[Chaos]

Folgende Frage:

Wenn ich unter Windows XP Home einen eingeschränkten User erstelle, kann ich diesem user verbieten auf die Partitionen zuzugreifen.

Ich möchte eigentlich, dass dieser User nur bestimmte Programme starten kann, was man ja leicht über Verknüpfungen ermöglichen kann.

Dateien soll dieser User unter Eigene Dateien speichern können.

Chaos

[phillymarx]

Mach ne Domäne auf.

Nee, mal ernst. Ich weiß nicht, wie es unter Home ist, aber unter Prof gibts in dem Eigenschaften-Dialog eine Sicherheitsregisterkarte, wo du Zugriffsrechte für Gruppen und einzelne Benutzer editieren kannst.

Bedanke aber, dass ggf. Programme auf den anderen Partitionen auslagern und das so ggf. Probleme geben kann.

[Rika]

Auf Partitionen zugreifen kann es nur entsprechend den vergebenen Zugriffsrechten.

nur bestimmte Programme starten -> Software Restriction Policies

Zitat

Dateien soll dieser User unter Eigene Dateien speichern können.

Kann er doch sowieso. Zusätzlich noch in %windir%\debug\usermode, was du verbieten oder verbiegen solltest, dann noch unter %windir%\PcHealth\ErrorRep, was du verbieten solltest, sowie ebenfalls zu verbieten diverse Orte in %allusersprofile%. Am besten gehst du mit AccessEnum von Sysinternals mal die Berechtigungen durhc und entscheidest dann selbst - ich habe mich beispielsweise entschieden, daß Benutzer in geteilten oder gar systemrelevanten Stellen genau gar keinen Schreibzugriff haben, was strikter als die Defaults ist.

[Chaos]

Mir würde es schon reichen, wenn man die Partitionen einfach nur verstecken könnte. Wenn ich den Zugriff auf diese Partition sperre, dann würden ja die Programme nicht mehr gehn.

ShadowHunter hatte in seinem HowTo dieses Programm empfohlen Fajo

Aber irgendwie konnte ich das nicht auf den eingeschränkten User anwenden.

Dieser Beitrag wurde von Chaos bearbeitet: 29. August 2006 - 20:39

[phillymarx]

@Rika

Zieht das alles unter einer Home-Umgebung?
Und wo definiert man die Softwarerestrictions? In den Lokalen Richtlinien? Ich kenne dieses Verhalten nur aus einer Domäne.

[Chaos]

Mmh AccessEnum zeigt doch nur die jeweiligen Rechte der User an. Wie kann ich die jetzt verändern?

Dieser Beitrag wurde von Chaos bearbeitet: 29. August 2006 - 20:55

[Maximum Prime]

Unter Windows XP home musst du das im Abgesicherten Modus machen, oder du nimmst FaJo.

[Chaos]

Wenn ich bestimmte User erstelle, dann gehören die ja alle zu selben Gruppe.

Wenn ich also einen Admin und einen eingeschränkten User habe und dann bei Fajo die Rechte dem eingechränkten User entziehe, übernimmt er dann das auch für den Admin?

[Maximum Prime]

Als Admin hast du vollzugriff. Du musst als Admin die Rechte des Benutzers enziehen und nicht anders rum. Außerdem warum sollte der Admin eingeschränkt werden? Macht doch kein sinn.

Dieser Beitrag wurde von Maximum Prime bearbeitet: 29. August 2006 - 21:30

[Rika]

Zitat

Mir würde es schon reichen, wenn man die Partitionen einfach nur verstecken könnte.

Wie willst du das machen? \Device\HardiskX\VolumeY\PartitionZ sieht man global immer.

Zitat

Wenn ich den Zugriff auf diese Partition sperre, dann würden ja die Programme nicht mehr gehn.

Kann es sein, daß du Lese- und Schreibzugriff miteinander velwechserst?

Zitat

Zieht das alles unter einer Home-Umgebung?
Und wo definiert man die Softwarerestrictions? In den Lokalen Richtlinien?

Ja, dort, ja.

Zitat

Wenn ich bestimmte User erstelle, dann gehören die ja alle zu selben Gruppe.

Nein, nur per Default.

Zitat

Wenn ich also einen Admin und einen eingeschränkten User habe und dann bei Fajo die Rechte dem eingechränkten User entziehe, übernimmt er dann das auch für den Admin?

Er übernimmt das, was du einstellst. Berechtigungen werden auch auf den Admin angewendet. Wenn der Admin nur den Zugriff auf eine Datei hat, weil dort eie Jeder-Berechtigung dranhängt, und du dann diesen Zugriff entfernst, dann hast du keinen Zugriff mehr. Die typischen Berechtigungen sind jedoch System:F, Administratoren:F, Users:R, Power Users:RC.

[Chaos]

Ich hab mich als Admin angemeldet, dann kann ich bei den Sicherheitseinstellungen den eingeschränkten User hinzufügen. Den verweigere ich den Lesezugriff für die Partition. Wenn ich jetzt übernehmen möchte, dann sagt er, dass allen Benutzern in der Gruppe auch der Lesezgriff verweigert wird.

Gehören der Admin und der erstellte eingeschränkte User zur selben Gruppe? Irgendwie kann man ja unter Home keine Gruppen zuweisen.

Chaos

[Maximum Prime]

Zitat

Wenn ich jetzt übernehmen möchte, dann sagt er, dass allen Benutzern in der Gruppe auch der Lesezgriff verweigert wird.

Ist schon richtig, musst nur drauf achten das es die Gruppe der Benutzer ist, und du dein eingeschräkten konto auch in der gruppe hast.

Zitat

Gehören der Admin und der erstellte eingeschränkte User zur selben Gruppe?

Nein. die Gruppe Administratoren beinhaltet den Standard Admin und alle weiter hinzugefügten Admins.
Die Gruppe Benutzer behinhaltet Eingeschränkte user.

[Rika]

Zitat

Gehören der Admin und der erstellte eingeschränkte User zur selben Gruppe?

Es gibt nicht nur eine Gruppe, es gibt viele Gruppen. Per Default gehört der Admin zur Gruppe der Administratoren, Interaktive Benutzer und Jeder. Benutzer gehören standardmäßig zu den Gruppen Benutzer, Authentifizierte Benutzer, Interaktive Benutzer und Jeder.

Und statt den Zugriff explizit zu verweigern solltest du ihn lieber entziehen.

Zitat

Irgendwie kann man ja unter Home keine Gruppen zuweisen.

net localgroup /?

Besser wär's natürlich, die GroupPolicy-Sachen von Windows XP Pro reinzufriemeln.