6257
Nov 06, 2004, updated at Nov 08, 2004 (UTC)
7655
6
0
userverwaltung allgemein
Hallo,
ich habe bei uns im jugendzentrum einen win xp rechner.
nun möchte, für user (ausgenommen admin) beliebig sachen verbieten. unteranderem software installation hintergrund änderung, systemsteuerung etc ausblenden. wo kann ich das machen.
besteht die möglichkeit einen drucker im netz so freizugeben, dass bei dem druckversuch erst ein passwort eingegeben werden muss.
dank für eure hilfe simon
ich habe bei uns im jugendzentrum einen win xp rechner.
nun möchte, für user (ausgenommen admin) beliebig sachen verbieten. unteranderem software installation hintergrund änderung, systemsteuerung etc ausblenden. wo kann ich das machen.
besteht die möglichkeit einen drucker im netz so freizugeben, dass bei dem druckversuch erst ein passwort eingegeben werden muss.
dank für eure hilfe simon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3753
Url: https://administrator.de/contentid/3753
Printed on: April 24, 2024 at 02:04 o'clock
6 Comments
Latest comment
erstmal hier im System suchen, wurde schon mehrmals gefragt....Wenn es kein Server sondern eine Workstation ist, weil du von Windows XP sprichst, geht das mit:
1. Start => Ausführen => MMC eingeben
2. Datei => Snapin hinzufügen
3. Hinzufügen
4. Gruppenrichtlinien
5. Schließen
6. Okay
Mit diesem Snap in kannst du deine Sicherheitsrichlinien einstellen und auf erstellte Gruppen und Benutzer auswirken lassen.
danke für deine hilfe, aber wenn ich als admin angemeldet es so mach wie du es beschrieben hast, wirken sich die änderungen auch auf den admin aus, wie bekomm ich es hin, dass es nur auf benutzer auswirkt
Wenn du die User zur Gruppe Benutzer hinzufügst sind die Rechte schon ziemlich eingeschränkt. Installationen sind dann bspw. schon nicht mehr möglich.
Den Rest kannst du in den Gruppenrichtlinien einstellen
Start > Ausführen > gpedit.msc
Ob man einen Drucker mit Passwort belegen kann, weiss ich leider nicht.
Den Rest kannst du in den Gruppenrichtlinien einstellen
Start > Ausführen > gpedit.msc
Ob man einen Drucker mit Passwort belegen kann, weiss ich leider nicht.
hab das jetzt versucht, aber ich kann als benutzer immer noch sw installieren.
wie kann ich für einen bestimmte gruppe die richtlinien ändern
wie kann ich für einen bestimmte gruppe die richtlinien ändern
Zugegeben eine nicht gerade "saubere", aber wirkungsvolle Lösung wäre, die für die Systemsteuerung benötigten Icons auszublenden. Hinter jedem Icon steht eine entsprechende CPL-Datei, also z.b. für "Software" die Datei APPWIZ.CPL. Benennst du diese um in z.B. APPWIZ.CP0, fehlt auch das Icon in der Systemsteuerung. Das läuft auch mit den übrigen CPL-Dateien so. Meldest Du Dich als ADMIN an, würde eine kleine Batch-Routine die umbenannten Dateien für die erforderlichen Zugriffe wieder herstellen und danach wieder umbenennen. Wie gesagt, nicht gerade sauber.
Über die "Gruppenrichtlinien" wirken sich gemachte Einstellungen entweder auf den Computer oder die Benutzer aus, hier wird meines Wissens kein Unterschied gemacht, ob es der Admin oder sonst ein Benutzer ist.
Gruß
Klemmi
Über die "Gruppenrichtlinien" wirken sich gemachte Einstellungen entweder auf den Computer oder die Benutzer aus, hier wird meines Wissens kein Unterschied gemacht, ob es der Admin oder sonst ein Benutzer ist.
Gruß
Klemmi
Hallo Simon, hallo Leute
Wir hatten das Problem auch - GRL auf Einzelpaltz ohne dass es Auswirkungen auf Admins haben soll bzw. für verschiedene Gruppen unterschiedliche Einstellungen.
Wir haben das mit ifmember.exe - Abfrage und daraus dann die entsprechenden Registry- Änderungen gelöst. Du musst halt vorher rausbekommen, welchen Eintrag eine Richtlinie in der Registry ändert (z.B. über Techn.Referenz), dann machst du 2 Gruppen - eine für User - eine für Admins und fragst über Startscript mit ifmember die Gruppenmitgliedschaft ab.
Beispiel:
ifmember /list > "%USERPROFILE%\memberof.txt"
findstr /i /l "Gruppenname" "%USERPROFILE%\memberof.txt"
IF NOT %ERRORLEVEL%==0 goto LADEADMIN
...
:LADEADMIN
REM verwalten ausblenden - Computerverwaltung
reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoManageMyComputerVerb /t REG_DWORD /d 1
usw........
Beachte, dass Deine Benutzer bei der ersten Anmeldung aber als lokale Admins berechtigt werden müssen, sonst haben sie keinen Schreibzugriff auf Registry - die Mitgliedschaft kannst Du aber dann am Ende des Skripts wieder entfernen.
Tschau - Gruß Leo
Wir hatten das Problem auch - GRL auf Einzelpaltz ohne dass es Auswirkungen auf Admins haben soll bzw. für verschiedene Gruppen unterschiedliche Einstellungen.
Wir haben das mit ifmember.exe - Abfrage und daraus dann die entsprechenden Registry- Änderungen gelöst. Du musst halt vorher rausbekommen, welchen Eintrag eine Richtlinie in der Registry ändert (z.B. über Techn.Referenz), dann machst du 2 Gruppen - eine für User - eine für Admins und fragst über Startscript mit ifmember die Gruppenmitgliedschaft ab.
Beispiel:
ifmember /list > "%USERPROFILE%\memberof.txt"
findstr /i /l "Gruppenname" "%USERPROFILE%\memberof.txt"
IF NOT %ERRORLEVEL%==0 goto LADEADMIN
...
:LADEADMIN
REM verwalten ausblenden - Computerverwaltung
reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoManageMyComputerVerb /t REG_DWORD /d 1
usw........
Beachte, dass Deine Benutzer bei der ersten Anmeldung aber als lokale Admins berechtigt werden müssen, sonst haben sie keinen Schreibzugriff auf Registry - die Mitgliedschaft kannst Du aber dann am Ende des Skripts wieder entfernen.
Tschau - Gruß Leo
