PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WinXP - Rechteverwaltung WinXP


Thanatos
2007-03-30, 15:15:00
Grüßt euch,

ich habe hier für unsere Schule vier Laptops einzurichten, die einmal mit einem Schülerkonto, mit eingeschränkten Rechten, und einem Administratorkonto für die Lehrer eingerichtet wurde.

Nun soll es so sein, dass die Schüler nicht auf das Laufwerk C: zugreifen können, aber alle Verknüpften Programme, die auf dem Desktop vorzufinden sind, benutzen können. Wie stelle ich das an?


Mein Dank, und der der CRW, seien euch gewiss!

The Cell
2007-03-30, 16:14:50
Einfache Dateifreigabe deaktivieren, dann im Reiter "Sicherheit" die ACE richtig setzen, Vererbung ausschalten und sich hinreichend tief in die einzelnen Folder hangeln.

Meine Meinung als jemand, der sich damit auskennt: Totaler Hirnriss.

Gruß,
QFT

Elrood
2007-03-30, 16:38:32
Ich würds so machen:

Die Eigenen Dateien auf ein anderes Laufwerk.
Und dann Laufwerk C: bei Sicherheit, nur für Admins und System Lese und Schreibzugriff freigeben, alle andern User raus.

Sollte reichen um die Programma trotzdem zu starten..wenn nicht, dann den Schülern Lesezugriff auf ´C:\Programme geben.

Thanatos
2007-03-30, 17:54:02
Einfache Dateifreigabe deaktivieren, dann im Reiter "Sicherheit" die ACE richtig setzen, Vererbung ausschalten und sich hinreichend tief in die einzelnen Folder hangeln.

Meine Meinung als jemand, der sich damit auskennt: Totaler Hirnriss.

Gruß,
QFT

Und wie würdest du es machen, als jemand der sich damit auskennt? ;)

Geht halt darum, dass die Schüler, welche ja bekanntlich doch gerne mal etwas neugierig sind, nicht überall ihre Nase reinhalten müssen. ;)

Gast
2007-03-30, 17:58:59
Wie wäre es denn mit Tools wie z.B. http://www.powershadow.com/ ?

Da können sie alles sehen, verstellen und löschen und nach einem Rebbot ist wieder alles so wie vorher! :-)

PatkIllA
2007-03-30, 18:03:18
Ich habe bei meinen Eltern die Softwareeinschränkung eingestellt.
Damit können nur Programme in vorgegebenen Ordnern gestartet werden und in den Ordnern dürfen sie aufgrund von Dateissystemrechten(die standardmäßig aber schon passen) nichts ändern.
IMO schon recht verwüstungssicher und schnell eingerichtet.
Lesen dürfen sie natürlich noch das meiste. Was willst du denn vor den neugierigen Schülern schützen?

The Cell
2007-03-30, 20:00:22
Und wie würdest du es machen, als jemand der sich damit auskennt? ;)

Geht halt darum, dass die Schüler, welche ja bekanntlich doch gerne mal etwas neugierig sind, nicht überall ihre Nase reinhalten müssen. ;)

Die ACL Einstellungen bei XP sind sehr überlegt gewählt.
Gibst du den Schülern nur User-Rechte, dann stecken die Ihre Nase auch nur in Ordner, die unbedenklich sind.
Das herumpfuschen an ACLs resp. ACEs ist von MS weder unterstützt und wird von allen Leuten, die etwas Ahnung von der Materie haben, als absolut letztes Mittel angesehen um Probleme zu lösen.

Und Schüler sind keine Probleme, die sind nur neugierig. Als User kann man nichts machen.
Wenn du mir sagst, was du exakt möchtest, kann ich dir evtl. sagen, wie man es realisieren kann. Aber was möchtest du auf C vor den Kindern verstecken? Und warum?

€dit: Ein sehr mächtiges mittel unter einem XP-Pro, sind Software Restriction Policies.
Du kannst sehr granular festlegen, welche Software starten darf/nicht starten darf.
Hier empfiehlt sich eine Whitelist aller für den Unterricht relevanter Programme.
Steht ein Tool nicht auf der Liste, darf es nicht gestartet werden. Die SRPs werden durch den Admin eingerichtet und verhindern, dass die Schüler lustige Software per USB-Stick importieren.

Gruß,
QFT

Thanatos
2007-03-30, 20:02:16
Ich habe bei meinen Eltern die Softwareeinschränkung eingestellt.
Damit können nur Programme in vorgegebenen Ordnern gestartet werden und in den Ordnern dürfen sie aufgrund von Dateissystemrechten(die standardmäßig aber schon passen) nichts ändern.
IMO schon recht verwüstungssicher und schnell eingerichtet.
Lesen dürfen sie natürlich noch das meiste. Was willst du denn vor den neugierigen Schülern schützen?

