Windowsfunktionen einschränken (cmd, Taskmanager, Registry)
Hallo,
wir wollen in unserem Unternehmen eine Anzahl von ThinClients mit Windows 11 ausrollen.
Diese sollen jedoch in bestimmten Windowsfunktionen stark eingeschränkt werden, z.B. soll kein Aufruf von cmd möglich sein, der Taskmanager soll nicht aufrufbar sein usw.
Bei vielen dieser Anforderungen muss ein Registrywert gesetzt werden, oftmals im Zweig HKEY_CURRENT_User, woran ich langsam verzweifel, weil diverse Lösungsansätze nicht funktionieren.
Auf den Geräten wird durch unser Softwareverteilungssystem ein Admin-Account sowie ein User-Account mit einfachen Benutzerrechten erstellt. Über den Admin-Account kann ich nicht auf den HKCU des User-Accounts zugreifen, über den User-Account habe ich jedoch keine Berechtigung zum anpassen der Registrywerte.
Habe es schon mit einem Batchskript versucht, welches als Admin konfiguriert über die Aufgabenplanung mit höchsten Rechten bei der Anmeldung eines Users ausgeführt werden soll, hat leider auch nicht funktioniert.
Habe mich mittlerweile auch etwas tiefer mit der Registry beschäftigt und erkannt, dass der Zweig HKEY_CURRENT_USER lediglich ein temporäres Abbild vom Zweig HKEY_USERS ist. Wo muss ich denn die Werte anpassen? Ich vermute mal unter HKEY_USER, aber wie finde ich heraus welche Ordner zu welchem User gehören? Die sind ja alle mit dieser kryptischen User-ID verknüpft.
Wie realisiert man so etwas am besten? GPOs und ActiveDirectory werden bei uns nicht eingesetzt und sind daher leider keine Lösung.
wir wollen in unserem Unternehmen eine Anzahl von ThinClients mit Windows 11 ausrollen.
Diese sollen jedoch in bestimmten Windowsfunktionen stark eingeschränkt werden, z.B. soll kein Aufruf von cmd möglich sein, der Taskmanager soll nicht aufrufbar sein usw.
Bei vielen dieser Anforderungen muss ein Registrywert gesetzt werden, oftmals im Zweig HKEY_CURRENT_User, woran ich langsam verzweifel, weil diverse Lösungsansätze nicht funktionieren.
Auf den Geräten wird durch unser Softwareverteilungssystem ein Admin-Account sowie ein User-Account mit einfachen Benutzerrechten erstellt. Über den Admin-Account kann ich nicht auf den HKCU des User-Accounts zugreifen, über den User-Account habe ich jedoch keine Berechtigung zum anpassen der Registrywerte.
Habe es schon mit einem Batchskript versucht, welches als Admin konfiguriert über die Aufgabenplanung mit höchsten Rechten bei der Anmeldung eines Users ausgeführt werden soll, hat leider auch nicht funktioniert.
Habe mich mittlerweile auch etwas tiefer mit der Registry beschäftigt und erkannt, dass der Zweig HKEY_CURRENT_USER lediglich ein temporäres Abbild vom Zweig HKEY_USERS ist. Wo muss ich denn die Werte anpassen? Ich vermute mal unter HKEY_USER, aber wie finde ich heraus welche Ordner zu welchem User gehören? Die sind ja alle mit dieser kryptischen User-ID verknüpft.
Wie realisiert man so etwas am besten? GPOs und ActiveDirectory werden bei uns nicht eingesetzt und sind daher leider keine Lösung.
Please also mark the comments that contributed to the solution of the article
Content-ID: 669450
Url: https://administrator.de/contentid/669450
Printed on: December 7, 2024 at 22:12 o'clock
5 Comments
Latest comment
Moin,
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
ansonsten sind die "kryptischen User-IDs" die sogenannten Security Identifier ( SID) . Kannst du für alle User zb mit Powershell anzeigen lassen
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
REG LOAD HKEY_Users\irgendwas "C:\Users\Beispielnutzer\NTUSER.DAT"
Get-WmiObject win32_useraccount | Select name,sid
ERKLÄRBÄR:
Nein das wird dir keine Probleme machen.
Bedeutet an in dem Pfad:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.
Unter
Computer\HKEY_USERS\.DEFAULT
Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.
Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.
also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.
Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein
man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.
Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................
Nein das wird dir keine Probleme machen.
Bedeutet an in dem Pfad:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.
Unter
Computer\HKEY_USERS\.DEFAULT
Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.
Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.
also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.
Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein
man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.
Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................