ComputerBase Menü
Aktuelles

kleines (Heim)-Netzwerk vor Veränderungen schützen

O

omavoss

Rear Admiral
Registriert
März 2017
Beiträge
5.888
Hallo alle,

hier ist eine lose Gruppe von ca. 70 Windows-Usern, die mehr oder weniger sporadisch auf sechs Windows10-Rechner zugreifen, die in ein LAN integriert und in einer Arbeitsgruppe organisiert sind.

Nun sind unter diesen Usern auch einige, die immer mal wieder so unvernünftig sind, auf diesen Rechner das zu tun, was sie sich zuhause aus Angst davor etwas falsch zu machen nicht zutrauen, nämlich "rumzuprobieren", irgendwelche Software zu installieren und somit das System "kaputtzumachen". Das ist aus meiner Sicht nicht unbedingt verwerflich, dazu sind die Rechner (u.A.) auch da.

Nun fehlt es mir allerdings leider an einer Möglichkeit, diese sechs Rechner periodisch (etwa monatlich) auf einen definierten Ausganszustand zurückzusetzen, um diese ganzen "Tests" rückgängig zu machen. Mir schwebt da eine Lösung a'la Norton Ghosts vor, aber auch mit einem ebenfalls vorhandenen NAS und Acronis sollte diesbezüglich etwas machbar sein. Andere Ideen habe ich nicht, deshalb meine Frage an euch.

Was würdet ihr tun, um die Systeme regelmäßig mit relativ geringem Zeitaufwand zurückzusetzen?

Danke und viele Grüße.
 
Windows 10? Bietet nen Autopilot daür,muss aber manuell angestoßen werden weil du dich authentifizieren musst. Ansonsten gibts noch Tools wie HDGuard
 
Einfach einen lokalen Administrator (Wenn du ne Pro Lizenz hast kannste den deaktivierten Administrator aktivieren) UND einen 2. lokalen User als Benutzer anlegen. Benutzer haben unter Windows KEINE Berechtigung Programme zu installieren oder Systemeinstellungen zu verändern! Da kommt dann beim Versuch ein Loginfenster und er möchte Credentials von einem Administratorkonto.

Du kannst das Konto für die Mitarbeiter auch als Mandatorisches Konto einrichten, der sog. Kiosk-Modus. Du richtest den User für die Mitarbeiter ein (Desktop Icon, Browser Startseite etc.), meldest dich ab und dann benennst du die NTUSER.DAT in NTUSER.MAN. Dann ist das Konto mandatorisch! Das heißt: alle Änderungen, die die User in ihrer Sitzung tätigen werden beim abmelden wieder rückgängig gemacht. Du machst sog. eine Vorlage die bei jeder Anmeldung des User geladen wird
 
Der Threadtitel hat mit dem eigentlichen Thema so ziemlich gar nichts zu tun. Wenn ein Benutzer am Windows rumfummelt und irgendwelche Programme (de-)installiert oder irgendwelche Einstellungen ändert, ist es eine Frage der Absicherung des PCs bzw. des Betriebssystems und keine Frage des Netzwerks?!?

Wie dem auch sei, je nachdem was die Nutzer überhaupt an den PCs tun sollen könnte man auch mit VMs arbeiten und diese so konfigurieren, dass sie beim Start immer wieder vom selben Image aus starten und somit keine permanenten Änderungen am System übernommen. VMware kann das zB (heißt da "revert to snapshot" oder so ähnlich). Natürlich setzt auch das voraus, dass der Nutzer auf dem zugrundeliegenden Host-System keine Berechtigungen hat, eben daran rumzufummeln.

Am Ende läuft es alles auf das Rechtemanagement hinaus, egal welchen Weg du einschlägst.
 
  • Gefällt mir
Reaktionen: Olunixus, cartridge_case und Bob.Dig
Oh, danke für die schnellen Reaktionen! Die Realisierung des Vorschlags von @snakesh1t scheint mir am ehesten dafür geeignet zu sein, getestet zu werden.

Bitte nochmals für mich zum mitmeißeln:
Ich melde mich als Benutzer "PC-1" an, richte den PC-1 ein, melde mich dann als Benutzer PC-1 ab, melde mich als Administrator an; soweit so gut.
Wo liegt nun die für den Benutzer PC-1 angelegte NTUSER.DAT, um sie entsprechend umbenennen zu können?

Bitte nicht ärgerlich sein, ich bin auch einer von den 70 Rentnern; aber die anderen 69 haben noch viel weniger Ahnung als ich.

Auch das HDGuard will ich mir ansehen, danke an @Janz für den Tipp.

