Mehrere Windows Benutzer voneinander isolieren - Sichtbarkeit / Zugriff auf Daten und Programme

ABCD.

Ensign
Registriert
Feb. 2009
Beiträge
149
Hallo,

folgendes Problem:
Ich habe einen Rechner auf dem drei Benutzer sind. Alle müssen Adminrechte haben. Trotzdem sollen sie soweit wie möglich voneinander isoliert arbeiten können. D.h. z.B. alle installierten Programme von Nutzer A sollen beim switch weder für B noch für C sichtbar sein. Im %programdata% Ordner liegen wirklich alle Programmdaten ab, von allen Nutzern. Das ist so nicht gewünscht.

Gibt es einen Weg das sauber voneinander zu trennen?

Aktuell finde ich keinen Besseren Lösungsweg, als auf dem Rechner mehrmals das Betriebssystem zu installieren und dann beim Booten entsprechend zu wählen. Man könnte es auf ein USB 3.1 Stick installieren und je nach dem wer gerade den Rechner nutzt, koppelt die Person den Stick an den PC und bootet von ihn.
Wäre das so möglich, oder zerstört man sich so den Bootloader?

Gibt es ein eleganteren Weg? Danke schon mal :)
 
Zuletzt bearbeitet:
Nur mal als Denkanstoß: Admin ist Admin weil er Zugriff auf alles hat... ;)

Und ein Programm ist auf dem Betriebssystem installiert, unabhängig von den Benutzern.
Es gibt aber Programme - nicht alle - die bei der Installation fragen: "Für alle oder nur für mich".

Nutzerdaten können aber getrennt voneinander abgelegt werden, im jeweiligen Profilordner.
 
Madman1209 schrieb:
Hi,

würde ich mit Virutalisierung machen

VG,
Mad
Hatte ich bereits versucht, leider ist da die Leistung sehr schlecht.
Ergänzung ()

KnolleJupp schrieb:
Nur mal als Denkanstoß: Admin ist Admin weil er Zugriff auf alles hat... ;)

Und ein Programm ist auf dem Betriebssystem installiert, unabhängig von den Benutzern.
Es gibt aber Programme - nicht alle - die bei der Installation fragen: "Für alle oder nur für mich".

Nutzerdaten können aber getrennt voneinander abgelegt werden, im jeweiligen Profilordner.
Da hast du natürlich recht. Trotzdem würde mich interessieren, ob es noch andere Wege gibt es unter diesen Umständen möglich zu machen.
 
Oder wenn Virtualisierung nicht in Frage kommt das Systemlaufwerk in einem Wechselrahmen verbauen. Somit könnte jeder Benutzer sein eigenes Windows auf seinem eigenen Laufwerk haben. Außerdem könnten die Laufwerke auch per Bitlocker verschlüsselt werden. Denn löst man das mit einer Mehrfachinstallation, dann kann ein Admin sich immer Zugriff auf die Dateien der anderen Installationen verschaffen.

Sowohl bei Mehrfachinstallation, als auch bei der Lösung mit dem Wechselrahmen braucht man nur eine einzelne Windows-Lizenz, da die Hardwarebasis ja stets die selbe ist.
 
  • Gefällt mir
Reaktionen: konkretor und Jonas92
Hi,

dann bleibt wirklich nur unterschiedliche Medien und z.B. per Wechselrahmen machen wie NobodysFool
geschrieben hat.

Wobei dann eben immer nur einer gleichzeitig ran kann. Wenn für Virtualisierung zu wenig power da ist könnte man auch einfach den Rechner aufrüsten.

VG,
Mad
 
Erklärt mal einer einem Doofen wie mir wie diese Virtualisierung hierbei nutzbringend funktionieren soll?
CN8
 
Hi...

Warum müssen die Benutzer alle Admin-Rechte haben?
 
