6
PC komplett sperren, nur zwei anwendungen erlauben
Es geht darum unsere Stechuhr ein bisschen zu "limitieren"...
Erstmal einen wundervollen Tag.
scheinbar haben wir in unserer Firma einen Spaßvogel der es lustig findet unsere Stechuhr in schöner Regelmäßigkeit für seine eigenen "Spielchen" zu benutzen. Um das abzuschalten habe ich schon einiges eingerichtet:
Stechuhr ist ein Thin Client, der sich per RDP auf eine VM Verbindet. in der VM hat er nur "Gast"-Rechte und auch keinen DNS. d.H. man kann keine Webseite DIREKT aufrufen. Auf der Stechuhr läuft weiterhin eine "Desktop-Uhr" die eben anzeigt wie süät es ist. An dem Thin client ist eine Mac-USB-Maus mit nur einer Taste angeschlossen (zu irgendwas muss der Scheiß ja nützlich sein) d.H. Rechtsklick ist auch nicht so ohne weiteres möglich.
Wie dem auch seih: Heute komme ich in die Firma und traue meinen Augen nicht: Das Komplette Profil der Stechuhr ist "zerschossen" - Alles auf Anfang gesetzt. Mein Gast-Sccount hat auf einmal Admin-Rechte, Internet läuft einwandfrei, und alles ist eben wie auf einer "normalen" XP-Installation.
daher meine Frage: Wie bekomm ich unsere Stechuhr sicher? So sicher das da keiner mehr P0rn ansurfen kann? (Und ja, das ist wirklich so)
Ich dachte mir den Thin-Client in ein extra-Netz zu nehmen und die VM in beide nezte zu stecken. Netz 1 hat dann keinen DNS, keine direkte verbindung usw. aber mit welchem Programm kann ich verhindern das man permanent an den Einstellungen im System rumbastelt?
Gruß
Erstmal einen wundervollen Tag.
scheinbar haben wir in unserer Firma einen Spaßvogel der es lustig findet unsere Stechuhr in schöner Regelmäßigkeit für seine eigenen "Spielchen" zu benutzen. Um das abzuschalten habe ich schon einiges eingerichtet:
Stechuhr ist ein Thin Client, der sich per RDP auf eine VM Verbindet. in der VM hat er nur "Gast"-Rechte und auch keinen DNS. d.H. man kann keine Webseite DIREKT aufrufen. Auf der Stechuhr läuft weiterhin eine "Desktop-Uhr" die eben anzeigt wie süät es ist. An dem Thin client ist eine Mac-USB-Maus mit nur einer Taste angeschlossen (zu irgendwas muss der Scheiß ja nützlich sein) d.H. Rechtsklick ist auch nicht so ohne weiteres möglich.
Wie dem auch seih: Heute komme ich in die Firma und traue meinen Augen nicht: Das Komplette Profil der Stechuhr ist "zerschossen" - Alles auf Anfang gesetzt. Mein Gast-Sccount hat auf einmal Admin-Rechte, Internet läuft einwandfrei, und alles ist eben wie auf einer "normalen" XP-Installation.
daher meine Frage: Wie bekomm ich unsere Stechuhr sicher? So sicher das da keiner mehr P0rn ansurfen kann? (Und ja, das ist wirklich so)
Ich dachte mir den Thin-Client in ein extra-Netz zu nehmen und die VM in beide nezte zu stecken. Netz 1 hat dann keinen DNS, keine direkte verbindung usw. aber mit welchem Programm kann ich verhindern das man permanent an den Einstellungen im System rumbastelt?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 160254
Url: https://administrator.de/contentid/160254
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Hi, mit dem Kiosk Mode kann man sowas machen, das ist ein Zusatz Tool von MS für Windows XP.
Gruß Daniel
Gruß Daniel
das ein User auf einmal Admin Rechte hat , geht nicht. Ausser ein anderer hat vihm die gegeben. Kein normaler User kann seine Rechte erweitern, sofern sie aus dem AD kommen.
Kann es sein, dass ein weiter Admin dich ärgern will?
Kann es sein, dass ein weiter Admin dich ärgern will?
Eher weniger, das mittlerweile Bekannt ist das das ein Kündigungsgrund ist. (wenn das ein weiterer Admin mchen würde würde er ja jedem der durch unserem Mitarbeitereingang rein kommt vollen zugriff auf unser netz geben. Zwar kommt er icht auf die Daten, aber auf alle Clients die nicht in der Domäne Hängen (können/sollen).
Ich vermute mal eher das sich da jemand das Passwort vom "Administrator" Account organisiert hat. (Der "Administrator" ist in der AD nicht wirklich nützlich, da alle Rechte im AD auf einen anderen Account liegen, aber die Clients haben lokal bei dem "Administrator" Account eben ein recht "simples" Passwort.
Ich vermute mal eher das sich da jemand das Passwort vom "Administrator" Account organisiert hat. (Der "Administrator" ist in der AD nicht wirklich nützlich, da alle Rechte im AD auf einen anderen Account liegen, aber die Clients haben lokal bei dem "Administrator" Account eben ein recht "simples" Passwort.
Google mal nach Software restriction policies. So kann man festlegen, dass nur bestimmte Programme ausgeführt werden.
Schon mal nachgesehen, was für Geräte sonst noch an der Tastatur hängen? Die ist viel einfacher als raten... und kommt auch tatsächllich vor.
So für alle die auch vor dem Problem stehen:
1. Installiert euren PC komplett so das alles fertig ist.
2. Richtet 2 Accounts ein. einen "Administrativen", und einen der eingeschränkt wird.
3. Richtet den "eingeschränkten" Account komplett ein wie er sein soll. (Natürlich hat dieser 'acc keine admin-rechte sondern im besten Fall "Benutzer" oder noch besser "Gast" Rechte
3. Ladet euch das "Microsoft Shared Computer Toolkit" bei chip.de herunter (gibt es nicht mehr bei MS)
4. Installiert nun die Tools und startet sie. Im Hauptfenster kann man direkt auf das einzuschränkende Profil doppelklicken.
5. Stellt ein was nciht gemacht werden darf. Das ganze reicht von "verbiete Rechtsklick im explorer' über: "Verbiete es alle seiten anzusurfen außer die unten genannten" bis zu "entferne Shutdown-Button"
Fertig
Eventueller 6. Punkt:
Loggt euch in den eingeschränken Account ein und testet drauf los.
Gruß
Arsimael
1. Installiert euren PC komplett so das alles fertig ist.
2. Richtet 2 Accounts ein. einen "Administrativen", und einen der eingeschränkt wird.
3. Richtet den "eingeschränkten" Account komplett ein wie er sein soll. (Natürlich hat dieser 'acc keine admin-rechte sondern im besten Fall "Benutzer" oder noch besser "Gast" Rechte
3. Ladet euch das "Microsoft Shared Computer Toolkit" bei chip.de herunter (gibt es nicht mehr bei MS)
4. Installiert nun die Tools und startet sie. Im Hauptfenster kann man direkt auf das einzuschränkende Profil doppelklicken.
5. Stellt ein was nciht gemacht werden darf. Das ganze reicht von "verbiete Rechtsklick im explorer' über: "Verbiete es alle seiten anzusurfen außer die unten genannten" bis zu "entferne Shutdown-Button"
Fertig
Eventueller 6. Punkt:
Loggt euch in den eingeschränken Account ein und testet drauf los.
Gruß
Arsimael
