Admin ohne Internetrecht unter Win7 und WinXP?

[Nisch]

Hallo,

ich soll demnächst zwei PCs einrichten, einen mit XP einen mit Win7, wobei bei beiden dem gesamten Adminkonto der Zugang zum Internet abgestellt werden soll. Stattdessen soll man nur unter eingeschränkten Konten über Internet verfügen.

Zwar erschließt sich mir der Sinn dieses Wunsches auch nicht ganz, da meines Wissens nach niemand über das Netz auf die Admin-Dateien zugreifen kann, wenn man über ein eingeschränktes Konto zugreift, aber ok.

Die Frage bleibt: Wie bewerkstellige ich das bzw. geht das überhaupt?

Schonmal vielen Dank

Nisch

 

[sylvio2000]

Mir erschließt sich der Sinn des Ganzen auch nicht

Ich würde nochmal genau nachfragen, was sie damit genau bezwecken wollen

 

[Chris200992]

hallo nisch,

verseh doch die admin konten mit einem pw (wie es ja eign. immer sein soll).
ich gehe mal nicht davon aus, das so viele bei euch mit dem admin konto arbeiten?

gruß
chris

 

[meiershans]

Also ich bin MCP und sollte das wissen. Ich behaupte mal das geht nicht!

Also jedenfalls nicht mit Boardmittel, da du ja als Admin jede Einstellung rückgängig machen kannst und selbst wenn der PC in einer Domäne unter AD geregelt ist, wüsste ich auch nicht wie das hinkriegen könntest.

Um von außen zu schützen bringt das ja auch ncihts, weil selbst wenn du mit eingeschränktem konto arbeitest, könntest du mit dem Admin zugang auf den PC zugreifen.
man soll ja nur mit eingeschränktem konto arbeiten, damit ein angreifer nur mit den rechten des angemeldeten benutzers schaden anrichten kann, also nicht so viel wie mit admin rechten, er hat aber dennoch die möglcihkeit hintenrum als admin was zu machen. also würde die geforderte Lösung ncihts bringen

 

[Wannabe89]

Ich bin auch MCP und meine das geht ,

denkt mal bisschen nach

Wobei ich , wenn das mein Kunde wäre die Frage des WARUM? stellen würde.

Meist wollen sie doch etwas erreichen über einen komplett umständlichen weg.
Lass dier doch den Sachverhalt genau erklären, bin mir sicher du hast für sie eine Bessere Lösung.

 

[meiershans]

@wannabe89: ok, mal abgesehen von dem sinn, wie geht es denn dann?

vermute mal du meinst in ner Domäne Gruppenrichtlinien vergeben, das nur für den lokalen Admin, da gibts was mit internetkommunikationsverwaltung, aber steht nichts wirklich brauch bares drin und netzwerkzugriff kann man auch nicht ganz abschalten, da das LAN sicher weiterverwendet werden soll. Hört sich doch sehr konfus an.
Und wie gesagt kann man sicher alles umgehen und wird das nie sicher hinbekommen. Wobei wir wieder bei dem Sinn des ganzen sind...

 

[Rego]

theoretisch würde es funktionieren wenn Du

1. einen Proxy-Server hast
2. mit Gruppenrichtlinien legst Du fest, dass der Internet Explorer (die anderen sind ja leider nicht so ganz einfach mit Richtlinien zu belegen) über den Proxy arbeitet und dieser gibt dann keine Berechtigung.

Zu bedenken bei dieser "Lösung" ist aber, dass sich der Administrator jederzeit einen alternativen Browser oder ein anderes lokales Admin-Konto einrichten kann und somit alles umgeht.

Es stellt sich aber wirklich die Frage warum man sowas überhaupt planen und umsetzen wollen würde.

 

[Nisch]

Also das allgemeine Meinungsbild spiegelt sehr schön meine Skepsis gegenüber der Idee wieder.

Der Grundgedanke hinter dem Wunsch scheint wirklich nur zu sein, dass niemand über das Internet auf sensible, unter dem Admin-Konto erstellte und abgelegte Daten zugreifen kann.

Also wenn es mit Windows-Mitteln nicht geht, gibt es dann Drittanbieter, die etwas in der Richtung anbieten?

 

[Chris200992]

wie soll das denn über das internet funktionieren?
wie/wo soll denn die ablage sein?

 

[Nisch]

Gute Fragen. So ganz kann ich mir in den Kundenwunsch auch nicht hineindenken.

Also ist es weiterhin das beste einfach unter Eingeschränktem Benutzer zu surfen und das wars?!

 

[Cool Master]

Also ich als MCITP würde in der Domain alles per GPO machen und den Admins nicht gestaten das inet zu nutzen. EIgentlich recht einfach. Aber in einer normalen Desktop Umgebung wüsste ich es an aisch auch nicht da der admin alles rückgänig machen kann.

 

[Nisch]

@Cool Master: Alles klar, also ist es mit allgemein zugänglichen, benutzerfreundlichen Mitteln nicht möglich. Hatte ich mir fast gedacht.
Aber wie sicher ist denn nun die Methode über Eingeschr. Benutzer ins Internet zu gehen eigentlich?

 

[meiershans]

Du musst dir bewusst sein das du nie 100% schutz hast solange der PC im internet hängt, diese Sicherheit bekommst du nur mit kabel ziehen.

Das beste was man tun kann ist eine gute Firewall möglichst scharf zu konfigurieren. Dann noch ne DMZ bauen. und dann über nen Proxy surfen. ist halt alles auch eine Kostenfrage was einem die sicherheit wert ist.

 

[Nisch]

Gut, dann werde ich das so weitergeben.

Vielen Dank nochmal an die vielen hilfreichen Poster!