ComputerBase Menü
Aktuelles

Gäste an den eigenen PC lassen

Das "Problem" ist folgendes: Du gehst vor nach der Methode "Wasch mich, aber mach mich nicht nass".
Du willst mit deinem eigenen Benutzer-Konto angemeldet bleiben,
willst aber gleichzeitig verhindern das die Besucher Unsinn anstellen, Dinge sehen, die sie nichts angehen usw.
Und das wird schwer bis unmöglich.

Entweder ein Gast-Konto ohne Adminrechte anlegen, dann musst du halt das Konto wechseln für den Besucher.
Oder du stellst einen USB-Stick zur Verfügung mit Ubuntu o.ä drauf, von dem aus du ein Live-System bootest ohne Zugriff auf die restlichen Laufwerke.
Oder du stellst dem Besuch einen Zweitrechner zur Verfügung, Laptop, Tablet o.ä.
Oder du sagst dem Besuch das es die Finger von deinem Rechner lassen soll, WLAN-Gastzugang einrichten und dann kann jeder sein Smartphone nutzen.
Dein Rechner wird gesperrt, sobald du den Rechner aus den Augen lässt, Benutzer abmelden, Anmeldung nur nach z.B. Passworteingabe,
das natürlich keiner deiner Besucher kennen sollte.

Bei mir gilt: Finger weg von meinem Rechner! Zugang erhalten nur ganz wenige, z.B. Freundin.
Aber andere Freunde, Kumpels, Bekannte, Nachbarn keinesfalls. Höchstens ich sitze unmittelbar daneben und kann demjenigen dann sofort auf die Finger klopfen.
 
  • Gefällt mir
Reaktionen: nciht, source, retrozerky und 3 andere
Dann hol ne weitere SSD, installier da alles was drauf soll. Und wenn die Gäste kommen klemmst du das Laufwerk um.
Alle Probleme behoben und garantierter Schutz für alle deine Daten und Einstellungen ohne Gefrickel.
CoMo schrieb:
Es soll keine Angreifer abhalten, sondern nur unbedarfte User, die sowieso nicht wissen, wie Windows funktioniert.
Zum Vergrößern anklicken....
Ich arbeite in der IT. Weißt du, wer die schlimmsten Fehler produziert, absolut neue Fehlerquellen findet, Sachen verstellt von deren Einstellungen niemand in der IT bisher Kenntnis hat?
Richtig. Leute die nicht den Unterschied zwischen rechter und linker Maustaste kennen. Die verstellen dir alles in Grund und Boden.
 
  • Gefällt mir
Reaktionen: Gurkenwasser, Bonanca, Noninterlaced und 3 andere
Vlt kann man auch ein paralleles System immer mit einem Wechselrahmen wechseln wenn das der Fall ist auf dem Programme und Spiele installiert sind. Das Hauptsystem könnte man ja verschlüsseln oder eben auch ausbauen.
Vlt reicht auch ein USB Stick mit OS für den Gast. (Mit spielen könnte es aber schwer werden)
 
Danke @Smily für das Wiedereröffnen dieses Threads nach kurzer Diskussion.

An Alle: Ich wünsche wirklich nur Lösungen für die von mir im Eingangspost beschriebenen Probleme. Wer der Meinung ist, dass das alles ne blöde Idee ist und das ich das alles total anders machen sollte, der soll bitte in diesem Thread nicht posten.

Kein paralleles System, kein Boot-Stick, kein Gäste-Netz. Einfach nur das, was im Eingangspost beschrieben ist. Keine Alternativen. Ich will es so machen und suche dafür Lösungen zu den Problemen, die ich dort beschrieben habe. Bitte richtig lesen und erst dann antworten. Danke.
Ergänzung ()

Ich habe gerade folgenden Weg gefunden:

mmc.exe -> Gruppenrichtlinien -> Hinzufügen -> Durchsuchen -> Benutzer -> Besucher -> Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer -> Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen -> Alle Laufwerke einschränken -> Aktiviert.

Das führt bei allen Laufwerken, auch beim pCloud Drive und bei der RAMDisk zu:

Code: 
Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.

Das gefällt mir schon mal gut.

Nun habe ich immer noch das im Eingangspost beschriebene Problem mit dem Rechtsklick auf "Dieser PC". Habe ich mir wohl irgendwie beim Setzen der NTFS-Berechtigungen zerschossen. Wie bekomme ich das wieder hin?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Anoubis, R00kie und Smily
@CoMo dein Use-Case ist schon sehr speziell und reißt viele verschiedene Bereichen an (RAM-Disk absichern, schließen der Sandbox verhindern, Berechtigungen unter C: ggf. zerschossen). Da sind die Einzelthemen schon Herausforderungen.
Hab bitte etwas Geduld, während wir uns der Lösung annähern - hoffentlich 😅

