5
Rechte für lokale Benutzergruppen festlegen - Gruppenrichtlinien?
Hallo Forum,
mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Ich habe dazu eine lokale Benutzergruppe angelegt und den Benutzer A darin verschoben. Als "freigeschalteter Administrator" habe ich daraufhin versucht über gpedit.msc (so hatte ich es im Kopf, dass ich es vor 9 Jahren bei Windows 7 schon mal gemacht habe) unter "Benutzerkonfiguration" verschiedene Einschränkungen vorzunehmen.
Merkwürdigerweise wurden die ausschließlich auf das Administratorkonto, nicht auf das Benutzerkonto in der neuen Gruppe angewendet.
Meine Frage ist nun: Wie kann ich die Rechte am System, was möglich ist und was nicht, explizit nur für die neu erstellte Benutzergruppe, alternativ alleine für einen User (da sich eh nur ein User anmeldet) festlegen und einstellen?
Vielen Dank!
mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Ich habe dazu eine lokale Benutzergruppe angelegt und den Benutzer A darin verschoben. Als "freigeschalteter Administrator" habe ich daraufhin versucht über gpedit.msc (so hatte ich es im Kopf, dass ich es vor 9 Jahren bei Windows 7 schon mal gemacht habe) unter "Benutzerkonfiguration" verschiedene Einschränkungen vorzunehmen.
Merkwürdigerweise wurden die ausschließlich auf das Administratorkonto, nicht auf das Benutzerkonto in der neuen Gruppe angewendet.
Meine Frage ist nun: Wie kann ich die Rechte am System, was möglich ist und was nicht, explizit nur für die neu erstellte Benutzergruppe, alternativ alleine für einen User (da sich eh nur ein User anmeldet) festlegen und einstellen?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3339401725
Url: https://administrator.de/contentid/3339401725
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Wie man es einstellen kann, hängt dann im Endeffekt davon ab was du haben willst.
Gruß
Doskias
Zitat von @CampinoF1:
mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Was genau verstehst du unter so weit es geht. Was wird denn gebraucht? Unsere Notebooks sind soweit eingeschränkt, dass der User RDP nutzen kann. mehr nicht. Was soll bei dir funktionieren? Nur Notepad? Nur Edge?mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Wie man es einstellen kann, hängt dann im Endeffekt davon ab was du haben willst.
Gruß
Doskias
Servus.
Das was du suchst nennt sich MLGPO, hier muss man vorher die Gruppe/User explizit in einer Custom MMC auswählen
Apply a Local Group Policy to Non-Admins or a Single User with MLGPO
Erst dann beziehen sich die Settings auf die ausgewählte Gruppe / den ausgewählten Account und nicht den angemeldeten User wenn Einstellungen unter User Settings gemacht werden.
Grüße Uwe
Als "freigeschalteter Administrator" habe ich daraufhin versucht über gpedit.msc
Merkwürdigerweise wurden die ausschließlich auf das Administratorkonto, nicht auf das Benutzerkonto in der neuen Gruppe angewendet.
Da du die Einstellungen mit dem Admin-Account in der User-Section vorgenommen hast ist das normal.Merkwürdigerweise wurden die ausschließlich auf das Administratorkonto, nicht auf das Benutzerkonto in der neuen Gruppe angewendet.
Das was du suchst nennt sich MLGPO, hier muss man vorher die Gruppe/User explizit in einer Custom MMC auswählen
Apply a Local Group Policy to Non-Admins or a Single User with MLGPO
Erst dann beziehen sich die Settings auf die ausgewählte Gruppe / den ausgewählten Account und nicht den angemeldeten User wenn Einstellungen unter User Settings gemacht werden.
Grüße Uwe
2
Zitat von @Doskias:
Moin,
Wie man es einstellen kann, hängt dann im Endeffekt davon ab was du haben willst.
