Hat jemand ein paar Tipps.

Ich habe keine Lust mehr andauernd ein System gerade zu biegen.

Wie kann ich denn ein privates Vista System für einen Benutzer zurecht konfigurieren so, dass dieser auch mal selbst machen kann.

Gebe ich diesen standard Benutzerrechte, kann er ja gar nichts. Keinen Drucker installieren, keinen Bildschirmschonder aktivieren, noch überhaupt was in der Art. Ist eben ein Benutzer im Sinne eines gemanagten Systems.
Der Standard Benutzer kann ja nicht mal die Updates seiner Anwendungen bestätigen.


Lokale Gruppenrichtlinienen sollten ja was her geben. Aber ausserhalb einer AD habe ich damit wenig Erfahrung, ausserdem scheint es ja seit Vista etwas anders zu laufen.


Hat jemand eine Idee, wie ich diese z.B. bei mir auf dem Rechner vorbereiten könnte und dann nur noch mitnehmen müsste? Bzw. eine Quelle um sich in die Thematik ein wenig einzulesen.

So lange der User Rechte zur Installation von Software hat wird er das System kaputt kriegen. Nimmst du die Rechte weg kann er nicht mehr viel kaputt machen, aber es muss sich jemand anderes um die Softwarepflege kümmern.

So lange der User Rechte zur Installation von Software hat wird er das System kaputt kriegen. Nimmst du die Rechte weg kann er nicht mehr viel kaputt machen, aber es muss sich jemand anderes um die Softwarepflege kümmern.

Ja. Neue Software soll er auch gar nicht installieren können.
Aber automatische Updates zu bereit installierter Software durchaus. Schön wäre, wenn diese erst gar nicht mehr fragen und man gewissen Anwendungen einfach vertrauen kann.

Warum soll er auch keinen Bildschirmschoner einschalten, oder abschalten? Die Auflösung wechseln, oder oder.
In einer Unternehmung ist es klar. Er soll die Bildschirmsperre nicht ein-, oder abschalten können. Aber Zuhause spielt es keine Rolle.

Einfach den Benutzer mehr Rechte geben. Natürlich ist ein Druckertreiber auch eine Software und er kann sich das System zerhacken, aber die Wahrscheinlichkeit ist ja nunmal deutlich geringer, als mit einer Esel quellen Exe sich das System zu erden.

Das sollte doch möglich sein.

Geht nicht. Die Software muss ja ins Installationsverzeichnis schreiben können. Die Rechte erbt sie vom User. Und das Betriebssystem kan nicht zwischen einem Druckertreiber und einem beliebigen anderen Treiber (der womöglich als Hook für einen Keylogger fungiert) unterscheiden.

Die Klamotten mit dem Bildschirmschoner müsstest du über die Sicherheitsrichtlinien einstellen können (dafür brauchts keine Domäne), aber da kommt es darauf an welche Vista-Version installiert ist (Home Premium, Professional, Ultimate o.ä.). Professional und Ultimate bieten meiner Erinnerung nach das entsprechende Frontend an, Home Premium dagegen nicht. Frag mich jetzt bitte nicht nach dn genauen Einstellungen, aber wenn du Systemsteuerung --> Verwaltung --> Lokale Sicherheitsrichtlinien öffnest solltest du dich austoben können.

anderen Treiber (der womöglich als Hook für einen Keylogger fungiert) unterscheiden.


Wie sieht es mit dem Autoupdate von Anwendungen aus, welche aus dem Admin Context installiert wurden und dem Benutzer bereit gestellt werden?

Ist dort ein automatisches Autoupdate möglich?

habe ja keine Lust, wegen jedes kleinen Java Updates hinzugurken. Zumal ein üblicher verdächtiger, wie der Teamviewer nicht für die Eingabe des Admin Kennwort aus der Ferne taugt.


du Systemsteuerung --> Verwaltung --> Lokale Sicherheitsrichtlinien öffnest solltest du dich austoben können.

Wie kann ich diese denn Zuhause vorbereiten und dann einfach mitnehmen?

Ansonsten schon mal vielen Dank.

Wie sieht es mit dem Autoupdate von Anwendungen aus, welche aus dem Admin Context installiert wurden und dem Benutzer bereit gestellt werden?

Ist dort ein automatisches Autoupdate möglich?

Kommt darauf an wie die Software dies handhabt, aber ich würde sagen prinzipiell nicht. Auch ein Update-Mechanismus muss ins Programmverzeichnis schreiben, wozu er ohne Adminrechte keine Berechtigung hat.
Antivir regelt das meines Wissens nach über einen eigenen Prozess der immer mit Adminrechten läuft, und für Windowsupdates kannst du dem Benutzer die Berechtigung geben.
http://img4.abload.de/img/windowsupdatesb9c3.png


habe ja keine Lust, wegen jedes kleinen Java Updates hinzugurken. Zumal ein üblicher verdächtiger, wie der Teamviewer nicht für die Eingabe des Admin Kennwort aus der Ferne taugt.

Wenn der Benutzer angemeldet ist kannst du dich verbinden. Als Admin ausführen öffnet den UAC-Dialog, denn du über Teamviewer bedienen kannst (habs grad ausprobiert). Damit sollte eigentlich soweit alles abgedeckt sein?

Wie kann ich diese denn Zuhause vorbereiten und dann einfach mitnehmen?

Öh... gute Frage. Keine Ahnung. Aber ich denke für die erste Installation musst du eh vor Ort sein, und wenns einmal eingestellt ist sollte kein Bedarf mehr bestehen daran rumzufummeln. Und wenn doch --> Als Admin starten, Passwort eingeben, Einstellungen machen.

http://img4.abload.de/img/windowsupdatesb9c3.png


Ja, dieses habe ich auch schon gesehen. Sind allerdings nur die Windows System Updates. Updates zu MS Software, wie z.B. dem INetExplorer sind dort nicht inkludiert.


Wenn der Benutzer angemeldet ist kannst du dich verbinden. Als Admin ausführen öffnet den UAC-Dialog, denn du über Teamviewer bedienen kannst (habs grad ausprobiert). Damit sollte eigentlich soweit alles abgedeckt sein?


Ist ja ein Ding. Bei mir wird immer das Fernsteuerfenster schwarz, wenn eine Admin-Kennwort Eingabe auf der Benutzerseite gefordert wird.



Öh... gute Frage. Keine Ahnung. Aber ich denke für die erste Installation musst du eh vor Ort sein, und wenns einmal eingestellt ist sollte kein Bedarf mehr bestehen daran rumzufummeln. Und wenn doch --> Als Admin starten, Passwort eingeben, Einstellungen machen.

Ja. Aber ich würde es gerne Zuhause probieren.

Ich habe jetzt mal den Gruppenrichtlinien Editor in die MMC geladen. Damit scheint man einiges auf der lokalen Maschine einstellen zu können.

Seit Vista generiert ja die Konsole ADMX Dateien. Ich weiss nur nicht, ob nicht noch irgend ein lokaler Gruppenrichtlinienverwaltungsdienst benötigt wird auf dem Zielsystem.

Zum nachvollziehen

CMD mit Adminrechte starten, MMC -> Datei -> Snap-In .. -> Gruppenrichtlinien Objekt-Editor hinzufügen

Ist ja ein Ding. Bei mir wird immer das Fernsteuerfenster schwarz, wenn eine Admin-Kennwort Eingabe auf der Benutzerseite gefordert wird.

Ich habs grad mit zwei Windows 7 -Systemen ausprobiert. Zwar ohne Adminpassworteingabe, aber mit UAC. Ich konnte das UAC-Fenster wegklicken, also gehe ich mal davon aus dass es auch mit Tastatureingabe klappt.


Zum Rest kann ich nicht mehr viel sagen, da muss dann jemand anderes ran.

Ich habs grad mit zwei Windows 7 -Systemen ausprobiert. Zwar ohne Adminpassworteingabe, aber mit UAC. Ich konnte das UAC-Fenster wegklicken, also gehe ich mal davon aus dass es auch mit Tastatureingabe klappt.