Ich würde sagen, dein Hauptproblem ist, deine angemeldete User-Session mit den ganzen laufenden Programmen. Ich vermute mal, dass der eingeschränkte User-Account auf deinem PC (ohne dass dein User im Hintergrund angemeldet ist) gar nicht auf deine Daten zugreifen könnte. Die RAM-Disk würde nicht laufen oder wäre leer, viele (hoffentlich alle) Programme, die der Gast starten würde, müssten von ihm erst konfiguriert werden (wie z.B. pCloud Drive - hoffentlich) und hätten somit keinen Zugriff auf deine Daten.
Eine Anpassung der Rechte unter C: dürfte dich mehr in Schwierigkeiten bringen, als dass es deinem Nutzen dient. Besonders eingeschränkte User sollten unter C: gar keinen Schaden anrichten können - außer Programme starten, die aber eigentlich auch keine Daten von dir preisgeben sollten (wenn die Programme nicht völlig laienhaft programmiert wurden). Programme nicht systemweit zu installieren (wie schon vorgeschlagen und sofern möglich) ist ansonsten ein zusätzlicher Ansatz.

CoMo schrieb:
Zweites Problem: Meine RAMDisk. Die ist 95GB groß, darauf landen alle Downloads und temporären Dateien. Die habe ich mit exFAT formatiert, daher kann ich da keine NTFS-Berechtigungen setzen. Lösung wäre vermutlich, die einfach nach NTFS zu formatieren. Korrekt?
Zum Vergrößern anklicken....
Korrekt.

CoMo schrieb:
Das Gast-Konto mit dem temporären Profil erscheint mir ungeeignet, denn möglicherweise fallen ja doch mal Daten an, die bestehen sollen.
Zum Vergrößern anklicken....
Könntest du nicht einen einzelnen Ordner auf einer Festplatte freigeben, auf den Gäste schreiben dürfen? Diesen Ordner könntest du auf dem Desktop verlinken.

CoMo schrieb:
Das Problem lässt sich lösen, indem ich die pCloud-Software beende, bevor ich den Benutzer wechsle. Ok. Das ist kein wirkliches Problem, muss ich nur dran denken.
Zum Vergrößern anklicken....
Du könntest die Windows Aufgabenplanung nutzen und eine Aufgabe erstellen, die ein Skript ausführt, welches pCloud beendet. Als Trigger nimmst du "Bei Arbeitsstationssperre".
1674605411434.png


Bei der Windows-Sandbox bezweifle ich, dass du Nutzer darin fangen kannst. Wie soll sie beendet werden können, wenn die Möglichkeiten zum Beenden deaktiviert werden?
Hier hat generell schon mal darum gebeten, die Shutdown-Option von der Sandbox zu entfernen, weil diese Option sowieso irreführend ist:
https://techcommunity.microsoft.com...tion-from-windows-sandbox-and-stop/m-p/850780

Aber offensichtlich ist es noch nicht umgesetzt. Ich habe auch danach gesucht, ob man die Gruppenpolicies innerhalb der Sandbox anpassen kann (so müsste man die Buttons für Shutdown/ Restart usw. entfernen können), aber weder Registry noch Gruppenrichtlinien lassen sich über die Sandbox-Konfigurationsdateien steuern. Das ist also eher eine Sackgasse.

Was hältst du stattdessen von einer vollwertigen VM? Ich weiß nicht mehr welches VM-Tool das war, bei dem die Maus und Tastatur vom VM-Fenster gefangen wird. Wer die Tastenkombination zur Freigabe von Maus und Tastatur nicht kennt, kommt gar nicht auf den Windows-Desktop zurück.
Das Windows in dieser VM könnte man wiederum vollständig konfigurieren und mit Gruppenrichtlinien nach deinen Wünschen einschränken.

Noch ein zusätzlicher Hinweis:
das größte Risiko geht für dich von Bootmedien aus. Das BIOS sollte mit einem Passwort versehen sein und das Booten von anderen Medien (außer deiner primären Festplatte) solltest du unbedingt deaktivieren. Steckt jemand einen USB-Stick an oder legt eine CD ein und bootet von dieser ein Linux, sind alle deine Sicherheitsvorkehrungen dahin.

Zwar könnten die böswilligen Nutzer dann immer noch den CMOS clearen und anschließend doch wieder von anderen Medien booten, aber es ist immerhin eine kleine Hürde und das fehlende BIOS-Passwort bekommst du hoffentlich irgendwann mit.
 
  • Gefällt mir
Reaktionen: Anoubis, Smily und CoMo
Prima, dass Du eine Lösung gefunden hast und sie dann sogar beschreibst, damit auch andere davon profitieren können.
👍

...

Ich habe dennoch ein Tablet für Gäste liegen und an den PC kommt keiner ran.
Ist halt einfacher und die Gäste wollen normalerweise eh nix machen, das unbedingt einen PC erfordert.

Dazu noch Gast-WLAN und ausgedruckter QR Code, damit sich jeder mit seinem Smartphone leicht darin einloggen kann. Denn die meisten Gäste nutzen lieber ihr eigenes Smartphone, um mal schnell was nachzusehen, als mein bereitliegendes Tablet zu benutzen.
 