@Raijin:
Wo soll ich Deiner Meinung nach den Thread unterbringen? Probleme mit Windows10? Ich habe kein passendes Unterforum gefunden … ein paar Rentner (ca. 70) und VM-Ware oder VirtualBox, damit sind die total überfordert; schon wenn die etwas von virtueller Maschine hören, gehen bei denen die Scheuklappen runter. Noch dazu auf Maschinen mit DualCore, etwa 12 Jahre alt. Aber das Letztere nur nebenbei.

Viele freundliche Grüße.
 
Zuletzt bearbeitet:
Wo liegt nun die für den Benutzer PC-1 angelegte NTUSER.DAT, um sie entsprechend umbenennen zu können?
Zum Vergrößern anklicken....

Die NTUSER.DAT liegt im jeweiligen Benutzerverzeichnis "C:\Users\PC-1\NTUSER.DAT". Musst evtl. in den Ordneroptionen im Karteireiter "Ansicht" "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" aktivieren und den Haken bei "Geschützte Systemdateien ausblenden" rausnehmen, damit du die Datei siehst.
Wenn du dann später wieder Änderungen am Mandatorischen Benutzerkonto durchführen willst, die NTUSER.MAN wieder in NTUSER.DAT umbenennen.
 
In Schulen werden für genau dieses Szenario Karten von PC-Wächter eingesetzt. In jeden Rechner wird eine Karte eingebaut, danach wird der Zustand festgelegt, der immer wieder erreicht werden soll. Die Nutzer können nach dem Start Programme installieren und sich sonst austoben. Entweder zu jedem Rechnerstart oder zu einem definierten Zeitpunkt wird dann die Festplatte in den Ursprungszustand versetzt. Kann man sich wie einen Snapshot einer VM vorstellen, den man immer wieder lädt, allerdings ist das ganze eben physikalisch. Schau’s dir mal an:

https://www.dr-kaiser.de/produkte/admindidakt0/pc-waechter-drive/ausfuehrungsformen/

Kostet natürlich was, aber du hast nicht eingeschränkt, daß die Lösung kostenlos sein muß.
 
Zuletzt bearbeitet:
Für welchen Nutzer? Der Nutzer soll von dem Ding überhaupt nichts mitbekommen oder an ihm einstellen. Wird zentral vom Admin verwaltet und läuft nach einmaligem Einrichten autark.
 
@DeusoftheWired:
Ja, diese Lösung für die Schulen ist mir bekannt, ein paar dieser Wächterkarten fliegen hier auch rum. Trotzdem muss man die Software dafür kaufen; naja, wie das immer so ist: Geld ist nicht so im Überfluss vorhanden, sodass einer kostenlosen (im System vorhandenen) Lösung der Vorzug gegeben wird. Ja, ich hatte die Lösungsmöglichkeit nicht auf kostenlos eingeschränkt; das ist richtig und mein Fehler, ich entschuldige mich dafür; genauso dafür diesen Thread nicht im dafür geeignetsten Unterforum gestartet zu haben. Aber der Einwand von @Raijin und von @cartridge_case ist richtig, ich muss das nächste mal besser aufpassen und erstmal genau darüber nachdenken, was eigentlich das Ziel der Sache ist, bevor ich poste.
 
Okay, also kostenlos. Sollen die Benutzer denn nichts installieren bzw. generell irgendetwas verändern können? Dann schau dir den Windows 10 Kioskmodus mit mehreren Anwendungen an.

Sollen sie etwas verändern können, probiere es mit dem Booten via PXE. Zwei Ordner auf dem NAS anlegen: eines für deinen definierten Grundzustand und eine Kopie davon an einem anderen Pfad. Gebootet wird nur die Kopie. Nachts kann ein Skript diese Datei mit einer Kopie des Grundzustands überschreiben.
 
@Hyourinmaru:
Also das mit dem Umbenennen von NTUSER.DAT in NTUSER.MAN funktioniert nicht.

Hier habe ich einen neuen Benutzer PC-1 angelegt, auf dessen Desktop testweise drei neue Ordner angelegt. Dann Neustart, Anmeldung mit normalem lokalen Benutzerkonto mit Administratorrechten, dann im Benutzer-Ordner von PC-1 die NTUSER.DAT in NTUSER.MAN umbenannt.

Dann wieder Neustart, Anmeldung als Benutzer PC-1, aber die drei testweise neu angelegten Ordner waren nach wie vor vorhanden. Das war nicht das Ziel; es sollte der Zustand des Desktops wieder hergestellt werden, so wie er vor der Neuanmeldung ausgesehen hat, also ohne die drei neu angelegten Ordner.

Ich hatte bisher noch nicht geschrieben, dass es sich um Windows10 Prof.64 bit handelt … offenbar geht das also so nicht, wie vorgeschlagen.

