Business-Version ab XP.
Dazu musst du dem User die Explizit den Zugriff auf den NTFS-Ebene auf die "verbotenen Ordner" verweigern.
Die weiteren Einschränkungen nimmst du in den Lokalen Richtlinien vor (bzw. Windows 7 AppLocker in Enterprise und Ultimate)

Gruß
Bitte warten ..
Mitglied: MiMa89
10.11.2011 um 15:22 Uhr
Bestimmte Berechtigungen habe ich nun gesetzt.

Wie ich schon gelesen habe, kann es sein, dass man durch falsche Berechtigungen sich den Admin "aussperren" kann.

Wie kann ich es schon vorher verhindern bzw. kann ich Berechtigungen/Freigaben NUR für User setzen, anstatt für alle Benutzer (somit auch Admin's)?
Bitte warten ..
Mitglied: DerWoWusste
10.11.2011 um 15:25 Uhr
Bitte beschreibe, was Du getan hast. "Bestimmte Berechtigungen habe ich nun gesetzt" kann ja nun vieles heißen: NTFS oder Softwareeinschränkung?
Aussperren ist unmöglich. Wer auch immer das behauptet, hat kein Fünkchen Ahnung.
Denn: A) Ein Admin kann sich alle NTFS-Rechte wieder geben. B) die Einschränkungsrichtlinien kann man so einstellen, dass sie zwischen Admin und User unterscheiden und das Konfigtool dazu (secpol.msc) geht immer auf, denn es liegt in einem default erlaubten Pfad.
Bitte warten ..
Mitglied: MiMa89
10.11.2011 um 17:23 Uhr
Ich habe unter Windows XP in den Richtlinien für den Lokalen Computer (Gruppenrichtlinie) verschiedene Dinge wie z.B. Systemsteuerung anzeigen deaktiviert, Eigene Dateien usw anzeigen verweigert.
Die Nutzer (in der Domäne, nicht Lokal!!!) sollen ja nur den Internet Explorer auf dem Dekstop angezeigt bekommen.

Kein Zugriff auf jegliche Ordner/Festplatten!


Nun wie schon gesagt, ändere ich die Einstellungen mit dem Administrator und habe gerade keine Systemsteuerung mehr -.-

Kann also demnach nichts mehr ändern.
Bitte warten ..
Mitglied: DerWoWusste
10.11.2011 um 21:17 Uhr
Lokale GPOs kann man erst seit Vista ohne Weiteres zwisdchen User und Admin differenziert durchsetzen. Bei xp ginge jedoch http://support.microsoft.com/kb/325351 8Anleitung für 2003, aber ich glaube, das geht auch bei xp, wüsste nicht, warum nicht).
Bitte warten ..
Mitglied: MiMa89
14.11.2011 um 11:17 Uhr
Den Artikel habe ich schon durchgelesen.

Ich mache ja genau was dort im Artikel angegeben ist.

"Erweitern Sie das User Configuration -Objekt, und erweitern Sie dann Administrative Vorlagen -Objekt.
Aktivieren Sie alle Richtlinien, die sollen (z. B. Desktop für "Ausblenden der Netzwerkumgebung" oder "Ausblenden Internet Explorer Symbol auf Desktop")."

Benutzerkonfiguration -> Administrative Vorlagen und klicke zum testen z.B. auf "Systemsteuerung" und aktiviere, dass der Zugriff auf die Systemsteuerung nicht zugelassen werden soll.

Speichere und melde mich als Administrator ab und melde mich z.B. nun mit einem Benutzernamen aus der Domäne an.
Siehe da, die Richtlinie klappt und die Systemsteuerung ist nicht mehr zu sehen.

Problem: Sobald ich mich wieder als lokaler Administrator anmelde, ist hier AUCH die Systemsteuerung nicht mehr sichtbar!


Was nun? :/
Bitte warten ..
Mitglied: DerWoWusste
14.11.2011 um 11:39 Uhr
Du hast ALLE Schritte aus dem Artikel durchgeführt?
Bitte warten ..
Mitglied: MiMa89
14.11.2011 um 13:13 Uhr
Ich gehe hier nochmal die Schritte kurz durch:

- Ausführen, Mmc, Lokale Gruppenrichtlinie hinzugefügt und Konsole auf dem Desktop gesichert (falls die Syssteuerung wieder verschwinden sollte -.-)

- Im system32-Ordner und GroupPolicy / User die Registry.pol gesichert. Also die mit den Standardeinstellungen

- In der Konsole, Benutzerkonfiguration -> Administrative Vorlagen zum testen "Arbeitsplatz vom Desktop entfernen" aktiviert

- Alles gesichert. Abgemeldet und als Domänenbenutzer angemeldet. Die Richtilinie greift.

