XP: User für 'Surfstation' einrichten?

[Sven]

Folgende Problemstellung:
Ein Rechner soll als reine Surfstation eingerichtet werden, dafür soll es einen User geben der (entweder / oder):

• außer den IE und den Mediaplayer (und so'n Kram) zu benutzen, eigentlich nichts darf (Programme installieren etc. pp)
• bei jedem Systemstart neu hergestellt wird - ohne daß ein User im Betrieb diese Einstellung außer Kraft setzen kann.

Für den Administrator soll natürlich alles bleiben wie es ist.

Wie macht man das?

[surfer7]

XP Home oder Pro.

Mit dem Home dürfte das NICHT möglich sein.
Mit dem Pro kann man aber mit den Richtlinien so hantieren.

[Sven]

Pro natürlich.. ich dachte die Angabe wäre überflüssig

[Antr4ks.de]

Sven, die Frage ist gut.
Ich habe das gleiche Problem

Ich als Admin darf natürlich alles, aber wenn mal z.b. meine Mum an den Computer will hab ich das bis jetzt nur so eingeschränkt, das nur die wichtigsten Programme auf dem Desktop sind und das Startmenü hab ich geschrumpft (gutes Programm ist X-Setup). Normale User können weiter dann nichts machen.

Aber auch ich wüsste gerne, wie man Dateien komplett für den User sperren kann. Ich hab es zwar schon in der Verwaltung versucht mit den Gruppenrichtlinien und Sicherheitskonfiguration, aber die Einstellungen werden nie angenommen

Achja, ich hab nat. auch WinXp Pro

[CNCAaron]

Jo Sven ,
Das mit dem was ein user darf oder nicht würde ich über die benutzerrechte verwaltung in machen.
Erstell doch einfach die benutzergruppe Surfer erteile ihnen minimale rechte und bestimme genau was diese dürfen oder nicht.
Und das 2te mit dem das alles wieder wie gehabt ist nach system neustart würde ich mit HD-Sheriff machen hier Info Link Hdd- Sheriff
Kostet zwar ein wenig aber sehr zu empehlen.

Greetz
Aaron

[surfer7]

Zitat:

Zitat von Sven

Pro natürlich.. ich dachte die Angabe wäre überflüssig

tzzz man(n) weiss ja nie ;-)
Also. Erstell doch ne neue Sicherheitsgurppe. Diese darf nur iexplore.exe und noch n paar andere dateien ausführen.

[Sven]

Zitat:

Zitat von surfer7

Also. Erstell doch ne neue Sicherheitsgurppe. Diese darf nur iexplore.exe und noch n paar andere dateien ausführen.

Schau ich mir mal an... any hints? (Ich hab das noch nie gemacht.... )

[MyersGer]

für 2. würde ich HDGuard empfehlen (ich glaub so hieß das).
macht änderungen wieder rückgängig nach nem neustart und funktioniert super.
aber die pcs werden n tick lahmer dadurch.

[Sven]

Mhmm, die beiden Progs hab ich mir angeschaut - das ist aber nicht das was ich möchte.
Mit beiden wird der PC in einen definierten Zustand versetzt der alle Accounts betrifft.

Erforderlich wäre aber eine Lösung bei der nur der jeweilige Useraccount und alles was der User in einer Sitzung an Daten erzeugt wieder auf einen Ursprungszustand zurückgesetzt wird - sprich: Nur dieses Profil inkl. der eigenen Verzeichnisse (die Inhalte der Ordner könnte ich zur Not auch per Batch-Datei löschen lassen)

[surfer7]

Ich könnte dir am abend auch n kleines Script schreiben welches das Profil des "Surf-Users" bei jedem Neustarten zurücksetzt (überschreibt).

Habe aber erst am abend zeit. Bin am arbeiten ;-)

[Antr4ks.de]

Achja, zum dem was ich oben beschrieben habe.

Ich weiß jetzt warum meine änderungen nicht übernommen wurden. Das war weil ich noch das Dateisystem FAt32 benutzt habe. Die Sache benötigt aber NTFS!
Also habe ich meine Windoof-Partition zu NTFS mit Partion Magic konvertiert und jetzt kann ich die änderungen machen.

Start->Ausführen->MMC eingeben

Dort auf Datei->Snap in-Hinzufügen/Entfernen, dann auf Hinzufügen, dort kann man alles einladen was geändert werden soll. z.b. Computerverwaltung, Freigaben, Gruppenrichtlinien, Lokale Benutzer und Gruppen und Sicheitskonfiguration und -analyse und die Sicherheitsvorlagen dafür. (die letzten beiden sind für die Benutzerrechte)

Genauer weiß ich dann jetzt auch nicht mehr, musste mal gucken.
Ich weiß zwar jetzt nicht ob es das ist, was du willst, aber ich hoffe ich habe geholfen. Musst dann allerdings bei den änderungen vorsichtig sein. Ich habe eben selbst für den Admin zufgriffsrechte gesperrt , konnte aber glücklicherweise wieder zurück stellen

Zongolo

[Sven]

Zitat:

Zitat von surfer7

Ich könnte dir am abend auch n kleines Script schreiben welches das Profil des "Surf-Users" bei jedem Neustarten zurücksetzt (überschreibt).

