Windows-Rechte für Benutzer einschränken

[beco.it]

Hi,

welche Möglichkeiten habe ich, auf einem lokalen PC die Rechte eines Benutzers einzuschränken. Einmal natürlich den Nutzer als normalen Nutzer anzulegen und nicht als Admin. Gibt es dann noch feinere Möglichkeiten EIN Nutzer einzuschränken? Sind hier die Gruppenrichtlinien eine Möglichkeit? Und kann ich auch ein Admin-Konto haben, wo ich dann alle Zugriffe habe?

Das Ziel ist es, im Büro die PC soweit wie möglich zu sichern. Aber es gibt keinen Server, der das ermöglichen würde. Einschränkungen sollte zum Beispiel sein: Keine Deinstallationen möglich, eventuell Verbot den Verlauf zu löschen usw.

Viele Grüße und Danke...

 

[Sir_Sascha]

Dann mach doch den User einfach zum Gast-User. Der kann und darf dann nix. Aber scheint ja ein sehr kleiner Laden zu sein. Weil sonst würde ein Server schon sinn machen bei solchen Aktionen.

 

[samsungtr]

Wenn du Win7 hast gehst du wie folgt vor:

Systemsteuerung - Benutzerkonten - Anderes Konto verwalten

 

[DocWindows]

Kommt drauf an welche Windows-Version eingesetzt wird.

Bei den Home-Editionen gibts nur wenige Möglichkeiten ohne Bastelei an feinen Einstellungen zu drehen.
Bei der Professional-Edition gibts einiges mehr durch den Gruppenrichtliniendienst.

Standardmäßig kann man Benutzer, Hauptbenutzer und Administratoren anlegen.
Diese Gruppen haben voreingestellte Standardberechtigungen. Benutzer dürfen z.B. keine Programme installieren oder deinstallieren, es sei denn sie sind exklusiv nur für eben dieses Benutzerprofil installiert.
Um diese Dinge zu steuern nimmt man die Gruppenrichtlinienkonsole her.

Wenn man "gpedit.msc" ausführt wird sie gestartet, sofern sie nicht eh schon unter "Verwaltung" im Startmenü zu finden ist.

Wenn man verhindern will dass der Verlauf gelöscht wird, kann man dies über die Ordnerberechtigungen machen. Dem Ordner "Verlauf" im Benutzerprofil wird für den jeweiligen Nutzer das Recht entfernt Dateien zu löschen. Anlegen, schreiben und lesen geht dann noch, aber eben nicht mehr löschen.

 

[Rome1981]

Zu verhindern, das der Verlauf gelöscht wird ist ein Eingriff in die Privatsphäre des Users, das würde ich mir also mehr als einmal überlegen...

Grundlegend musst du gar nicht mit den Richtlinien arbeiten, sondern kannst erst einmal die bestehenden Benutzergruppen verwenden.
Offensichtlich wird hier nur der Admin und der normale Benutzer propagiert und der Gast ist auch bekannt, aber es gibt zum Beispiel noch die Poweruser oder Hauptbenutzer.
Gast - Darf eigentlich nichts außerhalb seines eigenen Profils... so etwas wie Verlauf und Co werden genau dort gespeichert, daher geht das, allerdings kann es schon Einschränkungen beim Speichern von Dateien geben (zB nicht auf dem Desktop, wenn ich mich recht erinnere)
User - Der Standard, den man so kennt...
Poweruser - Hat zB das Recht kleinere Programme zu installieren, solange keine Systemdateien geändert werden. Früher war Winamp so ein Fall, heute habe ich da keinen Überblick, aber auf jeden Fall ist das eigentlich der beste User für den Heimbedarf
Admin - Darf fast alles... es gibt Dinge die der Admin auch nicht darf (das darf nur System (root)), dies betrifft aber vor allem Kernelgeschichten oder Manipulation von Daten im Speicher und so einen Kram... -> Interessiert keinen...

Vielleicht erst einmal dort einen Blick rein werfen, vielleicht reicht das schon...

 

[beco.it]

Hi,

Danke. Also ein Server wird später angeschafft. Im Moment wollen wir einfach starten und u.a. verhindern, dass der Desktop nicht verändert werden kann. Der Nutzer soll die installierten Programme nutzen können und das wars dann schon :-)

Gruß und Danke