WinFuture-Forum.de: Windows Benutzer Account mit eingeschränktem Zugriff (WIN10 Enterprise - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 10: Alle News, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 10 - Special informieren!
Seite 1 von 1

Windows Benutzer Account mit eingeschränktem Zugriff (WIN10 Enterprise Wie WLAN, Ethernet und USB deaktivieren? GPO? WIN10 Enterprise


#1 Mitglied ist offline   winburner 

  • Gruppe: Mitglieder
  • Beiträge: 4
  • Beigetreten: 16. Oktober 18
  • Reputation: 0

geschrieben 16. Oktober 2018 - 12:08

Guten Tag,

welche Möglichkeiten gibt es unter WIN10 Enterprise einen lokalen Benutzeraccount einzurichten, bei dem
- das WLAN deaktiviert ist
- das Ethernet deaktiviert ist
(- ggf. USB deaktiviert ist, ggf. kann die Benutzung von USB Speichersticks auch über den Virenscanner ausgeschlossen werden)

Natürlich soll das Ganze so funktionieren, das der Benutzer mit den Rechten eines normalen Benutzers die Einschränkungen nicht aufheben kann.

Hintergrund: Es handelt sich um einen Prüfungsrechner für Personen mit Einschränkungen bzgl. der Handschrift, die als Hilfsmittel
einen gestelltes Notebook als "Schreibmaschine" nutzen dürfen.

(Anmerkung: Eine Deaktivierung der o.g. Geräte im BIOS scheidet aus, da das BIOS des verwendeten Rechners diese Funktion nicht unterstützt,
es sollte eine reine Windows-Lösung sein.)

Dieser Beitrag wurde von winburner bearbeitet: 16. Oktober 2018 - 12:44

0

Anzeige



#2 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.184
  • Beigetreten: 03. Januar 09
  • Reputation: 555

geschrieben 16. Oktober 2018 - 15:23

In Adaptereinstellung oder Gerätemanager ausschalten.
Beides erfordert Adminrechte.

USB Ports kann man via Gruppenrichtlinien oder via Tool sperren.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP + Stop TiSA
> Mein Hells Toolbox CMD Script <
0

#3 Mitglied ist offline   winburner 

  • Gruppe: Mitglieder
  • Beiträge: 4
  • Beigetreten: 16. Oktober 18
  • Reputation: 0

geschrieben 16. Oktober 2018 - 16:11

Hallo,

vielen Dank für die Rückmeldung.

Habe als Test die Ethernetkarte im account "Pruefung" (das ist der account ohne Adminrechte, in dem die Geräte nicht verfügbar sein dürfen) deaktiviert (admin passwort notwendig).

Allerdings ist nun auch die Ethernetkarte deaktiviert, wenn ich mich im "admin" account anmelde.

War das zu erwarten?
0

#4 Mitglied ist offline   winburner 

  • Gruppe: Mitglieder
  • Beiträge: 4
  • Beigetreten: 16. Oktober 18
  • Reputation: 0

geschrieben 16. Oktober 2018 - 19:33

Hallo,
hat jemand noch Ideen dazu?
Vielen Dank
0

#5 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.819
  • Beigetreten: 24. Juni 05
  • Reputation: 128

geschrieben 16. Oktober 2018 - 19:49

Die Idee war schon in Ordnung und sehr umständlich ist es doch auch nicht.
Gerätemanager öffnen und LAN/WLAN deaktivieren und wenn man es wieder benötigt, halt aktivieren.

Müssen den LAN und WLAN bearbeitet werden?
Beim LAN-Anschluss müsste ja jemand das LAN-Kabel mitbringen und dann noch eine passende Buchse finden.
Wenn das natürlich auf jedem Tisch vorhanden ist, ist es ein Problem.

Ansonsten würde es ja auch reichen, das WLAN-Passwort zu löschen.
Dann müsste man das halt wieder eingeben, wenn an sich verbinden möchte.

WLAN habe ich nicht im Einsatz, aber ich denke diese Anleitung passt noch.
0

#6 Mitglied ist offline   winburner 

  • Gruppe: Mitglieder
  • Beiträge: 4
  • Beigetreten: 16. Oktober 18
  • Reputation: 0

geschrieben 16. Oktober 2018 - 22:27

Hallo,
ja ich habe die Idee aus der Antwort ja auch testweise umgesetzt.
Meine Frage dazu war ja, ob es unumgänglich ist, wenn ich Hardware in einem Account deaktiviere, dass diese
dann auch in einem anderen Account deaktiviert bleibt (und umgekehrt).

Das wäre dann nicht richtig praktikabel, da das Notebook von Personen benutzt wird, die
damit voraussichtlich nicht umgehen können.

Optimal wäre ja:
Account "Prüfung" --> Netzwerk deaktiviert
Account "admin" (oder anderer Account) --> Netzwerk aktiviert.

(wlan Passwort löschen reicht natürlich nicht. Jeder kann heute sein eigenes wlan per Tethering bereitstellen...)

mfg

Dieser Beitrag wurde von winburner bearbeitet: 16. Oktober 2018 - 22:39

0

#7 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.184
  • Beigetreten: 03. Januar 09
  • Reputation: 555

geschrieben 17. Oktober 2018 - 06:13

Dann halt WLAN komplett aus und via Aufgabenplanung und Script die LAN Schnittstelle je nach Benutzer beim Login an- oder auslassen und ebenso beim logout aus- oder anlassen.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP + Stop TiSA
> Mein Hells Toolbox CMD Script <
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.356
  • Beigetreten: 20. Juli 07
  • Reputation: 975

geschrieben 17. Oktober 2018 - 23:04

Was ist denn das für eine Infrastruktur?

Wenn Domain, dann kann man das per GPO regeln und braucht dazu die LOOPBACK-Option.

Die sorgt dafür, daß die GPO konkret für den Ziel-PC zieht und ist genau für sowas da: Klassenräume, frei zugängliche Terminals etc etc.

Damit lassen sich der oder die Prüfungs-PCs abriegeln, für alle, die da dran sitzen, und diejenigen, die Zugriff *brauchen*, bekommen diesen (nur) an *ANDEREN* PCs in der Domain.


USB kann per GPO geräteklassenbasiert deaktiviert werden. Netzwerk... naja, je znachdem wie die Konfiguration und die Topologie ist, genügt es evtl schon, den Gateway aus der Konfiguration zu nehmen (ggf. per DHCP-Reservierung); non-Admins können das nicht ändern. Tethering... bin grad nicht ganz sicher, möchte aber meinen, daß man das auch deaktivieren kann, zB indem man dafür sorgt, daß Benutzer ein per GPO ausgerolltes WLAN zugewiesen kriegen und sich selbst nicht anderweitig verbinden dürfen.

Wenn aber natürlich das Problem Tethering bereits im Raum steht: es hält niemanden nichts davon ab, seinen PC erst gar nicht mit dem eigenen Hotspot zu verbinden (was man eh spätestens hinterher mitkriegen wird!) und stattdessen einfach sein Smartphone zu verwenden.



Wenn das KEINE Domain ist, dann führt ein zuverlässiger Weg über einen Proxyserver, den man irgendwo im Netz zwischen "Internet" und "Prüfungs-PCs" einrichtet. Dann richtet man sich ein isoliertes Netz ein und verbindet das mit dem Proxy.

Sprich: ein Switch, am Switch alle Prüfungs-PCs und außerdem der Proxy. Am Proxy eine zweite Netzwerkkarte, die direkt oder indirekt zum Internet führt.

Dann kann man am Proxy Zugriffe filtern, und sei es nur, indem man für alle PCs den Zugriff in fremde Netze komplett sperrt. Weitergehend kann man so ein Ding aber natürlich in seine komplette Infrastruktur einbinden, sich dagegen authentifizieren lassen und dann Zugriffsregeln aufstellen und umsetzen. Jeder würde sich dann am Proxyserver anmelden müssen und könnte auf dieser Basis von "dem PC aus" hier zugreifen und von "dem Prüfungs-PC dort" nicht ins Internet, ggf. sogar zeitbasiert.
Das wäre dann eine längerfristige Sache.

Dieser Beitrag wurde von RalphS bearbeitet: 17. Oktober 2018 - 23:14

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0