johamw
Goto Top

Windowsfunktionen einschränken (cmd, Taskmanager, Registry)

Hallo,

wir wollen in unserem Unternehmen eine Anzahl von ThinClients mit Windows 11 ausrollen.
Diese sollen jedoch in bestimmten Windowsfunktionen stark eingeschränkt werden, z.B. soll kein Aufruf von cmd möglich sein, der Taskmanager soll nicht aufrufbar sein usw.

Bei vielen dieser Anforderungen muss ein Registrywert gesetzt werden, oftmals im Zweig HKEY_CURRENT_User, woran ich langsam verzweifel, weil diverse Lösungsansätze nicht funktionieren.

Auf den Geräten wird durch unser Softwareverteilungssystem ein Admin-Account sowie ein User-Account mit einfachen Benutzerrechten erstellt. Über den Admin-Account kann ich nicht auf den HKCU des User-Accounts zugreifen, über den User-Account habe ich jedoch keine Berechtigung zum anpassen der Registrywerte.

Habe es schon mit einem Batchskript versucht, welches als Admin konfiguriert über die Aufgabenplanung mit höchsten Rechten bei der Anmeldung eines Users ausgeführt werden soll, hat leider auch nicht funktioniert.

Habe mich mittlerweile auch etwas tiefer mit der Registry beschäftigt und erkannt, dass der Zweig HKEY_CURRENT_USER lediglich ein temporäres Abbild vom Zweig HKEY_USERS ist. Wo muss ich denn die Werte anpassen? Ich vermute mal unter HKEY_USER, aber wie finde ich heraus welche Ordner zu welchem User gehören? Die sind ja alle mit dieser kryptischen User-ID verknüpft.

Wie realisiert man so etwas am besten? GPOs und ActiveDirectory werden bei uns nicht eingesetzt und sind daher leider keine Lösung.

Content-ID: 669450

Url: https://administrator.de/contentid/669450

Printed on: December 7, 2024 at 22:12 o'clock

SlainteMhath
SlainteMhath Nov 13, 2024 at 08:46:35 (UTC)
Goto Top
Moin,

bau dir ein "Default" Profile mit allen gewünschten Voreinstellungen. Wenn sich der User dann das erste Mal anmeldet wird das Profile kopiert und die Einstellungen greifen.

GPOs und ActiveDirectory werden bei uns nicht eingesetzt
Warum macht ihr's euch so schwer?

lg,
Slainte
pebcak7123
pebcak7123 Nov 13, 2024 at 08:49:52 (UTC)
Goto Top
Moin,
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
REG LOAD HKEY_Users\irgendwas "C:\Users\Beispielnutzer\NTUSER.DAT"   
ansonsten sind die "kryptischen User-IDs" die sogenannten Security Identifier ( SID) . Kannst du für alle User zb mit Powershell
Get-WmiObject win32_useraccount | Select name,sid
anzeigen lassen
Johamw
Johamw Nov 13, 2024 at 15:18:34 (UTC)
Goto Top
Warum macht ihr's euch so schwer?

Ist leider historisch gewachsen, wir haben viele einzelne Standorte die netzwerkseitig nicht miteinander verbunden sind. Macht uns leider an mehreren Stellen große Probleme.


> Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit

Den Ansatz habe ich mal verfolgt und er erscheint sehr vielversprechend:

1. REG LOAD HKEY_USERS\Software "C:\Users\User\NTUSER.DAT"
2. REG ADD "HKEY_USERS\Software\...."
3. REG UNLOAD HKEY_USERS\Software

Zumindest wird der Wert wie gewünscht in die Registry geschrieben, nach HKEY_CURRENT_USER bei der Anmeldung durch den User übernommen und verhindert, dass cmd genutzt werden kann.
Hoffe nur dass mir diese Lösung keine "versteckten" Probleme bereitet, die ich noch nicht absehen kann.
ThePinky777
ThePinky777 Nov 13, 2024 updated at 16:17:58 (UTC)
Goto Top
ERKLÄRBÄR:

Nein das wird dir keine Probleme machen.

Bedeutet an in dem Pfad:

Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.

Unter
Computer\HKEY_USERS\.DEFAULT

Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.

Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.

also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.

Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein

man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.

Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................
Johamw
Johamw Nov 14, 2024 at 12:28:23 (UTC)
Goto Top
Ja cool, danke für Deine Bemühungen face-smile

Das mit dem Default-User ist auch ein guter Tip.
Wobei ich mich frage ob die Einstellungen unter Computer\HKEY_USERS\.DEFAULT auch wirken wenn ich einen neuen Benutzer als Administrator hinzufüge? Denn die Einschränkungen sollen natürlich nur für Benutzer, nicht für Admin Accounts gelten.