Windows 7 Benutzerrechte einschränken.

[bEx7oR]

Hi,

ich habe folgendes vor, bin mir aber über die Umsetzung noch nicht im klaren.

Also zum Sachverhalt. Ich habe einen Windows 7 Ulitmate x64 Rechner. Diesen PC soll auch eine andere Person mitbenutzen können. Aber ich möchte dieses Konto etwas gezielter einschränken.

Ich verwende für die Internetseitensperre den OpenDNS Updater, der als Programm immer automatisch im Hintergrund mit startet. Dieser übermittelt automatisch die aktuelle IP des Providers an OpenDNS und sperrt somit die von mir eingestellt Internetseiten. Für die Auflösung verwendet OpenDNS eigene DNS Server die eingestellet werden müssen.

Ich würde gern den Prozess "OpenDNS Updater" im Taskmanager für den User sperren damit er nicht deaktiviert werden kann. Weiterhin darf es dem User nicht möglich sein die unter -> ncpa.cpl eingestellten Adaptereinstellungen zu ändern. Sprich den Bevorzugten und alternativen DNS, da diese für die Funktion von OpenDNS vorgegeben sind. Der User soll auch nicht die Möglichkeit haben den OpenDNS Updater zu deninstallieren.

Weiterhin soll der User aber alles andere am PC machen können. Programme oder Spiele installieren bzw. deinstallieren und die alltäglichen Arbeiten erledigen können. Kann man das lokal also ohne einen Server so konfigurieren? Wenn ja wie?

greeZ bEx

 

[Dante2000]

Über die Benutzerverwaltung kann man die Hauptrichtlinien festlegen. Wichtige Ordner und Dateien kann man mit "Rechtsklick --> Sicherheit" nochmals vor Zugriffen eines anderen Users schützen. Zudem kann man die betroffenen .exen noch mit "Als Administrator ausführen" zusätzlich absichern.

Um in die Benutzerverwaltung zu kommen: "Rechtsklick auf Computer --> Vewalten --> Lokale Benutzer und Gruppen."

 

[the_nobs]

Zumindest eine teilweise Lösung:
du startest den OpenDNS Updater nicht über startup sondern als service, d.h. der user bekommt gar nicht mit das er gestartet wird..

bezüglich den andren sachen
du machst eine eigene Gruppe, wo nur der user enthalten ist
und dann gehst du die "lokalen Sicherheitsrichtlinien" durch und gibst den user entsprechende Rechte..
was du da genau setzen musst weiß ich leider nicht, viel spass beim durcharbeiten der Liste

 

[Ichthys]

Über die lokalen Richtlinien kann man vieles erreichen. Da musst du nur eine neue Gruppe erstellen, den entsprechenden Benutzer dieser hinzufügen und dann per gpedi.msc z. B. den Zugriff auf den Taskmanager sperren. ABER mit entsprechendem Wissen könnte der Benutzer diese Richtlinien wieder ändern. Es sei denn, es gibt die Möglichkeit, den Zugriff auf die gpedit.msc zu sperren.

 

[easy.2ci]

Über die Benutzerverwaltung kann man die Hauptrichtlinien festlegen. Wichtige Ordner und Dateien kann man mit "Rechtsklick --> Sicherheit" nochmals vor Zugriffen eines anderen Users schützen. Zudem kann man die betroffenen .exen noch mit "Als Administrator ausführen" zusätzlich absichern.

Naja das ist eigentlich keine Lösung, denn sein 2. Benutzer muss ja ebenfalls Admin sein, um Programme installieren zu können. Und als Admin kann er sich selbst wieder die Rechte geben, auch am OpenDNS rumzuspielen.

 

[0711]

Also ist nicht ganz so trivial, die einfachste variante die mir einfällt:
- Das ding als Service laufen lassen
- Den Dienst so einstellen dass er bei unerwarteten beenden neu gestartet wird
- Auf den Dienst die Berechtigung ändern dass er nicht steuern kann u.ä. (hallo sddl), besitz auf administrator ändern
- Die Berechtigung auf den Reg Hive (hklm\system\currentcontrolset\serivces\dienst) entsprechend anpassen dass er keinen Zugriff drauf hat (!Besitzer auf Administrator und nicht Administratoren ändern!)
- die Dateirechte dahingehend ändern dass er nur noch lesen darf und besitzer auch Administrator
- Lokale Sicherheitsrichtlinien einstellen dass nur noch der Administrator (oder eine alternative Gruppe/Benutzer) Besitz von Objekten übernehmen darf und nicht mehr Administratoren das recht haben
- Lokale Sicherheitsrichtlinien einstellen dass Administratoren lokale Benutzerkontenkennwörter nicht ändern darf, vergiss nicht hier jemand anderen einzutragen.

So in etwa sollte das passen, hab soweit glaub nichts übersehn.

So kann er zwar den Prozess abschiesen, der startet aber wieder....letztes hintertürchen wäredie lokalen sicherheitsrichtlinien anzupassen, besitz von allem übernehmen, alle rechte zurückzudrehen usw aber das ist dann schon ein hoher aufwand, die lokalen(!) richtlinien vor änderungen durch den admin zu schützen ist dann aber noch mals mehr aufwand.