Hallo,
Ich ihr etvl. schon aus meinem OffTopic Thread wisst, soll ich für ein Jugendzentrum ca. 4 Rechner einrichten, mit windows xp sp2. Der normale benutzeraccount ist bereits ein eingechränkter benutzer, ich will ihn aber noch weiter einschränken. gibts da n spezielles program für sowas? zB will ich ned das die systemsteuerung oder ausführen im startmenü angezeigt werden. ferner will ich auch ned dass usb sticks verwendet werden können ( kann aber usb leider auch ned im bios deaktivieren ) und ich will dass es im rechtsklick menü den neu eintrag ned gibt oder noch besser dass man einfach keine batch dateien erstellen kann,mit denen man nämlich das auführen teil ausm startmenü einfach reproduzieren könnte.

Es gibt für solche Zwecke die Gruppenrichtlinien.
Start --> Ausführen --> gpedit.msc --> Enter

USB über Gruppen-Richtlinien deaktivieren? Geht das bei XP??

Hallo,
Ich ihr etvl. schon aus meinem OffTopic Thread wisst, soll ich für ein Jugendzentrum ca. 4 Rechner einrichten, mit windows xp sp2. Der normale benutzeraccount ist bereits ein eingechränkter benutzer, ich will ihn aber noch weiter einschränken. gibts da n spezielles program für sowas? zB will ich ned das die systemsteuerung oder ausführen im startmenü angezeigt werden. ferner will ich auch ned dass usb sticks verwendet werden können ( kann aber usb leider auch ned im bios deaktivieren ) und ich will dass es im rechtsklick menü den neu eintrag ned gibt oder noch besser dass man einfach keine batch dateien erstellen kann,mit denen man nämlich das auführen teil ausm startmenü einfach reproduzieren könnte.

wie schon geschrieben macht man sowas am besten mit Gruppenrichtlinien. Nachteil bei nichtvorhandensein einer AD Domäne (also unter verwendung von lokalen Richtlinien) ist, dass die Richtlinien auch für den Admin gelten, es sind dann leider keine "Gruppen"-Richtlinien mehr.

Es gibt einen Trick um dem Admin die Richtlinien nicht zu verpassen, und zwar muss man nach Einstellung der Richtlinien und vor Neuanmeldung des Admins in C:\WINDOWS\system32\GroupPolicy\User der Datei registry.pol die Lesenrechte für den Admin entfernen. Hoffe das stimmt, bin mir über die Datei nicht 100% sicher, kann nicht alles auswendig. Weiteres hier (http://support.microsoft.com/default.aspx?scid=kb;DE;293655) zu finden. EDIT: Die Anleitung ist IMO kompliziert und es klappt mit der Berechtigung auf der Datei besser. Zum Bearbeiten muss die Berechtigung lesen für den ADmin wieder eingestellt werden. Vorsicht nicht anmelden solange der Admin die Datai lesen kannn, sonst bekommt er auch die Policy verpasst in der wohlmöglich steht, das er die MMC nicht starten darf -> Admin hat sich ausgesperrt -> Neuinstallation.

zu USB Sticks über Richlinien habe ich das http://www.gruppenrichtlinien.de/HowTo/usb_sticks_deaktivieren.htm gefunden. Habe es aber nicht selbst ausgetestet. Ist aber nicht für Einsteiger gedacht. :smile:

mit Richtlinien muss man ziemlich vorsichtig sein, wenn man nicht genau weiß was man tut (später natürlcih auch) ansonsten kann man sich das System komplett zerschießen.

Zu Gruppenrichtlinien gibt es eine eigen Seite. http://www.gruppenrichtlinien.de/

Ansonsten gibt es mittlerweile ein Tool direkt von MS um XP Rechner "dicht" zu machen, ist ziemlich neu, aber mir fällt gerade nicht ein wie das heisst. Wiß das noch jemand? Das Ding vermischt Gruppenrichtlinien mit Systemwiederherstellung und weiteren Elementen zu einem Paket, ist sicher einen Blick wert, wenn man denn weiß wie das heißt. :mad:

USB über Gruppen-Richtlinien deaktivieren? Geht das bei XP??