Gruß
Doskias
Moin,
Zitat von @CampinoF1:
mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Was genau verstehst du unter so weit es geht. Was wird denn gebraucht? Unsere Notebooks sind soweit eingeschränkt, dass der User RDP nutzen kann. mehr nicht. Was soll bei dir funktionieren? Nur Notepad? Nur Edge?mein Vorhaben ist folgendes: Ein Notebook, der in fremde Hände gehen soll und an einem unabhängigen "freien" DSL-Anschluss ins Internet gehen soll, soll für den Benutzer so weit es geht eingeschränkt werden. Das System ist Windows 10.
Wie man es einstellen kann, hängt dann im Endeffekt davon ab was du haben willst.
Gruß
Doskias
Es soll nur OpenVPN als Software funktionieren (die dummerweise als Admin ausgeführt werden muss, aber unter Win7 ging das ohne Admin-PW), der User baut einen VPN Tunnel mit USB-Dongle auf und dann wird über Edge auf eine Terminalserver-IP zugegriffen. Sonst soll mit dem Notebook nichts möglich sein. Den Edge habe ich insofern beschränkt, dass ich eine Proxy-Umleitung auf 127.0.0.1 eingerichtet habe und die TS-IP als Ausnahme ausgeschlossen habe.
@colinardo
Genauso ging es damals. Vielen Dank. Wenn es für mein obiges beschriebenes Vorhaben noch einen "leichteren" Weg geben sollte als durch hunderte GPOs zu klicken, bin ich natürlich offen.
Moin,
Ich hab Anfang des Jahres mal eine Anleitung geschrieben, wie man einen nativen Windows 10 Client per GPO zum RDP-Client beschränken kann. Die findest du hier. Die Auflistung der von mir genutzten GPOs findest du da, musst du halt nachbauen
Laut diesem Link funktioniert OpenVPN seit 07/2017 (also seit etwa 5 Jahren) ohne admin-Rechte. Kenne OpenVPN nicht, aber es würde mich doch schon stark wundern, wenn die zwingend auf admin-Rechte angewiesen sind. Das ist in vielen Firmen aus gutem Grund ein No-Go. Wenn es wirklich Admin-Rechte benötigen sollte und ohne nicht geht, dann müsst ihr euch wohl nach einer anderen VPN-Lösung umschauen.
Gruß
Doskias
Ich hab Anfang des Jahres mal eine Anleitung geschrieben, wie man einen nativen Windows 10 Client per GPO zum RDP-Client beschränken kann. Die findest du hier. Die Auflistung der von mir genutzten GPOs findest du da, musst du halt nachbauen
Es soll nur OpenVPN als Software funktionieren (die dummerweise als Admin ausgeführt werden muss, aber unter Win7 ging das ohne Admin-PW), der User baut einen VPN Tunnel mit USB-Dongle auf und dann wird über Edge auf eine Terminalserver-IP zugegriffen.
Wie wäre es mal mit nem Update von OpenVPN? Laut diesem Link funktioniert OpenVPN seit 07/2017 (also seit etwa 5 Jahren) ohne admin-Rechte. Kenne OpenVPN nicht, aber es würde mich doch schon stark wundern, wenn die zwingend auf admin-Rechte angewiesen sind. Das ist in vielen Firmen aus gutem Grund ein No-Go. Wenn es wirklich Admin-Rechte benötigen sollte und ohne nicht geht, dann müsst ihr euch wohl nach einer anderen VPN-Lösung umschauen.
Gruß
Doskias
1
Tjaaaaaa, leider bin ich in der Auswahl der Software durch die "Firmenleitung" beschränkt - und tatsächlich trotz funktioniert die Verbindung nach Tests nicht ohne Adminrechte. Leider habe ich hinsichtlich der Software, der USB-Dongles und deren Zertifikate und Struktur keinen Einfluss.
Ich würde sehr gern etwas anderes als OpenVPN benutzen btw.
Danke für die Anleitung, das werde ich mal ausprobieren.
Ich würde sehr gern etwas anderes als OpenVPN benutzen btw.
Danke für die Anleitung, das werde ich mal ausprobieren.
