03.11.2011
5706
14
0Internet-Terminal auf Windows-Ebene ohne Dateizugriff?
Hallo liebe IT'ler
folgende Frage hätte ich.
Ist es möglich auf Windowsebene (also OHNE zusätzliche Tools/Programme) das Windows so einzustellen, dass nur bestimmte Nutzer (z.B. Nutzer: Internetterminal) absolut KEINEN Zugriff auf jegliche Dateien, sowie Wechseldatenträger haben und NUR den Internetexplorer bzw. Firefox öffnen können?
Insgesamt also nur eine einzige Internetberechtigung.
Pc bootet -> Nur ein Symbol (Internet) auf dem Desktop und dem Startmenü sichtbar.
Grüße
folgende Frage hätte ich.
Ist es möglich auf Windowsebene (also OHNE zusätzliche Tools/Programme) das Windows so einzustellen, dass nur bestimmte Nutzer (z.B. Nutzer: Internetterminal) absolut KEINEN Zugriff auf jegliche Dateien, sowie Wechseldatenträger haben und NUR den Internetexplorer bzw. Firefox öffnen können?
Insgesamt also nur eine einzige Internetberechtigung.
Pc bootet -> Nur ein Symbol (Internet) auf dem Desktop und dem Startmenü sichtbar.
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175695
Url: https://administrator.de/forum/internet-terminal-auf-windows-ebene-ohne-dateizugriff-175695.html
Ausgedruckt am: 07.07.2025 um 01:07 Uhr
14 Kommentare
Neuester Kommentar
Hi.
Das geht. NTFS-Rechte auf Ordner anpassen und Applocker (Win7/2008R2) bzw. Softwareeinschränkungsrichtlinien (Vista/2008 und 2003/xp) anpassen.
Das geht. NTFS-Rechte auf Ordner anpassen und Applocker (Win7/2008R2) bzw. Softwareeinschränkungsrichtlinien (Vista/2008 und 2003/xp) anpassen.
Achja, wäre so eine alte Kiste mit Windows XP ^^
Moin,
das kannst mit jeder Windows Pro bzw. Business-Version ab XP.
Dazu musst du dem User die Explizit den Zugriff auf den NTFS-Ebene auf die "verbotenen Ordner" verweigern.
Die weiteren Einschränkungen nimmst du in den Lokalen Richtlinien vor (bzw. Windows 7 AppLocker in Enterprise und Ultimate)
Gruß
das kannst mit jeder Windows Pro bzw. Business-Version ab XP.
Dazu musst du dem User die Explizit den Zugriff auf den NTFS-Ebene auf die "verbotenen Ordner" verweigern.
Die weiteren Einschränkungen nimmst du in den Lokalen Richtlinien vor (bzw. Windows 7 AppLocker in Enterprise und Ultimate)
Gruß
Bestimmte Berechtigungen habe ich nun gesetzt.
Wie ich schon gelesen habe, kann es sein, dass man durch falsche Berechtigungen sich den Admin "aussperren" kann.
Wie kann ich es schon vorher verhindern bzw. kann ich Berechtigungen/Freigaben NUR für User setzen, anstatt für alle Benutzer (somit auch Admin's)?
Wie ich schon gelesen habe, kann es sein, dass man durch falsche Berechtigungen sich den Admin "aussperren" kann.
Wie kann ich es schon vorher verhindern bzw. kann ich Berechtigungen/Freigaben NUR für User setzen, anstatt für alle Benutzer (somit auch Admin's)?
Bitte beschreibe, was Du getan hast. "Bestimmte Berechtigungen habe ich nun gesetzt" kann ja nun vieles heißen: NTFS oder Softwareeinschränkung?
Aussperren ist unmöglich. Wer auch immer das behauptet, hat kein Fünkchen Ahnung.
Denn: A) Ein Admin kann sich alle NTFS-Rechte wieder geben. B) die Einschränkungsrichtlinien kann man so einstellen, dass sie zwischen Admin und User unterscheiden und das Konfigtool dazu (secpol.msc) geht immer auf, denn es liegt in einem default erlaubten Pfad.
Aussperren ist unmöglich. Wer auch immer das behauptet, hat kein Fünkchen Ahnung.
Denn: A) Ein Admin kann sich alle NTFS-Rechte wieder geben. B) die Einschränkungsrichtlinien kann man so einstellen, dass sie zwischen Admin und User unterscheiden und das Konfigtool dazu (secpol.msc) geht immer auf, denn es liegt in einem default erlaubten Pfad.
Ich habe unter Windows XP in den Richtlinien für den Lokalen Computer (Gruppenrichtlinie) verschiedene Dinge wie z.B. Systemsteuerung anzeigen deaktiviert, Eigene Dateien usw anzeigen verweigert.
Die Nutzer (in der Domäne, nicht Lokal!!!) sollen ja nur den Internet Explorer auf dem Dekstop angezeigt bekommen.
Kein Zugriff auf jegliche Ordner/Festplatten!
Nun wie schon gesagt, ändere ich die Einstellungen mit dem Administrator und habe gerade keine Systemsteuerung mehr -.-
Kann also demnach nichts mehr ändern.
Die Nutzer (in der Domäne, nicht Lokal!!!) sollen ja nur den Internet Explorer auf dem Dekstop angezeigt bekommen.
Kein Zugriff auf jegliche Ordner/Festplatten!
Nun wie schon gesagt, ändere ich die Einstellungen mit dem Administrator und habe gerade keine Systemsteuerung mehr -.-
Kann also demnach nichts mehr ändern.
Lokale GPOs kann man erst seit Vista ohne Weiteres zwisdchen User und Admin differenziert durchsetzen. Bei xp ginge jedoch support.microsoft.com/kb/325351 8Anleitung für 2003, aber ich glaube, das geht auch bei xp, wüsste nicht, warum nicht).
Den Artikel habe ich schon durchgelesen.
Ich mache ja genau was dort im Artikel angegeben ist.
"Erweitern Sie das User Configuration -Objekt, und erweitern Sie dann Administrative Vorlagen -Objekt.
Aktivieren Sie alle Richtlinien, die sollen (z. B. Desktop für "Ausblenden der Netzwerkumgebung" oder "Ausblenden Internet Explorer Symbol auf Desktop")."
Benutzerkonfiguration -> Administrative Vorlagen und klicke zum testen z.B. auf "Systemsteuerung" und aktiviere, dass der Zugriff auf die Systemsteuerung nicht zugelassen werden soll.
Speichere und melde mich als Administrator ab und melde mich z.B. nun mit einem Benutzernamen aus der Domäne an.
Siehe da, die Richtlinie klappt und die Systemsteuerung ist nicht mehr zu sehen.
Problem: Sobald ich mich wieder als lokaler Administrator anmelde, ist hier AUCH die Systemsteuerung nicht mehr sichtbar!
Was nun? :/
Ich mache ja genau was dort im Artikel angegeben ist.
"Erweitern Sie das User Configuration -Objekt, und erweitern Sie dann Administrative Vorlagen -Objekt.
Aktivieren Sie alle Richtlinien, die sollen (z. B. Desktop für "Ausblenden der Netzwerkumgebung" oder "Ausblenden Internet Explorer Symbol auf Desktop")."
Benutzerkonfiguration -> Administrative Vorlagen und klicke zum testen z.B. auf "Systemsteuerung" und aktiviere, dass der Zugriff auf die Systemsteuerung nicht zugelassen werden soll.
Speichere und melde mich als Administrator ab und melde mich z.B. nun mit einem Benutzernamen aus der Domäne an.
Siehe da, die Richtlinie klappt und die Systemsteuerung ist nicht mehr zu sehen.
Problem: Sobald ich mich wieder als lokaler Administrator anmelde, ist hier AUCH die Systemsteuerung nicht mehr sichtbar!
Was nun? :/
Du hast ALLE Schritte aus dem Artikel durchgeführt?
Ich gehe hier nochmal die Schritte kurz durch:
- Ausführen, Mmc, Lokale Gruppenrichtlinie hinzugefügt und Konsole auf dem Desktop gesichert (falls die Syssteuerung wieder verschwinden sollte -.-)
- Im system32-Ordner und GroupPolicy / User die Registry.pol gesichert. Also die mit den Standardeinstellungen
- In der Konsole, Benutzerkonfiguration -> Administrative Vorlagen zum testen "Arbeitsplatz vom Desktop entfernen" aktiviert
- Alles gesichert. Abgemeldet und als Domänenbenutzer angemeldet. Die Richtilinie greift.
- Als lokaler Admin angemeldet und hier greift die Richtlinie genauso!