Weil der Virus bei jedem Benutzer grundsätzlich Adminrechte haben soll :evillol: ;)
 
  • Gefällt mir
Reaktionen: ABCD.
Hi,

wie diese Virtualisierung hierbei nutzbringend funktionieren soll

so wie Virtualisierung überall nutzbringend funktioniert? Hostsystem und dann eben dreimal Windows als VM. Wenn immer nur ein Windows laufen muss geht das mit Sicherheit. Wenn alle parallel laufen können sollen muss eben die Hardware aufgerüstet werden.

Was genau kann man da nicht verstehen?

VG,
Mad
 
Bei 3 Benutzern wär wohl die physische Trennung am einfachsten, zB mit einem 2,5" Wechselrahmen. Pro User eigene SSD und fertig.

Ansonsten macht Virtualisierung schon Sinn, je nachdem. Welche Virtualisierungsoftware wurde denn verwendet? Welche CPU und wieviel RAM stehen zur Verfügung? Was soll mit den Clients alles gemacht werden können (Games, spez. Anwendungen)?

Schließlich bleibt zu sagen, dass es eine wirklich saubere User-Trennung an einem Gerät eigentlich nur durch AD gibt. Kann man ja heutzutage relativ günstig in der Cloud bekommen.
 
Was genau kann man da nicht verstehen?

Dabei kann man nicht verstehen·, dass jeder der zu separierenden User zuerst mal »durch« das Hostsystem muss um zu seinem virtuellen zu gelangen!
Ein Vorgehen, das eine Freiwilligkeit voraussetzt. Separieren heißt aber Zwang.

CN8
 
User007 schrieb:
Hi...

Warum müssen die Benutzer alle Admin-Rechte haben?
Vermutlich weil das ominöse Programm nur als Admin funktioniert, weil es irgendwelche Nutzerdaten im Programmverzeichnis ablegt. Kann passieren, wenn der Entwickler auf dem Stand von Windows 95 hângen geblieben ist...
 
Hi,

Dabei kann man nicht verstehen, dass ...

und nu? Egal was du machst, du musst immer irgendwas machen. Entweder per Bootloader auswählen lassen oder ein Medium wechseln - es spielt keine Rolle. Wenn alles an einem Rechner laufen soll kommst du nicht umhin einen Finger krumm zu machen. Ob es da nicht sinnvoller ist den Usern nur Remotezugriff auf die jeweilige Maschine zu geben... ich denke doch

VG,
Mad
 
cumulonimbus8 schrieb:
Dabei kann man nicht verstehen·, dass jeder der zu separierenden User zuerst mal »durch« das Hostsystem muss um zu seinem virtuellen zu gelangen!
Zugriff auf den Gast gibts dann natürlich nur per RDP. Oder man nutzt Bitlocker verschlüsselte Gäste, wo jeder Nutzer nur sein PW kennt.
 
und nu? Egal was du machst, du musst immer irgendwas machen.
Sicher, das :D

Entweder per Bootloader auswählen lassen oder ein Medium wechseln - es spielt keine Rolle.
Aber Hallo spielt das eine Rolle! Mein Bootmedium habe allein ich - wenns in einen Wechselrahmen soll. Autrake interne Platten - auch da sehe ich (Booloader oder nicht) Wege an die anderen Laufwrke zu kommen (durch die Vordertür nämlich).

Wenn alles an einem Rechner laufen soll kommst du nicht umhin einen Finger krumm zu machen.
Ziehe ich keine Sekunde in Zweifel. ;) Nur eben VMs von einem neutralen udsr aus aufzurufen ist mir keine gangbare Methode.

CN8
 
Ok danke soweit :). Ich werde das mit Sticks bzw. dann Wechselrahmen für die Festplatten probieren.
 
Wären nicht eigene Rechner dann besser..?
User zu separeiren heißt auch eigene Benutzungszeiträume. Wo ist da eine Logik zu erkennen?
CN8
 
Zurück
Oben