3
XP Prof SP3, Kindersicherung mit Bordmitteln
Hallo allerseits!
Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
Ausgangssituation:
Das funktioniert bisher:
Folgende Probleme sind noch offen:
Danke im Voraus für eure Ideen!
Ich komme hier bei der Einrichtung von einer Art Kindersicherung / Zugriffsbeschränkung nicht mehr weiter und bin für jede Hilfe dankbar. Grundsätzlich wollte ich eigentlich auf Zusatzsoftware verzichten, weil:
- ein Multi-User-OS das allein können muss
- weil die Beschränkung auf möglichst niedriger Ebene passieren sollte (Umgehung bestmöglich verhindern)
Ausgangssituation:
- Windows XP Prof. Sp3
- drei Benutzerkonten:
- eingeschränkter Benutzer: zum Arbeiten
- eingeschränkter Benutzer: zum Spielen
- Admin: für die Verwaltung des Systems durch die Eltern
- ein unbelehrbarer Teenager
Das funktioniert bisher:
- NTFS-Zugriffsrechte: der Arbeits-Account darf nicht spielen und das Admin-Passwort ist dem Nutzer aus gutem Grund unbekannt
- die Anmeldezeit wurde eingeschränkt:
net user ... /times:So-Do,7-21;Fr-Sa,7-23 - weil
"net accounts /forcelogoff:..."nicht den naiv erwarteten Effekt zeigt, wurde das erzwungene Abmelden über einen vom Admin geplanten Task um 21 bzw. 23 Uhr realisiert:shutdown -l -f - PTB-Zeitsync und BIOS-Passwort zum Schutz der Systemzeit
Folgende Probleme sind noch offen:
- spielen über "Ausführen als..." bzw. mit "RunAs" über die Kommandozeile
- tägliches Zeitkontingent von 1 oder 2 Stunden für den Spiel-Account
- das Problem wurde hier schon mal ohne Lösung diskutiert
- es wäre sicher hilfreich, per Abmeldeskript die Sitzungsdauer abfragen zu können, damit das Zeitkonto sukzessive reduziert werden kann
- mit Sachen wie Ruhezustand, Standby und
"tsdiscon"kann man geplante Abmeldebefehle umgehen - jeder mit Nutzerrechten initiierte Zeitzähler kann auch mit Nutzerrechten manipuliert werden
"runas /savecred /user:Administrator ..."ist eine gaaaanz schlechte Idee- Anmeldeskripts, die im Hintergrund weiterlaufen, kann man abbrechen
- eine zeitverzögerte Abmeldung beherrscht XP scheinbar auch nicht
REM Vorsicht mit diesem Befehl, unverhofft kommt oft... shutdown -l -f -t 3600
Danke im Voraus für eure Ideen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117870
Url: https://administrator.de/contentid/117870
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
3 Kommentare
Neuester Kommentar
Kindersicherung mit Windows-Bordmitteln - trauriger Witz.
Ich würde in meiner Naivität so vorgehen:
beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).
Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.
Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)
Gruß
Peter
Ich würde in meiner Naivität so vorgehen:
beim Anmelden wird die Uhrzeit in eine Textdatei (%date%.log) geschrieben.
über den Taskplaner würde ich einen Job laufen lassen, der alle 5 Minuten nachsieht, ob seit der Erstellung 1 oder 2 Stunden vergangen sind. Wenn nein passt scho, weitermachen - wenn ja abmelden und Zeit wegschreiben (echo %time% >> %date%.log).
Somit hast du auch für jeden Tag die An- und Abmeldezeiten zur Auswertung.
Problem ist dabei, dass die Zeit in der Textdatei vom Benutzer geändert werden kann. Mit Bordmitteln ist mir keine Möglichkeit bekannt, wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ohne ihm das Kennwort zu geben - zumindest indirekt.
Das hab ich hier mit AutoHotKey gemacht. Script zum Aufruf schreiben und compilieren.
Ausserdem müsste sichergestellt werden, dass wenn er sich am selben Tag abmeldet und neu anmeldet, die Zeit nicht wieder überschrieben wird. (evtl. mit if exist %date%.log)
Gruß
Peter
Hallo Peter!
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".
Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
MfG
Lustig, genau so habe ich diesen Ansatz auch erst abgestraft, scheint aber bei genauerem Hinsehen kaum Alternativen zu geben. Eine weitere Möglichkeit wäre, die verfügbare Restzeit per PC-Start-Skript in der Log-Datei / Registry auf einen definierten Wert zu setzen, falls die letzte Anmeldung nicht am selben Tag erfolgte. Und dann halt wie oben im 5min-Takt runterzählen.
Zitat von @pxxsxx:
... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Okay, genau genommen, sollte ihm das Skript ja aufgezwungen werden. Das müsste, objektiv betrachtet, möglich sein - aber M$ hat hier anscheinend andere Ansichten.... wie ich effektiv einem Benutzer die Möglichkeit gebe, ein Script mit Administratorkennung zu starten, ...
Würde anstelle des AutoHotKey auch ein Batch-Compiler helfen, damit das PW wenigsten nich im Plain-Text drinsteht? ... hab grad nicht die Zeit, mich in eine neue Skriptsprache "reinzufuchsen".
Wenn das mit der Manipulation nicht vermieden werden kann, muss ich wohl bei der Namensvergabe für die Datei / den Schlüssel etwas kreativ sein ... so was wie
"015A45F78B5D6B8A76F7E6C897D" kommt immer gut :-PHat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
MfG
Zitat von @hellsmurf:
Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
Ja, ich hab noch ne Idee...quick and dirty:Hat jemand noch eine Idee zu der "Ausführen als..."-Geschichte? Das wäre auch wichtig.
- dem Arbeitsaccount den Zugriff auf
"C:\Windows\system32\runas.exe"verbieten - den Kontextmenü-Eintrag "Ausführen als..." bei Executables für den Arbeitsaccount deaktivieren:
- [Windows]+[R] >>>
"regedit" HKEY_CLASSES_ROOT\exefile\shell\runas>>> Rechtsklick >>> Berechtigungen >>> User hinzufügen und Zugriff sperren- sofern existent, mit
HKEY_CLASSES_ROOT\batfile\shell\runasundHKEY_CLASSES_ROOT\cmdfile\shell\runasgenauso verfahren
Ich denke, damit steht das Konzept erstmal grundsätzlich. Ist zwar nicht "wasserdicht" aber doch zumindest "spitzwassergeschützt".
MfG