- Also nun die "alte" Standard-Registry.pol wieder in den GroupPolicy Ordner geschoben, da er ja eigentlich nur die Standardeinstellungen für den lokalen Admin nehmen soll.
- Abgemeldet und wieder angemeldet.
Fazit: Domänen-Benutzer -> Arbeitsplatz nicht sichtbar
Lokaler Admin -> Arbeitsplatz trotz alter Sicherung der registry.pol auch nicht sichtbar.
- Ausführen, Mmc, Lokale Gruppenrichtlinie hinzugefügt und Konsole auf dem Desktop gesichert (falls die Syssteuerung wieder verschwinden sollte -.-)
- Im system32-Ordner und GroupPolicy / User die Registry.pol gesichert. Also die mit den Standardeinstellungen
- In der Konsole, Benutzerkonfiguration -> Administrative Vorlagen zum testen "Arbeitsplatz vom Desktop entfernen" aktiviert
- Alles gesichert. Abgemeldet und als Domänenbenutzer angemeldet. Die Richtilinie greift.
- Als lokaler Admin angemeldet und hier greift die Richtlinie genauso!
- Also nun die "alte" Standard-Registry.pol wieder in den GroupPolicy Ordner geschoben, da er ja eigentlich nur die Standardeinstellungen für den lokalen Admin nehmen soll.
- Abgemeldet und wieder angemeldet.
Fazit: Domänen-Benutzer -> Arbeitsplatz nicht sichtbar
Lokaler Admin -> Arbeitsplatz trotz alter Sicherung der registry.pol auch nicht sichtbar.
Soll ich nun mit den 15 Schritten von MS vergleichen? ;)
Wenn Du alle durchgeführt hast, muss es gehen. Teste es mal an einem xp-PC (möglichst ein naturbelassener).
Wenn Du alle durchgeführt hast, muss es gehen. Teste es mal an einem xp-PC (möglichst ein naturbelassener).
Ja bitte, es muss einfach klappen!
Es ist ein Notebook mit naturballesenem XP + SP3.
Lediglich habe ich Windows Updates eingespielt.
Keine Ahnung was ich da falsch mache.
Bis Freitag muss ich es hinbekommen haben^^
Es ist ein Notebook mit naturballesenem XP + SP3.
Lediglich habe ich Windows Updates eingespielt.
Keine Ahnung was ich da falsch mache.
Bis Freitag muss ich es hinbekommen haben^^
Ja bitte
Nee. Du musst vergleichen, ist ja wohl klar 
Wenn Du alles so gemacht hast wie MS, dann nimm einen weiteren PC oder VM und teste dort.
Also dieser Fall hat sich wohl gelöst.
Ich hatte alles richtig gemacht, bis auf die Tatsache dass ich fast gegen Ende die Rechte für den Admin wiederherstellen sollte, damit er eben nicht die Richtlinien mitzieht.
Dort habe ich auf "Nicht aktiviert" gestellt, was somit die ganzen Dinge auf Standard setzt (wie auch am Ende des Windows-Artikels steht), was nicht sein sollte.
Es muss z.B. "Arbeitsplatz verweigern" auf De!aktiviert gestellt werden, damit der Admin auch die richtige Einstellung zieht.
Naja, dummer Fehler aber nun läuft es :D
Jetzt muss ich es nur noch schaffen, dass der Internet Explorer die Proxy-Einstellung nach dem Neustart nicht verliert.
Vielen Dank an alle Beteiligten und vorallem an dich "DerWoWusste" ;)
Ich hatte alles richtig gemacht, bis auf die Tatsache dass ich fast gegen Ende die Rechte für den Admin wiederherstellen sollte, damit er eben nicht die Richtlinien mitzieht.
Dort habe ich auf "Nicht aktiviert" gestellt, was somit die ganzen Dinge auf Standard setzt (wie auch am Ende des Windows-Artikels steht), was nicht sein sollte.
Es muss z.B. "Arbeitsplatz verweigern" auf De!aktiviert gestellt werden, damit der Admin auch die richtige Einstellung zieht.
Naja, dummer Fehler aber nun läuft es :D
Jetzt muss ich es nur noch schaffen, dass der Internet Explorer die Proxy-Einstellung nach dem Neustart nicht verliert.
Vielen Dank an alle Beteiligten und vorallem an dich "DerWoWusste" ;)