Ich muss mich also mit dem Kiosk-Modus wie von @DeusoftheWired genannt beschäftigen. Mit einer einzelnen App (hier Edge) funktioniert das auch problemlos; aber mehrere Apps wären wünschenswert. PXE ist auch eine Option, allerdings: ob das mit der alten Kiste (D-Link DNS 320) möglich ist, wäre zu prüfen. Wobei in den Räumen des Rentner-Clubs nachts der Strom abgeschaltet wird; alles irgendwie unschön. Dabei sah die Lösung mit dem Umbenennen der NTUSER.DAT so gut aus! Die Benutzer sollen den Benutzerdesktop wie gewohnt vorfinden, nach dem Herunterfahren und einem Neustart sollen alle Veränderungen rückgängig gemacht sein, so der Wunsch"traum".
 
@omavoss War der Benutzer PC-1 ein Admin?
Du hast ja sog. die 3 Ordner in die Vorlage erstellt!
Also änder die .DAT noch mal in .MAN, logg dich ins Konto ein, erstell jetzt nen Ordner oder ne Datei, melde dich wieder ab und danach direkt wieder an. Dann sollten die eben erstellten Dateien/Ordner im Schritt vorher weg sein.
 
Ich würde mir ggf. mal Application Whitelisting Tools anschauen. Wir testen z.B. auch gerade den Einsatz von seculution. Privat habe ich schon VoodooShield benutzt, aber kp wie geeignet das für Unternehmen ist.
 
Du könntest es auch mit ein Windows Server machen uns einen Domänennetzwerk. Übers Policy management könntest du alles Sperren was du willst. Ist bei uns im unternehmen auch so dort bekommt man nicht mal den Taskmanger auf. Login auf die PCs schreiben und gut ist oder es mit dem Autologin versuchen. Das zurücksetzten geht meiner Meinung nach nur Sauber über ein PC Wächter
 
@snakesh1t:
nein, so klappt es nicht, die erstellten Test-Ordner sind nach wie vor vorhanden. Es ist auch kein Unternehmen hier, es ist einfach ein Club von Gleichgesinnten (Rentnern und Rentnerinnen), die sich für die Computer"ei" als Hobby interessieren. Manche machen Bildbearbeitung, manche machen Präsentationen; eben das, was Rentner so ihren Familien und Enkeln vorzeigen wollen.
 
omavoss schrieb:
Hier habe ich einen neuen Benutzer PC-1 angelegt, auf dessen Desktop testweise drei neue Ordner angelegt. Dann Neustart, Anmeldung mit normalem lokalen Benutzerkonto mit Administratorrechten, dann im Benutzer-Ordner von PC-1 die NTUSER.DAT in NTUSER.MAN umbenannt.
Zum Vergrößern anklicken....

Hier liegt die Crux begraben. Du hast die Ordner erstellt BEVOR du die NTUSER.DAT umbenannt hast. Alles was vor der Umbenennung verändert wird, bleibt auch nach der Umbenennung erhalten.
Wenn du die Ordner NACH der Umbenennung in NTUSER.MAN erstellt hättest, dich abgemeldet und dann wieder angemeldet hättest, wären die Ordner auch wieder weg.

EDIT: Da war ich wohl zu langsam.
 
omavoss schrieb:
Wo soll ich Deiner Meinung nach den Thread unterbringen? Probleme mit Windows10? Ich habe kein passendes Unterforum gefunden … ein paar Rentner (ca. 70) und VM-Ware oder VirtualBox, damit sind die total überfordert; schon wenn die etwas von virtueller Maschine hören, gehen bei denen die Scheuklappen runter.
Zum Vergrößern anklicken....
Mir ging es wie schon ergänzt wurde vorwiegend um den Threadtitel und das dann angesprochene Thema. Beides passt nicht zusammen. :schluck:

Zum Thema VMs und Rentner: Prinzipiell würden die Nutzer davon ja gar nichts mitbekommen. Eine VM kann auf Autostart gesetzt werden und dann fährt die VM direkt mit dem Host hoch - mit dem festgelegten Image. Fummelt der Nutzer in der VM rum, wird beim nächsten Start wie erwähnt dasselbe Image erneut geladen und die Änderungen sind alle wieder futsch. Wenn VMs auf den PCs aufgrund altersschwacher Hardware nicht in Frage kommen, ist das natürlich eine andere Sache ;)
 
@Hyourinmaru:
Nein, das klappt auch nicht. Der Benutzer PC-1 hat ein lokales Konto, ich weiß auch nicht, wie ich diesem Benutzer Administratorrechte zuweisen kann. Das wird wohl mein Fehler sein.

@Raijin:
Danke für die guten Hinweise. Mir schwebte eben Norton Ghost oder Fog oder etwas ähnliches vor, aber die Lösung mit dem Umbenennen der NTUSER.DAT sah so verlockend aus ... einfach genial, wenn es denn funktionieren würde. Aber der Fehler wird wohl wie immer hier zwischen Tastatur und Bildschirm sitzen ...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz