Gäste an den eigenen PC lassen

[CoMo]

Hallo,

Ich habe hin und wieder Besuch und gelegentlich kommt es vor, dass jemand mal an meinem PC etwas machen möchte. Im Internet surfen, Emails abrufen etc., manchmal sind das auch die Kids, die am Computer spielen oder surfen möchten.

Das macht mir immer Bauchschmerzen, denn mein PC ist die Schaltzentrale in meinem Leben, da möchte ich niemanden unbeaufsichtigt dran lassen.

Das Gast-Konto mit dem temporären Profil erscheint mir ungeeignet, denn möglicherweise fallen ja doch mal Daten an, die bestehen sollen.

Ziel ist, dass ich jemanden unbeaufsichtigt an meinen PC lassen kann, auch wenn ich mal für ne halbe Stunde weg bin. Ich möchte aber mit meinem richtigen Benutzer angemeldet bleiben, so dass alle meine Programme weiterlaufen.

Folgendes habe ich nun getan:

Ich habe ein neues Konto "Besucher" erstellt. Dieses Konto habe ich in die Gruppe "Gäste" geschoben. Anschließend habe ich NTFS-Berechtigungen auf alle Laufwerke gesetzt, die der Gruppe "Gäste" vollständig den Zugriff verbieten.

Das funktioniert soweit. Wenn ich mich mit dem Konto anmelde, kann ich wirklich auf kein Laufwerk im Explorer zugreifen, es erscheint überall die Meldung "Zugriff verweigert". Mit Ausnahmen. Dazu gleich mehr.

Ich würde also nun, wenn jemand meinen Computer nutzen möchte, in das "Besucher" Profil wechseln, dort die Windows-Sandbox im Vollbild starten und dann darf derjenige sich dort austoben. Und falls derjenige die Sandbox verlässt, kann er keinen Schaden anrichten und auf keine Daten zugreifen. Korrekt?

Erstes Problem: Das pCloud Drive. pCloud ist ein Cloudspeicher und die Software richtet ein NFS-Laufwerk mit Laufwerksbuchstaben ein. Da kann ich keine NTFS-Berechtigungen setzen. Das Problem lässt sich lösen, indem ich die pCloud-Software beende, bevor ich den Benutzer wechsle. Ok. Das ist kein wirkliches Problem, muss ich nur dran denken.

Zweites Problem: Meine RAMDisk. Die ist 95GB groß, darauf landen alle Downloads und temporären Dateien. Die habe ich mit exFAT formatiert, daher kann ich da keine NTFS-Berechtigungen setzen. Lösung wäre vermutlich, die einfach nach NTFS zu formatieren. Korrekt?

Das möchte ich eigentlich nicht. Lieber würde ich die im Explorer einfach ausblenden. Aber da scheint es keine einfache Möglichkeit zu geben?

Ergänzend: Besteht eine Möglichkeit, das Beenden der Windows-Sandbox zu verhindern? Das ist ja im Grund nur eine RDP-Verbindung im Vollbild. Bewegt man die Maus an die Mitte des oberen Bildschirmrands, öffnet sich das Menü und man kann die Sandbox beenden. Kann man das irgendwie verhindern? Das kann ganz trivial sein, mein darunterliegendes Profil sollte ja ohnehin relativ Tamper-Resistant sein. Es soll keine Angreifer abhalten, sondern nur unbedarfte User, die sowieso nicht wissen, wie Windows funktioniert.

Gibts da bei euch Erfahrungen dazu?

Weitere Ergänzung:

Nebenbei habe ich mir beim Setzen der Berechtigungen auf C:\ wphl auch irgendwas zerschossen. Beim Rechtsklick auf "Dieser PC" und "Eigenschaften" bekomme ich die Meldung:

Desktop
Die Eigenschaften dieses Elements sind nicht verfügbar.

Auf anderen Laufwerken habe ich mir einfach mit

takeown /f "E:\" /r

die Ownership zurückgeholt, aber auf C:\ wäre das wohl keine gute Idee?

Über "Erweiterte Systemeinstellungen" komme ich aber noch da hin. Also nicht dramatisch. Würde ich trotzdem gerne reparieren 🙃

 

[Telechinese]

Zweiten User anlegen - ohne Admin-Rechte - und alle Laufwerke (außer C) sperren - fertig 👍
Dann kann der Besuch mit seinem User arbeiten aber keinen Schaden am PC anrichten.

 

[madmax2010]

steck halt einen USB Stick mit Ubuntu oder sonst was an deinen PC und starte davon. Ggf HDDs/SSDs trennen. Fauer gibt es aber auch schalter

Zweites Problem: Meine RAMDisk. Die ist 95GB groß, darauf landen alle Downloads und temporären Dateien. Die habe ich mit exFAT formatiert, daher kann ich da keine NTFS-Berechtigungen setzen. Lösung wäre vermutlich, die einfach nach NTFS zu formatieren. Korrekt?

darf ich fragen warum?
Gehts einfach nur darum keinen muell zu sammeln? In Zeiten Von SSDs mit DRAM Cache ist die zu gewinnende Performance ja nahe 0

 

[CoMo]

Habt ihr meinen Post überhaupt gelesen?

Zweiten User anlegen - ohne Admin-Rechte - und alle Laufwerke (außer C) sperren - fertig 👍
Dann kann der Besuch mit seinem User arbeiten aber keinen Schaden am PC anrichten.

Genau das habe ich getan. Ich habe auch C:\ gesperrt.

steck halt einen USB Stick mit Ubuntu oder sonst was an deinen PC und starte davon.

Das musst du mir jetzt genauer erklären, denn meine Anforderung war:

Ich möchte aber mit meinem richtigen Benutzer angemeldet bleiben, so dass alle meine Programme weiterlaufen.

Wie soll ich von einem Stick booten, ohne mein laufendes System herunterzufahren?

 

[oicfar]

Mini-PC kaufen und für die Besucher hinstellen. Spart Zeit und "Stress".

 

[Telechinese]

Ich habe auch C:\ gesperrt.

🤣
Das kann natürlich nix werden...

 

[BFF]

Ich möchte aber mit meinem richtigen Benutzer angemeldet bleiben, so dass alle meine Programme weiterlaufen.

Das koennte Dir u.U. das Genick brechen wenn der Benutzer sich etwas zieht und dieses Tierchen Deine Prozesse nutzt umd die Kiste abzuschiessen.

Ganz eigentlich wuerde ich, wenn Du da schon Besuch und Kinder auf die Kiste loslassen willst etwas anderes rangehen. Sprich Live-Linux oder Boot per Wechseldatentraeger. Oder eine kleine HW die fuer Besucher da ist.

 

[vadderloewe]

Bei aller Freundschaft.
An meinen Pc kommt niemand.
Für mich die beste Lösung

 

[CoMo]

Mini-PC kaufen uns für die Besucher hinstellen.

Danke für den Input, aber leider am Thema vorbei.

🤣
Das kann natürlich nix werden...

Warum nicht? Ich kann mich mit dem Profil anmelden, alles funktioniert problemlos, aber der Zugriff auf C:\ im Explorer gibt ein "Zugriff verweigert". Das ist doch, was ich will. Erkläre bitte, was du damit meinst.

 

[Lotsenbruder]

Ich möchte aber mit meinem richtigen Benutzer angemeldet bleiben, so dass alle meine Programme weiterlaufen.

Wo ist das Problem? Du meldest dich mit deinen Useraccount an und Gäste mit den Gästeuseraccount.
Beim Wechsel muss das entsprechende Passwort eingegeben werden und gut ist.
Dafür gibt es eine UAC (UserAccountControl).

 

[supastar]

Hatte früher ein ähnliches Problem und habe es mit einem zusätzlichen Tablet (iPad) gelöst.

Dann kann ich mein Notebook selbst auch noch nutzen.