Naja, so müssen einfach nicht alles wissen, was da so auf C: rumgeigt, z.B. dass das Programm 5+ installiert ist, welches nämlich die ganzen Noten erfasst.

Und bei so einem dicken Fisch könnte ich mir schon vorstellen, dass da manch einer vielleicht doch gerne mehr versuchen wird. ;)

Und das müssen sie halt einfach nicht wissen, was da alles rumfliegt.

Und nein zu dieser Lage: Nein, wir schaffen deshalb nicht getrennte laptops an, da es sowieso an ein wunder grenzt, dass wir Laptops haben, davon sogar mehrere und dazu noch ganz brauchbare. Unser Etat gibt nicht all zu viel her.

Und Schüler sind keine Probleme, die sind nur neugierig. Als User kann man nichts machen.
Wenn du mir sagst, was du exakt möchtest, kann ich dir evtl. sagen, wie man es realisieren kann. Aber was möchtest du exakt auf C vor den Kindern verstecken? Und warum?

Gruß,
QFT

Aus dem oben genannten Grund, und weil sie halt in anderen Bereichen einfach nichts zu suchen haben. In das Lehrerzimmer dürfen auch keine Schüler, was einfach eine Regel ist, auch wenn da nichts verwerfliches oder gar verbotenes von statten geht.

Und was ich möchte:

Der Benutzer "Schüler" ist extra angelegt und hat die Programme, die für die Schüler vorgesehen sind. Sie sollen die Programme benutzen, die auf dem Desktop als Verknüpfung abgelegt sind und ihre Ergebnisse dann in ihren Bereich "Eigene Dateien" speichern. Verstellen sollen sie nichts können.



* Parallel arbeite ich im Moment auch an einer etwas anderen herangehensweise, was mir ein Kollege von der grundschule empfohlen hat: Parent's friend, was genau das machen soll, was ich hier möchte. Soll zwar nicht unknackbar sein, aber man bräuchte da schön größeres talent, welches wohl die allerwenigsten Schüler haben werden.

The Cell
2007-03-30, 20:11:59
Eigentlich recht einfach: XP bietet Überwachungsrichtlinien für Verzeichnisse an.
Definiere diese für die Verzeichnisse, die laut dem Lehrer tabu sind für die Kinder.
Er spricht das im Unterricht an und sagt, dass ein Verstoß Konsequenzen haben wird. Er kontrolliert einfach die Log-Dateien und sieht, wer, wann und wo Zugriff haben wollte. Dann gibt es Sanktionen.

Andere Frage an dich: Warum machst du es überhaupt?

Gruß,
QFT

The Cell
2007-03-30, 20:15:54
Naja, so müssen einfach nicht alles wissen, was da so auf C: rumgeigt, z.B. dass das Programm 5+ installiert ist, welches nämlich die ganzen Noten erfasst.

Und bei so einem dicken Fisch könnte ich mir schon vorstellen, dass da manch einer vielleicht doch gerne mehr versuchen wird. ;)

1. Software, die wichtige Daten erfasst ist strikt von Arbeitssystemen zu trennen.
2. Was ist für dich "mehr versuchen"?

Wenn der Lehrer für 5 Minuten aus dem Raum ist, startet dir jemand die Kiste mit der BootCD, kopiert die komplette SAM-Datei + relevanter SYSKEY Dateien von der Platte und macht sich offline dann per L0phtcrack und SAMInside über den Rest her.

Es ist KEINE gute Idee, Software, die Noten verwaltet auf den gleichen Arbeitsmaschinenen einzusetzen, an denen Kinder zugriff haben.
Nicht umsonst stehen Server in einem abgeschlossenen Raum, da die physikalische Sicherheit eines Systems die Grundlage der restlichen Sicherheitsmaßnahmen ist.

Gruß,
QFT

Thanatos
2007-03-30, 20:21:01
Eigentlich recht einfach: XP bietet Überwachungsrichtlinien für Verzeichnisse an.
Definiere diese für die Verzeichnisse, die laut dem Lehrer tabu sind für die Kinder.
Er spricht das im Unterricht an und sagt, dass ein Verstoß Konsequenzen haben wird. Er kontrolliert einfach die Log-Dateien und sieht, wer, wann und wo Zugriff haben wollte. Dann gibt es Sanktionen.

Andere Frage an dich: Warum machst du es überhaupt?

Gruß,
QFT

Weil Lehrer beschäftigt sind, und meistens auch keinen Bock haben noch so etwas nebenbei zu machen. Außerdem haben die meisten Lehrer überhaupt keine Ahnung von PCs und tippen z.B. noch mit zwei Fingern, mit etwa, wenn sie die Tasten schnell finden, mit einem Anschlag pro Sekunde. ;)

Und bei meinem "Problem" konnte mir auch nicht der Lehrer weiterhelfen, der für den IT Kram zuständig ist, was heißt, dass ich meistens mit den IT Aufgaben beauftragt werde. ;)

Aber sonst: Es ist halt unter anderem mein Job und ich bin flexibel. ;)



Zu Konsequenzen und Log kontrollieren:

Das ist wieder zu aufwendig und wird auf Dauer keinen Wert haben, da man dann wieder die Logs durchschauen müsste. Wir wollten sowas für den Computerraum einführen, da dort gerne mal Mäuse verschwinden, und deshalb eine Liste eingeführt wird, in die sich die Schüler eintragen müssen, damit man weiß, wer es gemacht hat, wenn nach deren Besuch etwas fehlt. Der Hund liegt aber wiederum darin, dass dann wieder jemand jedes mal kontrollieren müsste, ob noch alles im Urzustand ist, und nichts fehlt.

Schulwesen ist wirklich kein sehr einfaches Gebiet.



Es ist KEINE gute Idee, Software, die Noten verwaltet auf den gleichen Arbeitsmaschinenen einzusetzen, an denen Kinder zugriff haben.
Nicht umsonst stehen Server in einem abgeschlossenen Raum, da die physikalische Sicherheit eines Systems die Grundlage der restlichen Sicherheitsmaßnahmen ist.

Gruß,
QFT

Wirklich? X-D

Schön wärs. :D



Wenn der Lehrer für 5 Minuten aus dem Raum ist, startet dir jemand die Kiste mit der BootCD, kopiert die komplette SAM-Datei + relevanter SYSKEY Dateien von der Platte und macht sich offline dann per L0phtcrack und SAMInside über den Rest her.

Gruß,
QFT

So weit denken die nicht, fehlt das Wissen dazu, und die Schüler wo es vielleicht können müssen ja dann auch noch eine leicht kriminelle Veranlagung haben. Aber, wie du sicherlich weißt: Was der Schüler nicht weiß, macht in nicht heiß. ;)

Gast
2007-03-31, 15:08:39
Der Benutzer "Schüler" ist extra angelegt und hat die Programme, die für die Schüler vorgesehen sind. Sie sollen die Programme benutzen, die auf dem Desktop als Verknüpfung abgelegt sind und ihre Ergebnisse dann in ihren Bereich "Eigene Dateien" speichern. Verstellen sollen sie nichts können.



echt nervig wenn man nichtmal die mausgeschwindigkeit seinen wünschen anpassen darf.

Thanatos
2007-04-05, 01:32:51
So, um mal den Thread zu Ende zu bringen, vor allem da vielleicht noch Jemand anderes vor dem Problem stehen wird.

Ich muss ehrlich sagen, die Bwnutzerverwaltung, samt den Rechten, hat mich bei meinem Bestreben leider nicht weitergebracht, da man entweder, wie gewollt, C: nicht aufrufen konnte wodurch man leider auch keine Programme starten konnten, die auf C: verknüpft waren. Andersherum, bei lesendem zugriff, konnte man die Programme wunderbar starten, jedoch auch wunderbar C: durchsuchen.


Letztendlich bin ich nun bei dem, für WindowsXP besitzer kostenlosen, Programm von Winzigweich namens Shared Computer Toolkit (http://www.microsoft.com/germany/technet/sicherheit/newsletter/sharedcomputertoolkit.mspx) gelandet, welches auch absolut hervorragend meine Anforderungen erfüllt.

Die Schüler haben ihr Benutzerkonto in dem sie nichts herumbasteln können, alle Programme, welche auf dem Desktop verlinkt sind benutzen können aber dennoch nicht auf C: oder andere Laufwerke zugreifen können. Andere Funktionen sind auch deaktiviert. Sie können selbst nach belieben den Desktop verunstalten und die Verknüpfungen nach herzenlust löschen, nach einer Neuanmeldung ist wieder alles wie vorher. :D

Speichern können sie dann ihre Ergebnisse auf eine kleine freigegebene Partition. Das ist eigentlich genau das was ich wollte. Mal sehen ob es auch dem rauen Schulalltag gewachsen ist. ;)


Einziger Nachteil ist, dass man wieder umständlich beweisen muss, dass die Windows Version auch "echt" ist. :rolleyes: