Eingeschränkter User Zugriff noch weiter einschränken
#1
geschrieben 29. August 2006 - 20:03
Wenn ich unter Windows XP Home einen eingeschränkten User erstelle, kann ich diesem user verbieten auf die Partitionen zuzugreifen.
Ich möchte eigentlich, dass dieser User nur bestimmte Programme starten kann, was man ja leicht über Verknüpfungen ermöglichen kann.
Dateien soll dieser User unter Eigene Dateien speichern können.
Chaos
Anzeige
#2
geschrieben 29. August 2006 - 20:11
Nee, mal ernst. Ich weiß nicht, wie es unter Home ist, aber unter Prof gibts in dem Eigenschaften-Dialog eine Sicherheitsregisterkarte, wo du Zugriffsrechte für Gruppen und einzelne Benutzer editieren kannst.
Bedanke aber, dass ggf. Programme auf den anderen Partitionen auslagern und das so ggf. Probleme geben kann.
#3
geschrieben 29. August 2006 - 20:36
nur bestimmte Programme starten -> Software Restriction Policies
Zitat
Kann er doch sowieso. Zusätzlich noch in %windir%\debug\usermode, was du verbieten oder verbiegen solltest, dann noch unter %windir%\PcHealth\ErrorRep, was du verbieten solltest, sowie ebenfalls zu verbieten diverse Orte in %allusersprofile%. Am besten gehst du mit AccessEnum von Sysinternals mal die Berechtigungen durhc und entscheidest dann selbst - ich habe mich beispielsweise entschieden, daß Benutzer in geteilten oder gar systemrelevanten Stellen genau gar keinen Schreibzugriff haben, was strikter als die Defaults ist.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
geschrieben 29. August 2006 - 20:37
ShadowHunter hatte in seinem HowTo dieses Programm empfohlen Fajo
Aber irgendwie konnte ich das nicht auf den eingeschränkten User anwenden.
Dieser Beitrag wurde von Chaos bearbeitet: 29. August 2006 - 20:39
#5
geschrieben 29. August 2006 - 20:39
Zieht das alles unter einer Home-Umgebung?
Und wo definiert man die Softwarerestrictions? In den Lokalen Richtlinien? Ich kenne dieses Verhalten nur aus einer Domäne.
#6
geschrieben 29. August 2006 - 20:55
Dieser Beitrag wurde von Chaos bearbeitet: 29. August 2006 - 20:55
#7
geschrieben 29. August 2006 - 21:04
#8
geschrieben 29. August 2006 - 21:23
Wenn ich also einen Admin und einen eingeschränkten User habe und dann bei Fajo die Rechte dem eingechränkten User entziehe, übernimmt er dann das auch für den Admin?
#9
geschrieben 29. August 2006 - 21:29
Dieser Beitrag wurde von Maximum Prime bearbeitet: 29. August 2006 - 21:30
#10
geschrieben 29. August 2006 - 21:37
Zitat
Wie willst du das machen? \Device\HardiskX\VolumeY\PartitionZ sieht man global immer.
Zitat
Kann es sein, daß du Lese- und Schreibzugriff miteinander velwechserst?
Zitat
Und wo definiert man die Softwarerestrictions? In den Lokalen Richtlinien?
Ja, dort, ja.
Zitat
Nein, nur per Default.
Zitat
Er übernimmt das, was du einstellst. Berechtigungen werden auch auf den Admin angewendet. Wenn der Admin nur den Zugriff auf eine Datei hat, weil dort eie Jeder-Berechtigung dranhängt, und du dann diesen Zugriff entfernst, dann hast du keinen Zugriff mehr. Die typischen Berechtigungen sind jedoch System:F, Administratoren:F, Users:R, Power Users:RC.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 29. August 2006 - 21:39
Gehören der Admin und der erstellte eingeschränkte User zur selben Gruppe? Irgendwie kann man ja unter Home keine Gruppen zuweisen.
Chaos
#12
geschrieben 29. August 2006 - 21:54
Zitat
Zitat
Nein. die Gruppe Administratoren beinhaltet den Standard Admin und alle weiter hinzugefügten Admins.
Die Gruppe Benutzer behinhaltet Eingeschränkte user.
#13
geschrieben 29. August 2006 - 21:56
Zitat
Es gibt nicht nur eine Gruppe, es gibt viele Gruppen. Per Default gehört der Admin zur Gruppe der Administratoren, Interaktive Benutzer und Jeder. Benutzer gehören standardmäßig zu den Gruppen Benutzer, Authentifizierte Benutzer, Interaktive Benutzer und Jeder.
Und statt den Zugriff explizit zu verweigern solltest du ihn lieber entziehen.
Zitat
net localgroup /?
Besser wär's natürlich, die GroupPolicy-Sachen von Windows XP Pro reinzufriemeln.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
- ← Was Zum Teufel ! .... Familykeylogger
- Sicherheit
- Antivirenkit Scheint Plötzlich Nicht Mehr Richtig Zu Funktionieren... →