Hier kannst du einfach im Gerätemanager die USB-Controller deaktivieren, darauf haben nämlich die eingeschränkten Benutzerkonten keinen Zugriff.

Ansonsten gibt es mittlerweile ein Tool direkt von MS um XP Rechner "dicht" zu machen, ist ziemlich neu, aber mir fällt gerade nicht ein wie das heisst. Wiß das noch jemand? Das Ding vermischt Gruppenrichtlinien mit Systemwiederherstellung und weiteren Elementen zu einem Paket, ist sicher einen Blick wert, wenn man denn weiß wie das heißt. :mad:

"Shared Computer Toolkit" heißt das und ist hier (http://www.microsoft.com/downloads/details.aspx?FamilyID=7256d456-e3da-42ea-857d-92b716077a84&DisplayLang=en) zu bekommen :) Erfolgreiche WGA-Prüfung vorausgesetzt ;)

"Shared Computer Toolkit" heißt das und ist hier (http://www.microsoft.com/downloads/details.aspx?FamilyID=7256d456-e3da-42ea-857d-92b716077a84&DisplayLang=en) zu bekommen :) Erfolgreiche WGA-Prüfung vorausgesetzt ;)

danke das habe ich gemeint und die Prüfung wird auf jeden fall bestanden.

Hm...

Durch diese Einstellung wird die automatische Erkennung des USB Sticks (oder anderen Gerätes) verhindert. Dem Prozess des System, der im Hintergrund die Plug&Play Hardwareerkennung inkl. Auswahl des passenden Treibers ausführt, wird hiermit der Zugriff verweigert und der Treiber kann nicht gefunden werden.
Was allerdings nur funktioniert, solange der Treiber nicht schon einmal erkannt wurde und das Gerät nicht schon einaml angeschlossen war. Es hilft also nur bei der Erst-Installation. Ist das Gerät einmal installiert worden, findet die Suche nicht mehr statt und die Einstellung hat keinerlei Auswirkung auf das Gerät. Es funktioniert weiterhin (vorrausgesetzt der Treiber ist nicht deaktiviert).

:uponder: Das wahre ist das ja auch nicht... ;( So eine Frickelei und dann haben sie evtl. schon mal einen Stick gemountet und Du kannst wahrscheinlich nicht mal mehr ne Maus austauschen...

Sehr sinnig! ;(

danke für die antworten bisher. ich habe mir mal das gpedit.msc angesehen und es sieht sehr kompex aus. ich sauge jetzt erstmal das shared computer toolkit und teste das. thx für den link.

Sonst schau dir mal das hier (http://www.softheap.com/newadmin.html) an:


1st Security Agent is an excellent password-protected security utility to secure Windows-based computers. It works under any Windows platform and offers an administrative support for controlling which users are allowed to access your computer and the level of access each user may have. You can choose to restrict access to lots of Control Panel applet functions, including Display, Network, Passwords, Printers, System, Add/Remove Programs, etc. You can also assign separate system profile folders to each user, providing each with their own custom Desktop, Start Menu, Favorites, My Documents, etc. Additionally, you can: disable Start Menu items, hide local and network drives, disable the DOS prompt, boot keys, real DOS mode, Registry editing, taskbar, task manager, and network access, hide desktop icons, and much more. You can apply password protection to Windows and restrict users to running specific applications only. Security restrictions can be applied universally or just to specific users. 1st Security Agent also supports Internet Explorer security that enables you to customize many aspects of the Internet Explorer Web browser. It lets you disable individual menu items, prevent others from editing your Favorites, disable individual tabs in the Internet Options dialog, as well as specific settings from each tab. 1st Security Agent allows you to import and export PC security settings, and offers a flexible and complete password protection. You'll find the program interface very easy
to negotiate. Excellent online help is available.

Das kann zwar nicht alles ... ist aber auf jeden Fall ein anfang ;)