CoMo schrieb:
Warum nicht? Ich kann mich mit dem Profil anmelden, alles funktioniert problemlos, aber der Zugriff auf C:\ im Explorer gibt ein "Zugriff verweigert". Das ist doch, was ich will. Erkläre bitte, was du damit meinst.
Zum Vergrößern anklicken....
Weil der "andere User" ebenfalls Zugriff auf C benötigt - lies dich mal in das Thema ein bitte.
Hier scheint wohl das Basiswissen zu fehlen...
Und wenn du das nicht verstehst oder dir zu hoch ist, stell einen zweiten PC hin und fertig.
 
@R00kie das ist sehr nützlicher Input, vielen Dank! Ich werde das alles mal durchgehen. Besonders der Trigger über die Aufgabenplanung klingt sehr interessant, damit werde ich mich beschäftigen :)

Gerade noch bemerkt: über Benutzerkonfiguration -> Administrative Vorlagen -> Desktop -> "Alle Desktopsymbole ausblenden und deaktivieren" kann ich auch noch den Desktop komplett leeren für den Benutzer. Ich wühle mich noch weiter durch die Gruppenrichtlinien, die sind ja wirklich mächtig.

R00kie schrieb:
Noch ein zusätzlicher Hinweis:
das größte Risiko geht für dich von Bootmedien aus. Das BIOS sollte mit einem Passwort versehen sein und das Booten von anderen Medien (außer deiner primären Festplatte) solltest du unbedingt deaktivieren. Steckt jemand einen USB-Stick an oder legt eine CD ein und bootet von dieser ein Linux, sind alle deine Sicherheitsvorkehrungen dahin.
Zum Vergrößern anklicken....

Ja weiß ich, ist aber gar nicht mein Anwendungsfall. Wer sowas kann, der fragt nicht, ob er meinen PC benutzen kann, der hat seinen eigenen dabei. Und meine Boot-Platte ist sowieso Bitlocker-Verschlüsselt. Die Datenplatten sind Veracrypt-Verschlüsselt, die entschlüsseln sich automatisch mit nem Keyfile, das auf C:\ liegt und das funktioniert ja wiederum erst wenn ich C:\ mit der Bitlocker-PIN entschlüsselt habe 🙃

Telechinese schrieb:
Weil der "andere User" ebenfalls Zugriff auf C benötigt - lies dich mal in das Thema ein bitte.
Hier scheint wohl das Basiswissen zu fehlen...
Und wenn du das nicht verstehst oder dir zu hoch ist, stell einen zweiten PC hin und fertig.
Zum Vergrößern anklicken....

Der andere User hat keinen Zugriff auf C:\. Den habe ich per NTFS-Berechtigungen komplett entzogen. Und jetzt noch zusätzlich per GPO.

Der User kann sich trotzdem anmelden und vorinstallierte Programme wie den Edge Browser nutzen. Alle Programme aus dem Startmenü funktionieren und die Windows Sandbox kann ich auch starten.

Da scheint dein "Basiswissen" wohl an seine Grenzen zu kommen. Ich darf zitieren?

Telechinese schrieb:
lies dich mal in das Thema ein bitte.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: R00kie
ich kenne meine gäste, vertraue ihnen, und habe kein problem, diese an meinen pc zu lassen.
 
  • Gefällt mir
Reaktionen: coasterblog und ultrAslan
Geht mir auch in 99% der Fälle so. Trotzdem will ich ein Setup vorbereiten für die übrigen 1%.

gpedit ist gerade mein neuer bester Freund.
 
  • Gefällt mir
Reaktionen: R00kie
CoMo schrieb:
Ziel ist, dass ich jemanden unbeaufsichtigt an meinen PC lassen kann, auch wenn ich mal für ne halbe Stunde weg bin. Ich möchte aber mit meinem richtigen Benutzer angemeldet bleiben, so dass alle meine Programme weiterlaufen.
Zum Vergrößern anklicken....
Wenn dein Rechner unbedingt weiterlaufen soll wenn da jemand fremdes dran sitzt, wie sieht das dann mit dem Power- und Resetknopf aus, oder auch Strg-Alt-Entf (Ausschalten/Neustart - weiß nicht ob das bei deiner Lösung möglich ist)?

Weiß dass dies nun auch wieder keine Lösungshilfe ist, aber vielleicht etwas, das Du bei den bisherigen Maßnahmen noch nicht berücksichtigt hast.

Gerade wenn Du nicht von bösen Absichten ausgehst, sondern von Unbedarftheit, kann man da gar nicht dumm genug denken.
 
  • Gefällt mir
Reaktionen: Engaged
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Laufwerksfreigabe Windows 11
Antworten
6
Aufrufe
816
derlorenz
derlorenz
D
Netzwerkberechtigung NAS
Antworten
13
Aufrufe
905
duosell
D
sesh666
Fenster Dupliezieren sich und lassen sich nicht mehr beenden
Antworten
11
Aufrufe
520
sesh666
sesh666
W
Dynamische Beleuchtung komplett deaktivieren?
Antworten
1
Aufrufe
568
VIIV
V
N
Auf angegebenes Gerät kann nicht zugegriffen werden
Antworten
9
Aufrufe
899
4ever
4
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz