[Xaero_0]

Huhu!
Ich suche eine Möglichkeit einen PC möglichst stark für Nutzer zu "kastrieren" (4free).
Er soll nur zwei Möglichkeiten bieten.
1) Eine spezielle Internetseite abrufbar machen (nicht mehr!).
2) Einen bestimmten Ordner mit Videos abrufbar machen.

Es soll an Einstellungen nichts ohne Kennwort änderbar oder abrufbar sein. Damit da keine Waschmaschine draus wird.

Es gibt da viele Möglichkeiten und Programme. Habe mich da schon eingelesen.
Ich bitte hier um eine möglichst einfache und kostenlose Möglichkeit.

Dazu habe ich aber auch ein paar Fragen.
Wie verhalten sich Updates von Antivir oder Windows zu diesen Einschränkungen?
Der PC sollte möglichst schnell einsatzbereit sein. Also schnell, einfach und sicher.
Wie verhält sich ein eingeschränkter PC bei Kontakt mit Autorun Befehlen? USB/CD/DVD.

Der PC wird mit XP SP3-Pro, komplett neu aufgesetzt.

Bin froh über jede Anregung. Dieses Thema ist für mich eher Neuland.

Danke!

[RalphS]

Zuerst mal: XP ist da nicht die beste Wahl. Das ist einfach zu alt.

Steht der Rechner in einer Domain?

* Wenn ja, kann man das darüber abwickeln. Einfach sämtlichen Domainbenutzern das lokale Logon verbieten - außer einem extra eingerichteten Domain-Konto. Dann den PC in seine eigene OU im Active Directory stecken und ein paar GPOs /(Systemrichtlinien/-einstellungen, Netzwerkzugriff, IE) draufbraten und der Film hat sich (mehr oder weniger). Den Rechner natürlich auch physisch sichern - wenn er einmal neustartet und im abgesicherten Modus hochgefahren werden kann...

* Wenn nein, müßtest Du:
- Den Gastzugang aktivieren
- Möglichst wenig anderen Benutzerkonten haben (eines)
- Ein möglichst komplexes Paßwort für dieses haben, was dann auch nirgendwo rausgehen darf und dann nur für die Konfiguration und spätere Reaktivierung des PCs zuständig ist
- Sicherstellen, daß der PC nicht heruntergefahren werden kann (glaub das ging in den GPOs, bin aber nicht 100%ig sicher - könnte auch ein einfaches Nutzerrecht sein)
- Die Hardware so absichern, daß der Rechner nicht neugestartet werden kann (lies: Stromanschluß, Hauptschalter am Netzteil, den ATX-Taster und den Reset-Knopf vorne unzugänglich machen). Schlußendlich hieße das: verschließbares Gehäuse ums Gehäuse.


Windows selber verhält sich völlig normal, ebenso wie Antivirensoftware (oder sonstwas). Die Dienste und Programme laufen ja in ihrem eigenen Benutzerkontext. Dasselbe gilt für Updates.


Allerdings kommt man aus dem Gastkonto bei XP überhaupt nicht ans System heran. Außerdem wird das Konto im Zuge der Abmeldung wieder gelöscht - wenn sich wer neu anmeldet, wird das Konto entsprechend neu erstellt (und damit effektiv zurückgesetzt).

Ansonsten, wenn Du den Internet Explorer nutzen solltest: dieser läßt sich über GPOs in den Kiosk-Modus zwingen (Vollbild); im Ggs zum Wechsel per F11 kommt man da auch nicht wieder raus. Dann müßtest Du nur noch die Homepage auf die fragliche Website festlegen und dann paßt das schon.

Allerdings lese ich grad nicht so richtig aus Deinen Worten, wofür das Paßwort genau da sein soll. Entweder Du schützt das gesamte Gastkonto mit einem Paßwort... oder aber Du hängst den Rechner hinter einen Proxyserver, der Anmeldedaten verlangt. Dann könnte im ersten Fall jeder auf die Website, der das Paßwort zum Computer hat (also fürs Gastkonto); im zweiten Fall jeder, der die Proxy-Zugangsdaten kennt. Den Proxy könnte man dann entsprechend so konfigurieren, daß wirklich nur diese eine Website durchgelassen wird; ohne Proxy müßte man das wieder über die GPOs abwickeln. Bin allerdings leider grad überfragt, ob man damit auch eine Art Whitelisting durchdrücken könnte oder nicht; falls nicht, müßte man sehen, daß sämtlich Direkteingaben deaktiviert werden (Eingabaufforderung, das Startmenü, Windows-Tastenkombinationen wie Win+R, Adressleisten und dergleichen mehr).


Kostenpunkt: mehr oder weniger Null (zusätzlich). Proxy kann verwendet werden, wenn er bereits da ist; ansonsten wäre das wohl eher Overkill.

[Xaero_0]

Danke für deine Antwort!

Also der PC ist nicht in einer Domain.
Er kann auch ruhig heruntergefahren und auf wunsch gestartet werden.

Es geht nur darum, dass die Kollegen mit einer gewohnten Umgebung arbeiten können (XP). Die man mit der Zeit evtl. auch erweitern kann, mit Office-Paket oder andere Programme.
Erst mal soll es mit dem PC lediglich möglich sein, eine bestimmte Internetseite aufzurufen.
Und wo wir dann einen PC da stehen haben, dachte ich noch an Lehr-Videos und sowas.

Aber ich möchte nicht, dass jeder Programme installieren kann oder Einstellungen ändern kann.

Daher wäre mein Wunsch, dass man für jede Änderung am PC (ähnlich wie UAC) ein Passwort eingeben muss um die Änderung zu bestätigen und zu erlauben.
Aber ich glaube in dem Stil gibt es nichts.

Das Gast Konto wäre eigentlich auch interessant, aber an dem Konto kann man ja auch nichts ändern um es entsprechend anpassen zu können.

Bin jetzt am überlegen über die Registry das System zu kastrieren.
Über Gruppenrichtlinien würde ich mir ja auch selbst ins Fleisch schneiden.

[Candlebox]

Und was genau funktioniert unter XP nicht mit einem eingeschränkten Konto, dessen Adminpasswort dem Benutzer unbekannt ist?

Zitat (Xaero_0: 17. Juli 2013 - 18:42)

Aber ich möchte nicht, dass jeder Programme installieren kann oder Einstellungen ändern kann.

Kann ein Benutzerkonto nicht

Zitat (Xaero_0: 17. Juli 2013 - 18:42)

Daher wäre mein Wunsch, dass man für jede Änderung am PC (ähnlich wie UAC) ein Passwort eingeben muss um die Änderung zu bestätigen und zu erlauben.
Aber ich glaube in dem Stil gibt es nichts.

Geht auch unter XP mit bekanntem Administratorkennwort im Benutzerkonto, was der User aber eben nicht hat.

Die UAC bringt zwar den "Brauche höheren Rechtedialog, verbietet aber zeitgleich das ausführen der höheren Rechte für den Explorer was unter XP aber noch geht.

Dieser Beitrag wurde von Candlebox bearbeitet: 17. Juli 2013 - 20:32

[Holger_N]

Bei XP funktioniert das alles auch nur mehr so schlecht als recht. Also ich hatte da mit einigen Programmen Probleme, die zum Beispiel Druckeinstellungen nicht übernommen haben, aber für den speziellen Fall hier, wo der User ja auch so gut wie nichts ändern können soll, ist das ja dann eher vorteilhaft.

[Candlebox]

Zitat (Holger_N: 17. Juli 2013 - 20:32)

Bei XP funktioniert das alles auch nur mehr so schlecht als recht.

Ich kann diese Meinung leider nicht teilen.

Wird es sehr speziell, kann man ein als Administrator erstelltes Nutzerprofil erstellen und dieses dann beschränken und sogar auf andere Nutzer verteilen.

Funktioniert auch bis Win8

Dieser Beitrag wurde von Candlebox bearbeitet: 17. Juli 2013 - 20:41

[Holger_N]

Na mein spezielles Problem war ein Laser, den ich aus CorelDraw gesteuert habe. Der hat nur funktioniert, wenn ich Corel mit Adminrechten gestartet habe.