- Als lokaler Admin angemeldet und hier greift die Richtlinie genauso!

- Also nun die "alte" Standard-Registry.pol wieder in den GroupPolicy Ordner geschoben, da er ja eigentlich nur die Standardeinstellungen für den lokalen Admin nehmen soll.

- Abgemeldet und wieder angemeldet.


Fazit: Domänen-Benutzer -> Arbeitsplatz nicht sichtbar
Lokaler Admin -> Arbeitsplatz trotz alter Sicherung der registry.pol auch nicht sichtbar.
Bitte warten ..
Mitglied: DerWoWusste
14.11.2011 um 18:52 Uhr
Soll ich nun mit den 15 Schritten von MS vergleichen? ;)
Wenn Du alle durchgeführt hast, muss es gehen. Teste es mal an einem xp-PC (möglichst ein naturbelassener).
Bitte warten ..
Mitglied: MiMa89
15.11.2011 um 14:42 Uhr
Ja bitte, es muss einfach klappen!


Es ist ein Notebook mit naturballesenem XP + SP3.

Lediglich habe ich Windows Updates eingespielt.


Keine Ahnung was ich da falsch mache.

Bis Freitag muss ich es hinbekommen haben^^
Bitte warten ..
Mitglied: DerWoWusste
15.11.2011 um 14:52 Uhr
Ja bitte
Nee. Du musst vergleichen, ist ja wohl klar :) face-smile
Wenn Du alles so gemacht hast wie MS, dann nimm einen weiteren PC oder VM und teste dort.
Bitte warten ..
Mitglied: MiMa89
17.11.2011 um 08:23 Uhr
Also dieser Fall hat sich wohl gelöst.

Ich hatte alles richtig gemacht, bis auf die Tatsache dass ich fast gegen Ende die Rechte für den Admin wiederherstellen sollte, damit er eben nicht die Richtlinien mitzieht.

Dort habe ich auf "Nicht aktiviert" gestellt, was somit die ganzen Dinge auf Standard setzt (wie auch am Ende des Windows-Artikels steht), was nicht sein sollte.

Es muss z.B. "Arbeitsplatz verweigern" auf De!aktiviert gestellt werden, damit der Admin auch die richtige Einstellung zieht.


Naja, dummer Fehler aber nun läuft es :D

Jetzt muss ich es nur noch schaffen, dass der Internet Explorer die Proxy-Einstellung nach dem Neustart nicht verliert.


Vielen Dank an alle Beteiligten und vorallem an dich "DerWoWusste" ;)
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit56 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 1 TagAllgemeinHyper-V20 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Off Topic
Nach 700 Tagen adwcleaner
altmetallerVor 1 TagAllgemeinOff Topic8 Kommentare

Hallo, ich habe in meinem Netzwerk diverse Maßnahmen, um nicht nur Angriffe, sondern auch - sagen wir mal - unerwünschte Datenabflüsse und Tracking zu ...

Server-Hardware
Was bedeuten die Abkürzungen beim HPE-Server wie z.B. NC, Mod-X?
gelöst kaineanungVor 1 TagFrageServer-Hardware19 Kommentare

Hallo Leute, ich habe ein HPE-Serverangebot vorliegen bei dem ich an 1-2 Positionen nicht weiß was diese überhaupt bedeuten. Suche ich im Internet danach ...

Netzwerkgrundlagen
DS-Lite Verständnisfrage Wireguard
gelöst fnbaluVor 1 TagFrageNetzwerkgrundlagen19 Kommentare

Hallo zusammen, bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so ...

Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 23 StundenInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

Microsoft Office
Jubiläen in Outlook 2016 korrekt eintragen
imebroVor 1 TagFrageMicrosoft Office16 Kommentare

Hallo an Alle. Wir haben nur einen recht kleinen Mitarbeiterkreis. Da in der Vergangenheit schon mehrfach versäumt wurde, Kolleg/-innen zu Betriebs-Jubiläen zu gratulieren, würde ...