 

[Engaged]

Erinnert mich an früher: "ist das da Google, kann ich auch mal?", und wissen dann nicht mal was sie da machen sollen/wollen.
Das ist sowas von 2000er, also ich würde heutzutage nicht gerne an einem Fremden PC sitzen, und erst Recht niemand an meinem, außerdem hat doch jeder selber Smartphone, maximal Gäste WLAN ja. 😂

 

[CoMo]

Wo ist das Problem? Du meldest dich mit deinen Useraccount an und Gäste mit den Gästeuseraccount.
Beim Wechsel muss das entsprechende Passwort eingegeben werden und gut ist.
Dafür gibt es eine UAC (UserAccountControl).

Genau. Das ist aktuell der Stand, an dem ich bin. Und nun weiter?

 

[Lotsenbruder]

Nix weiter, gut ist!
Ansonsten schliesse ich mich @vadderloewe und @Engaged an.
Hand ab von meiner Kiste!!!!

Ergänzung (24. Januar 2023)

Solln die Gäste mit ihrem Smartiefon daddeln.

 

[CoMo]

Ich hab euch nicht gefragt, wie eure Meinung zu dem Vorhaben ist, ich habe konkrete Probleme geschildert und nach Lösungen gefragt. Könntet ihr aufhören, diesen Thread vollzuspammen, wenn ihr nix beizutragen habt? Danke.

 

[Smily]

Kann man das irgendwie verhindern?

Selbst wenn. Man kann die Sandbox immer noch herunter fahren, so wie jeden "normalen" PC. Und der unbedarfte User wundert sich und hat dann den "echten" PC vor sich.

Das pCloud Drive

Kenn ich nicht. Aber vielleicht kannst du die Software neu installieren und zwar so, dass sie nicht für alle Nutzer sondern nur für deinen Nutzer läuft?
Oder du nimmst die beim Gast-User aus dem Autostart, reicht das nicht?

RAMDisk

Das hast du über eine Software gemacht? Dann auch diese Software beim Gast nicht starten lassen?

 

[FR3DI]

Das macht mir immer Bauchschmerzen, denn mein PC ist die Schaltzentrale in meinem Leben, da möchte ich niemanden unbeaufsichtigt dran lassen.

Dann tu es einfach nicht?
Thema somit erledigt, kann geschlossen werden!

Gruß Fred.

 

[CoMo]

Selbst wenn. Man kann die Sandbox immer noch herunter fahren, so wie jeden "normalen" PC. Und der unbedarfte User wundert sich und hat dann den "echten" PC vor sich.

Stimmt. Das müsste auch verhindert werden. Oder vielleicht verwerfe ich den Gedanken einfach.

Kenn ich nicht. Aber vielleicht kannst du die Software neu installieren und zwar so, dass sie nicht für alle Nutzer sondern nur für deinen Nutzer läuft?
Oder du nimmst die beim Gast-User aus dem Autostart, reicht das nicht?

Nein, die läuft systemweit. Aber wie gesagt, das kann ich lösen, indem ich sie einfach beende, dann ist auch das Laufwerk weg.

Das hast du über eine Software gemacht? Dann auch diese Software beim Gast nicht starten lassen?

Läuft auch systemweit und muss systemweit laufen, denn da liegen auch die Systemvariablen "TMP" und "TEMP" drauf. Habe ich mit OSFMount eingerichtet und wird per Aufgabenplanung beim Systemstart ausgeführt.

 

[oicfar]

Das macht mir immer Bauchschmerzen, denn mein PC ist die Schaltzentrale in meinem Leben, da möchte ich niemanden unbeaufsichtigt dran lassen.

Wie ich sagte: "Die Lösung ist ein extra Computer. Alles andere wird dir halt die Bauchschmerzen machen."

 

[Engaged]

Ich hab euch nicht gefragt, wie eure Meinung zu dem Vorhaben ist, ich habe konkrete Probleme geschildert und nach Lösungen gefragt. Könntet ihr aufhören, diesen Thread vollzuspammen, wenn ihr nix beizutragen habt? Danke.

Meine Lösung heißt Gäste WLAN für Gäste, und weil ich kein Arsch bin ist http im Fritzbox Gäste Profil noch aktiv damit es ordentlich funktioniert, und Kinder haben hier selber AP, PC, Tablet usw...