Aber wie gesagt, je weniger funktioniert, umso besser ist das ja wenn der User nichts dürfen sollen darf.

[Candlebox]

Probiert, den User als Administrator hochzuschrauben, dann zu drucken, und ihn dann wieder zu degardieren und zu drucken?

Dieser Beitrag wurde von Candlebox bearbeitet: 17. Juli 2013 - 20:51

[Holger_N]

Zitat (Candlebox: 17. Juli 2013 - 20:50)

Probiert, den User als Administrator hochzuschrauben, dann zu drucken, und ihn dann wieder zu degardieren und zu drucken?

Dann kann ich doch gleich Corel als Admin starten.

(Sollten wir das aus dem Thread "auslagern?")

[Candlebox]

Zitat (Holger_N: 17. Juli 2013 - 20:54)

Dann kann ich doch gleich Corel als Admin starten.

(Sollten wir das aus dem Thread "auslagern?")

Nein, du mußt es eben nur einmal so starten, damit die entsprechenden Werte angelegt werden, danach geht es auch eingeschränkt.

Egal.

[Holger_N]

Meinst du mit den Werten, die angelegt werden sollen, Einstellungen in der Rechteverwaltung oder meine Druckeinstellungen? Die Druckeinstellungen ändern sich (im Extremfall) allerdings ca. 600 mal.

[Xaero_0]

Sooo, erst mal vielen Dank für Eure Hilfe!

Ich hab dem PC jetzt einfach ein eingeschränktes XP-Benutzerkonto gemacht und manuell so zimlich alles entfernt, was einem Möglichkeiten bietet, Dinge zu ändern.

Die Einschränkung zu den besuchbaren Webistes habe ich über die Proxy-Methode in den Browsern gemacht.
Alles wird zu 127.0.0.1 fehl-geleitet, bis auf die erlaubte Seite.

Das ist zwar alles nicht besonders sicher. Aber es langt für den Zweck.

[RalphS]

Das geht solange gut, wie:

- Keiner (der nicht befugt ist) das wieder zurückbiegen kann; und
- Keiner einen Proxy lokal installiert.

Unter XP müßte es allerdings ebenfalls eine lokale Gruppenrichtlinie geben, die man bearbeiten kann... wenn das darüber abgewickelt wird (oder wurde), sollte es sicher genug sein. Da darf man nämlich nur mit einem Administratorkonto ran.

NB. Scheint, als wäre das ein bißchen kurz gekommen (oder ich hab's übersehen? ): an derselben Stelle (in der lokalen Gruppenrichtlinie) kann man auch die Autorun-Optionen festlegen. Wobei das eine Computer-weite Einstellung sein sollte - rein intuitiv zumindest -- sodaß man dies auch ganz normal von einem Adminkonto aus einstellen könnte und dies dann für alle Benutzer (einschließlich des fraglichen Kontos) so gelten würde.

[Xaero_0]

An Gruppenrichtlinien habe ich natürlich auch gedacht.
Aber das würde alle Benutzerkonten einschließen. Also auch das Admin-Konto. :/
Und gerade da, sollen die Einschränkungen wegfallen.

AutoRun hab ich bereits "manuell" abgestellt. Für alle Konten. BIOS geht auch sofort auf Platte, statt auf Wechselmedien.
Alles auch mit Passwort versehen.

Natürlich kann jeder, der etwas Ahnung hat, alles umgehen. Ich wüsste für alle meine Maßnahmen eine Lösung.
Aber der PC ist eh nicht frei zugängig.
Ich habs lediglich schwieriger gemacht, was zu ändern.

Falls es da öfter zu "veränderungen" kommen sollte, kastrier ich den PC komplett.

Ich werds mal beobachten.

[Grenor]

Man könnte unter XP noch auf Steadystate zurückgreifen. Dieses bietet eine komfortable Möglichkeit dem PC diverse Beschränkungen aufzuerlegen. Gibt zwar keinen Support mehr für das Tool aber funktionieren tut es recht gut.