Ich glaube dort lag auch genau einer der Unterschiede in der Standard Einstellung zwischen Windows Vista und Windows 7.

Windows 7 hat ja von Hause aus eine weniger restriktiv eingestellte Benutzerkontensteuerung.

Ich denke bei Vista wird das UAC Fenster nur auf dem Sicherheitsdesktop eingeblendet, bei Windows 7 auf dem normalen Desktop.

Kann man aber bei Vista umkonfigurieren, wie man auch bei Windows 7 auf die stärkere Sicherheitseinstellung natürlich wechseln kann.


Hmm. So düster erinnere ich mich dran.



Zum Rest kann ich nicht mehr viel sagen, da muss dann jemand anderes ran.

Ja danke.

Die große Frage für mich ist nun, wie portiere ich eine lokale Gruppenrichtlinie von einem Vista Rechner auf einen anderen?

Ich denke bei Vista wird das UAC Fenster nur auf dem Sicherheitsdesktop eingeblendet, bei Windows 7 auf dem normalen Desktop.

Bei Windows 7 gibt es den sicheren Desktop nur in der zweit höchsten und höchsten Sicherheitsstufe.

http://www.computerbase.de/forum/showthread.php?t=332703

Die zweithöchste Stufe ist die Standardeinstellung bei Win 7.



Davon abgesehen: Ich hab grad ne VM mit Vista angelegt. Ja, du hast recht. Ich krieg den UAC-Dialog nicht. Bei Win7 klappt es.

Eventuell kannst du eine TeamViewer VPN-Verbindung aufbauen, und dann über das VPN den Remote Desktop benutzen. Ist zwar umständlich, sollte aber gehen. Natürlich kann dann dein Gegenüber nicht mehr zuschauen, aber einen anderen Vorschlag hab ich grad nicht.

Davon abgesehen: Ich hab grad ne VM mit Vista angelegt. Ja, du hast recht. Ich krieg den UAC-Dialog nicht. Bei Win7 klappt es.


Das liegt am Sicherheitsdesktop. Ich denke, wenn du in Windows 7 die Einstellung hoch drehst, dann verschwindet auch in Win 7 das Bild während des Dialogs auf der dem Share betrachtenden Seite.

Habs grad probiert. UAC bei Win7 voll aufgedreht, trotzdem ist der UAC-Prompt per TeamViewer fernsteuerbar.

Habs grad probiert. UAC bei Win7 voll aufgedreht, trotzdem ist der UAC-Prompt per TeamViewer fernsteuerbar.


Gibt es in Win 7 etwa keinen Sicherheitsdesktop mehr?

Vielleicht setzt selbst die volle Einstellung in Win 7 den Sicherheitsdesktop nicht und man muss diesen als Admin manuell in der Reg aktivieren?

Habe übrigens eine einfach Lösung für mein Problem gefunden.

Es sind in GroupPolicy zwei .pol Dateien vorhanden. Diese einfach von einem Vista auf das nächste kopieren und fertig.

Kann ich eigentlich per oller Batch Datei in ein verstecktes Systemverzeichnis kopieren?

Ich dachte 7 hätte das Feature auch. Du bekommst den abgedunkelten Desktop, die Sprachenleiste popt auf... genau wie in Vista. Aber MS hat ja eh UAC kaputtgespielt weil die User sich zu oft beschwert haben. Schade eigentlich.


Klar kannst du in ein verstecktes Verzeichnis kopieren. Das Versteckt-Attribut sagt dem Explorer nur dass er es nicht anzeigen soll wenn die Option dafür nicht aktiviert ist. Sonst ist es ein Verzeichnis wie jedes andere auch.
Achte nur darauf mit welchem Benutzer du die Batchdatei startest, sonst macht dir die Verzeichnisvirtualisierung einen Strich durch die Rechnung. Da du die .pol-Dateien erwähnt hast nehme ich an du willst in ein Systemverzeichnis schreiben. Und da hält Windows den Daumen drauf so lange du nicht als Admin schreibst. Probier es einfach bei deinem System aus.