W10-Pro-Workgroup-Rechner per GPO "dichtmachen"?
Hallo.
Ich muß 3 Windows-10-Pro-Rechner herrichten (und einen USB-Drucker an einem der 3 Rechner), auf denen - wechselweise - circa 100 Leute arbeiten werden. Alle mit dem selben, eingeschränkten lokalen Useraccount.
Problem:
Wenn mittelfristig bis zu 100 Leute auf den Kisten herumrutschen, könnt Ihr Euch vorstellen, wie die Rechner bzw. das Betriebssystem schon nach kurzer Zeit aussehen werden.
Ein eingeschränkter Workgroup-User hat zwar keine Admin-Rechte, kann aber für meinen Geschmack immer noch zuviel. Da wird versucht werden, Software zu installieren, Internet-Surfen birgt Gefahren, an Einstellungen wird versucht werden, herumzufummeln undsoweiter undsofort.
- gebrauchte Rechner, circa 3-4 Jahre alt, i5, SSD, 8 GB RAM
- Windows 10 Pro x64
- keine Domänenmitglieder (an dem Standort existiert keine Domäne, und es ist auch nicht vorgesehen, die Rechner zu einer hinzuverbinden)
- Libre Office, aktuelle Version, außerdem ein paar systemnahe Anwendungen wie Packer/Entpacker, Adobe Reader, sonst keine Software
- Aufgaben, die an den Rechnern erledigt werden sollen: Surfen, Briefe schreiben, Drucken. Das wird es im Wesentlichen sein.
Nachdem ich zu der Aufgabe wie die Jungfrau zum Kind gekommen bin und ohnehin wenig Zeit habe, will ich für die 3 Rechner und die voraussichtlich bis zu 100 User nicht auch noch ständig Support leisten.
Einen HD-Sheriff hatte ich schon angedacht, aber dafür ist kein Geld da (es ist schon Geld da, es soll aber hierfür kein weiteres Geld ausgegeben werden, da wir irgendwie "freiwillig" und ohne echte Zuständigkeit an dem Projekt teilnehmen).
Nun ist meine Idee, die normalen Benutzer mittels lokalen GPOs soweit einzuschränken, daß sie möglichst wenig "Dummheiten" machen können. Zum Bsp. keine Systemsteuerung, keinen "Ausführen"-Dialog, keine CMD- oder Power-Shell undsoweiter. Die Leute sollen den Rechner starten, den Browser nutzen, Office nutzen, vielleicht was Drucken, fertig. Und die Kiste wieder herunterfahren.
Frage:
Wie stelle ich es an, daß die lokalen GPOs nicht auch auf den Admin wirken? Ich will mich ja nicht selber aussperren, wenn ich an den Kisten doch mal administrativ was tun muß.
Und: Hat schonmal jemand ein ukrainisches Sprachpaket auf einem ansich deutschsprachigen Windows installiert und mit einem deutschen Tastaturlayout benutzt? Bekanntlich liegt der ukrainischen Sprache ein kyrillisches Alphabet zugrunde. Kann das überhaupt funktionieren?
Danke Euch erstmal.
Viele Grüße
von
departure69
Ich muß 3 Windows-10-Pro-Rechner herrichten (und einen USB-Drucker an einem der 3 Rechner), auf denen - wechselweise - circa 100 Leute arbeiten werden. Alle mit dem selben, eingeschränkten lokalen Useraccount.
Problem:
Wenn mittelfristig bis zu 100 Leute auf den Kisten herumrutschen, könnt Ihr Euch vorstellen, wie die Rechner bzw. das Betriebssystem schon nach kurzer Zeit aussehen werden.
Ein eingeschränkter Workgroup-User hat zwar keine Admin-Rechte, kann aber für meinen Geschmack immer noch zuviel. Da wird versucht werden, Software zu installieren, Internet-Surfen birgt Gefahren, an Einstellungen wird versucht werden, herumzufummeln undsoweiter undsofort.
- gebrauchte Rechner, circa 3-4 Jahre alt, i5, SSD, 8 GB RAM
- Windows 10 Pro x64
- keine Domänenmitglieder (an dem Standort existiert keine Domäne, und es ist auch nicht vorgesehen, die Rechner zu einer hinzuverbinden)
- Libre Office, aktuelle Version, außerdem ein paar systemnahe Anwendungen wie Packer/Entpacker, Adobe Reader, sonst keine Software
- Aufgaben, die an den Rechnern erledigt werden sollen: Surfen, Briefe schreiben, Drucken. Das wird es im Wesentlichen sein.
Nachdem ich zu der Aufgabe wie die Jungfrau zum Kind gekommen bin und ohnehin wenig Zeit habe, will ich für die 3 Rechner und die voraussichtlich bis zu 100 User nicht auch noch ständig Support leisten.
Einen HD-Sheriff hatte ich schon angedacht, aber dafür ist kein Geld da (es ist schon Geld da, es soll aber hierfür kein weiteres Geld ausgegeben werden, da wir irgendwie "freiwillig" und ohne echte Zuständigkeit an dem Projekt teilnehmen).
Nun ist meine Idee, die normalen Benutzer mittels lokalen GPOs soweit einzuschränken, daß sie möglichst wenig "Dummheiten" machen können. Zum Bsp. keine Systemsteuerung, keinen "Ausführen"-Dialog, keine CMD- oder Power-Shell undsoweiter. Die Leute sollen den Rechner starten, den Browser nutzen, Office nutzen, vielleicht was Drucken, fertig. Und die Kiste wieder herunterfahren.
Frage:
Wie stelle ich es an, daß die lokalen GPOs nicht auch auf den Admin wirken? Ich will mich ja nicht selber aussperren, wenn ich an den Kisten doch mal administrativ was tun muß.
Und: Hat schonmal jemand ein ukrainisches Sprachpaket auf einem ansich deutschsprachigen Windows installiert und mit einem deutschen Tastaturlayout benutzt? Bekanntlich liegt der ukrainischen Sprache ein kyrillisches Alphabet zugrunde. Kann das überhaupt funktionieren?
Danke Euch erstmal.
Viele Grüße
von
departure69
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3099164368
Url: https://administrator.de/forum/w10-pro-workgroup-rechner-per-gpo-dichtmachen-3099164368.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Meine erste Frage wäre:
Die zweite Frage wäre:
Sofern es nur Büro und Internet surfen ist, würde ich da ein Linux mit passenden Rechten hinstellen. Da können die Leute nicht viel kaputtmachen und das Profil könnte man bei jeder Neuanmeldung bereinigen.
lks
Edit: Kiosksystem ist dasrichtige Stichwort. Hatte vorhin keine Zeit da größer zu kommentieren.
Meine erste Frage wäre:
- Was sollen die User an den Küsten machen/dürfen?
Die zweite Frage wäre:
- Muß es zwingend Windows sein?
Sofern es nur Büro und Internet surfen ist, würde ich da ein Linux mit passenden Rechten hinstellen. Da können die Leute nicht viel kaputtmachen und das Profil könnte man bei jeder Neuanmeldung bereinigen.
lks
Edit: Kiosksystem ist dasrichtige Stichwort. Hatte vorhin keine Zeit da größer zu kommentieren.
Moin,
hab dazu ein Lesezeichen, was ich immer schon mal testen wollte.
Vielleicht hilft dir das. Es ist genau deine Anforderung: Lokale Gruppenrichtlinien, die nicht für den Admin gelten. Und eine Methode zum Backup / Restore auf andere Maschinen.
Wie gesagt: Ungetestet, wollte ich selbst mal ausprobieren.
VG
hab dazu ein Lesezeichen, was ich immer schon mal testen wollte.
Vielleicht hilft dir das. Es ist genau deine Anforderung: Lokale Gruppenrichtlinien, die nicht für den Admin gelten. Und eine Methode zum Backup / Restore auf andere Maschinen.
Wie gesagt: Ungetestet, wollte ich selbst mal ausprobieren.
VG
Moin
2 Anmerkungen von mir:
Kein Problem.
Nur das lesen, aber das ist ja nicht das Problem von dir.
Und 10 ist MUI tauglich.
Was auch nichts heißt, Ich habe nicht spezifisch danach gesucht.
2 Anmerkungen von mir:
- Die Sprache:
Kein Problem.
Nur das lesen, aber das ist ja nicht das Problem von dir.
Und 10 ist MUI tauglich.
- Es gibt wunderbare Linux Kiosk Systeme die einen festen Stand haben und nach jedem Neustart darauf zurück gehen.
Was auch nichts heißt, Ich habe nicht spezifisch danach gesucht.
Hallo,
https://admx.help/?Category=Windows_10_2016&Language=de-de
https://gpsearch.azurewebsites.net/
http://www.toolwiz.com/lead/toolwiz_time_freeze.php
Damit solltest Du das hinbekommen.
Usersprache kannst Du so einstellen wie Du willst, die Tastatur kann davon natürlich abweichen. Vielleicht wäre es nicht schlecht, wenn Du für den User mehrere Tastaturen installierst, die dann ausgewählt werden können.
https://russisch.urz.uni-leipzig.de/keynt.htm
https://www.amazon.de/s?k=ukrainische+tastaturaufkleber
Gruß
https://admx.help/?Category=Windows_10_2016&Language=de-de
https://gpsearch.azurewebsites.net/
http://www.toolwiz.com/lead/toolwiz_time_freeze.php
Damit solltest Du das hinbekommen.
Usersprache kannst Du so einstellen wie Du willst, die Tastatur kann davon natürlich abweichen. Vielleicht wäre es nicht schlecht, wenn Du für den User mehrere Tastaturen installierst, die dann ausgewählt werden können.
https://russisch.urz.uni-leipzig.de/keynt.htm
https://www.amazon.de/s?k=ukrainische+tastaturaufkleber
Gruß