Habe aber erst am abend zeit. Bin am arbeiten ;-)

Das wäre nett

@zongolo:
Ein wenig, ich schau mir das mal an

[surfer7]

Zitat:

Zitat von Sven

Das wäre nett

@zongolo:
Ein wenig, ich schau mir das mal an

Sorry Sven dauert wohl etwas länger. Ist nicht sooo einfach wie ich dachte ;-)

Aber spiel doch in der zwischen Zeit mit den Berechtigungen rum.
Ein Image zu erstellen ist aber ratsam

[Sven]

Klar doch, ich mach das auch sicher nicht auf einem meiner 'Production' Kisten

[surfer7]

Zitat:

Zitat von Sven

Klar doch, ich mach das auch sicher nicht auf einem meiner 'Production' Kisten

Sorry wenn ich etwas Paranoid wirke ;-) Aber durch Kundenkontakt hab ich dinge erlebt, die würd ich keinem cncforen user wünschen :king:

[Antr4ks.de]

Achja, alternativ kannste auch die Konsole benutzen und dort mit dem kommando "cacls" dir Benutzerrechte zufügen, aber ich denke das ist etwas umständlicher. Außerdem ist auf der XP-CD eine unter Support/Tools eine Support.cab, in der richtige Admintools sind, wie z.b. die erweiterte Version "xcacls".

Oder du machst es so wie ich es bei einigen "Surfstationen" gesehen habe, das du dir ne eigene Shell schreibt (oder dir eine im Internet suchst), die dann die explorer.exe ablöst. Also dann kommt nicht mehr das normale Startmenü und so.
Jedoch kenn ich mich dabei nicht aus.

Zongolo

[surfer7]

Zitat:

Zitat von Zongolo

Achja, alternativ kannste auch die Konsole benutzen und dort mit dem kommando "cacls" dir Benutzerrechte zufügen, aber ich denke das ist etwas umständlicher. Außerdem ist auf der XP-CD eine unter Support/Tools eine Support.cab, in der richtige Admintools sind, wie z.b. die erweiterte Version "xcacls".

Oder du machst es so wie ich es bei einigen "Surfstationen" gesehen habe, das du dir ne eigene Shell schreibt (oder dir eine im Internet suchst), die dann die explorer.exe ablöst. Also dann kommt nicht mehr das normale Startmenü und so.
Jedoch kenn ich mich dabei nicht aus.

Zongolo

Guter ansatz. Dem user ctrl. + alt + del verbiehten und als shel die iexplore.exe nehmen.
So kann der user NUR surfen. (naja s gibt ne lücke, er könnte per iexplorer die explorer.exe oder so aufrufen)

[Excytee]

Zitat:

Zitat von Sven

Folgende Problemstellung:
Ein Rechner soll als reine Surfstation eingerichtet werden, dafür soll es einen User geben der (entweder / oder):

• außer den IE und den Mediaplayer (und so'n Kram) zu benutzen, eigentlich nichts darf (Programme installieren etc. pp)
• bei jedem Systemstart neu hergestellt wird - ohne daß ein User im Betrieb diese Einstellung außer Kraft setzen kann.

Für den Administrator soll natürlich alles bleiben wie es ist.

Wie macht man das?

1. Lösung:
Ein Benutzerkonto einrichten mit dem Status Hauptbenutzer oder noch tiefer gestellt. Sollte das nicht reichen dann zusätzlich mit den Gruppenrichtlienen festlegen was der alles darf und was nicht. Kann aber in großer Arbeit ausarten...
=> gpedit.msc ist der Befehl für den Gruppenrichtlieneneditor

2. Lösung:
Kaufe dir eine PC Wächter- oder Sherrif-Karte (verdammt wie schreibt man das? ich verwechsel das immer mit den r und f ), kostet ca. 50-75 EUR. Damit ist dann das ganze System geschützt, auch BIOS und so. Man kann nur noch etwas ändern mit Admin PW von der Karte oder indem man die Karte ausbaut. Ansonsten ist bei JEDEM Systemstart wieder der von dir gesetzte Systemzustand wieder da. Funktioniert super...

3. Lösung:
Software à la Norton GoBack einsetzen. Damit kannst du dann auch immer wieder einen Systemzustand beim Start benutzen. Fast wie eine Sheriff Karte.

[Antr4ks.de]

Vom Kumpel hab ich heute das Programm "Security Manager" bekommen.
Damit kannste auch den jeweiligen Benutzer ziemlich gut einschränken!
Gucks dir mal an!

Webseite aus Readme:
http://www.softheap.com/secagent.html