5
Windowsfunktionen einschränken (cmd, Taskmanager, Registry)
Hallo,
wir wollen in unserem Unternehmen eine Anzahl von ThinClients mit Windows 11 ausrollen.
Diese sollen jedoch in bestimmten Windowsfunktionen stark eingeschränkt werden, z.B. soll kein Aufruf von cmd möglich sein, der Taskmanager soll nicht aufrufbar sein usw.
Bei vielen dieser Anforderungen muss ein Registrywert gesetzt werden, oftmals im Zweig HKEY_CURRENT_User, woran ich langsam verzweifel, weil diverse Lösungsansätze nicht funktionieren.
Auf den Geräten wird durch unser Softwareverteilungssystem ein Admin-Account sowie ein User-Account mit einfachen Benutzerrechten erstellt. Über den Admin-Account kann ich nicht auf den HKCU des User-Accounts zugreifen, über den User-Account habe ich jedoch keine Berechtigung zum anpassen der Registrywerte.
Habe es schon mit einem Batchskript versucht, welches als Admin konfiguriert über die Aufgabenplanung mit höchsten Rechten bei der Anmeldung eines Users ausgeführt werden soll, hat leider auch nicht funktioniert.
Habe mich mittlerweile auch etwas tiefer mit der Registry beschäftigt und erkannt, dass der Zweig HKEY_CURRENT_USER lediglich ein temporäres Abbild vom Zweig HKEY_USERS ist. Wo muss ich denn die Werte anpassen? Ich vermute mal unter HKEY_USER, aber wie finde ich heraus welche Ordner zu welchem User gehören? Die sind ja alle mit dieser kryptischen User-ID verknüpft.
Wie realisiert man so etwas am besten? GPOs und ActiveDirectory werden bei uns nicht eingesetzt und sind daher leider keine Lösung.
wir wollen in unserem Unternehmen eine Anzahl von ThinClients mit Windows 11 ausrollen.
Diese sollen jedoch in bestimmten Windowsfunktionen stark eingeschränkt werden, z.B. soll kein Aufruf von cmd möglich sein, der Taskmanager soll nicht aufrufbar sein usw.
Bei vielen dieser Anforderungen muss ein Registrywert gesetzt werden, oftmals im Zweig HKEY_CURRENT_User, woran ich langsam verzweifel, weil diverse Lösungsansätze nicht funktionieren.
Auf den Geräten wird durch unser Softwareverteilungssystem ein Admin-Account sowie ein User-Account mit einfachen Benutzerrechten erstellt. Über den Admin-Account kann ich nicht auf den HKCU des User-Accounts zugreifen, über den User-Account habe ich jedoch keine Berechtigung zum anpassen der Registrywerte.
Habe es schon mit einem Batchskript versucht, welches als Admin konfiguriert über die Aufgabenplanung mit höchsten Rechten bei der Anmeldung eines Users ausgeführt werden soll, hat leider auch nicht funktioniert.
Habe mich mittlerweile auch etwas tiefer mit der Registry beschäftigt und erkannt, dass der Zweig HKEY_CURRENT_USER lediglich ein temporäres Abbild vom Zweig HKEY_USERS ist. Wo muss ich denn die Werte anpassen? Ich vermute mal unter HKEY_USER, aber wie finde ich heraus welche Ordner zu welchem User gehören? Die sind ja alle mit dieser kryptischen User-ID verknüpft.
Wie realisiert man so etwas am besten? GPOs und ActiveDirectory werden bei uns nicht eingesetzt und sind daher leider keine Lösung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669450
Url: https://administrator.de/contentid/669450
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
bau dir ein "Default" Profile mit allen gewünschten Voreinstellungen. Wenn sich der User dann das erste Mal anmeldet wird das Profile kopiert und die Einstellungen greifen.
lg,
Slainte
bau dir ein "Default" Profile mit allen gewünschten Voreinstellungen. Wenn sich der User dann das erste Mal anmeldet wird das Profile kopiert und die Einstellungen greifen.
GPOs und ActiveDirectory werden bei uns nicht eingesetzt
Warum macht ihr's euch so schwer?lg,
Slainte
Moin,
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
ansonsten sind die "kryptischen User-IDs" die sogenannten Security Identifier ( SID) . Kannst du für alle User zb mit Powershell anzeigen lassen
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
REG LOAD HKEY_Users\irgendwas "C:\Users\Beispielnutzer\NTUSER.DAT" Get-WmiObject win32_useraccount | Select name,sid
Warum macht ihr's euch so schwer?
Ist leider historisch gewachsen, wir haben viele einzelne Standorte die netzwerkseitig nicht miteinander verbunden sind. Macht uns leider an mehreren Stellen große Probleme.
> Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit
Den Ansatz habe ich mal verfolgt und er erscheint sehr vielversprechend:
1. REG LOAD HKEY_USERS\Software "C:\Users\User\NTUSER.DAT"
2. REG ADD "HKEY_USERS\Software\...."
3. REG UNLOAD HKEY_USERS\Software
Zumindest wird der Wert wie gewünscht in die Registry geschrieben, nach HKEY_CURRENT_USER bei der Anmeldung durch den User übernommen und verhindert, dass cmd genutzt werden kann.
Hoffe nur dass mir diese Lösung keine "versteckten" Probleme bereitet, die ich noch nicht absehen kann.
ERKLÄRBÄR:
Nein das wird dir keine Probleme machen.
Bedeutet an in dem Pfad:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.
Unter
Computer\HKEY_USERS\.DEFAULT
Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.
Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.
also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.
Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein
man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.
Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................
Nein das wird dir keine Probleme machen.
Bedeutet an in dem Pfad:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.
Unter
Computer\HKEY_USERS\.DEFAULT
Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.
Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.
also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.
Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein
man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.
Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................
Ja cool, danke für Deine Bemühungen 
Das mit dem Default-User ist auch ein guter Tip.
Wobei ich mich frage ob die Einstellungen unter Computer\HKEY_USERS\.DEFAULT auch wirken wenn ich einen neuen Benutzer als Administrator hinzufüge? Denn die Einschränkungen sollen natürlich nur für Benutzer, nicht für Admin Accounts gelten.
Das mit dem Default-User ist auch ein guter Tip.
Wobei ich mich frage ob die Einstellungen unter Computer\HKEY_USERS\.DEFAULT auch wirken wenn ich einen neuen Benutzer als Administrator hinzufüge? Denn die Einschränkungen sollen natürlich nur für Benutzer, nicht für Admin Accounts gelten.
