Einen Nutzer einschränken

[ripuli-6]

Hi,

ich sitze gerade daran einen Nutzer in mein Windows einzuführen, der nicht sehr viel machen darf. Konkret soll der Nutzer nur Word und Outlook nutzen dürfen und ins Internet dürfen und unter seinen eigenen Dateien Daten abspeichern.

Wenn ich jetzt einen eingeschränkten Nutzer anlege, sieht der aber immer noch die Systemsteuerung etc, was ich nicht will. Bei gpedit.msc kann ich anscheinend auch nur alle Nutzer beschneiden, zB indem ich einzelne Startleistenordner nicht mehr anzeigen lasse, oder den zugriff auf die Kommandozeile verhindere. Dies wirkt sich aber meines Erachtens auch auf die anderen Admin Accounts aus und mit dem Eingeschränkten Nutzer kann ich schlecht die gpedit starten.

Weiß jemand wie ich es anstellen kann? Bzw. wo dafür die Einträge in der Registry sind?
Als Beispiel mögen einige Behördenrechner dienen, die mir auch nur Zugriff ein, zwei Programme ermöglichen und ansonsten, wenn überhaupt noch Shutdown anbieten.

Bitte um Eure Mihilfe.

gruß ripuli

 

[PCB]

Hallo, mit gpedit kannst du nur alle User beeinflussen incl. den Admins. Das ist ein kleiner Schwachpunkt der lokalen Richtlinien, entspricht aber dem Gruppen-Konzept des ADS.

Einzelnen Usern kann man mit dem Microsoft-Tool Poledit die Rechte zuweisen.

Hier gibts dazu ne Anleitung: Anleitung Umbau W2K/XP Templates für den Einsatz mit Poledit

PCB

 

[Boy Nokumba]

(OT)
POLEDIt, SeCEdit, GPEdit treffen prinzipiell alles gleich. - Das sind lokale SicherheitsRichtlinien im kleinen Fall und im grossen die GruppenRichtlinien fürs AD. - Die unsauberste Lösung ist IMHO jedoch die Benutzer-Konten-Ansprache im Speziellen.

Ergo geht man den Weg über ACL / ACE, sprich Features des NTFS. - Legt also "oo-Attr."-Gruppen fest, gibt DENEN ZugriffsBerechtigungen UND lässt anschliessend Benutzer-Konten (durch Hinzufügen in entspr. Gruppen) das erben, was an die angedachten Gruppen ging. - Vor geraumer Zeit war das mit "Global-in-Local-grants-Permission" vollständig erklärt.

Da HIER jedoch nur ein LOCAL angesprochen ist, wäre es eine gute Übung, per ComputerVerwaltung-> Benutzer+ Gruppen diese Viecher anzulegen UND wie angedeutet diesen Rechte zuzuweisen.

 

[Kuhni Lingus]

Man muss das nicht über den umständlichen Weg der Gruppenrechte machen.Es geht auch einfacher und eleganter :

Wenn man individualisierte Einstellungen für unterschiedliche User vornehmen möchte, kann man das über die Policy Settings, d.h. direkte Registry-Patches für das jeweilige Benutzerkonto machen.Das ist auch direkt von einem Admin-Account aus möglich, wenn man die jeweiligen ntuser.dats der Benutzer in der Registry unter "Struktur laden" mountet und dann den gemounteten Zweig bearbeitet.Eine vollständige Auflistung aller Registry-Einstellungen in den administrativen Vorlagen(allerdings in Englisch) findet man hier in den Formaten xls,html, mdb bei Microsoft :

http://www.microsoft.com/downloads/...2F-DA15-438D-8E48-45915CD2BC14&displaylang=en

Hier noch mal ein Microsoft-Link zu den wahrscheinlich besonders oft angewendeten Policy Settings, die das Startmenü anbetreffen :

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q292504