Gruppen
- Top Gruppen
- Betriebsysteme
- Windows classik
- Linux
- BS-Sonstige
- Software
- Datenbanken
- Bildbearbeitung
- Audio/mp3/Video
- Security/Viren
- SW-Sonstige
- Hardware
- Mainboard/CPU
- Grafikkarten
- Peripherie
- Laptop/Notebook
- HW-Sonstiges
- Netzwerk
- Telefon,ISDN,Modem
- W-Lan
- NW-Sonstiges
- Programmierung
- PHP,ASP,Perl...
- Java,C++...
- Webseiten/HTML
- Sonstiges
- PC-Sonstiges
- Plauderecke
- SN Intern
- Test
Fragevon Buffty vom 21.01.2019, 00:48 Options
Gruppenrichtlinien (gpedit.msc) nur bei einzelnen Benutzern?
Hallo zusammen,
ich möchte auf meinem Laptop einen Kiosk-Account einrichten z.B. zum Filme und Bilder schauen und surfen - dieser Benutzer soll dann z.B. die Systemsteuerung nicht öffnen können und auch noch andere hübsche Einschränkungen bekommen. Die Gruppenrichtlinien (gpedit.msc) scheinen dafür ein idealer Weg zu sein - das Problem ist nur, dass alle Einstellungen (auch im Bereich Benutzerkonfiguration!) für alle Benutzer gelten, also auch für den Hauptbenutzer und den Administrator!
Meine bisherige Google-Recherche hat folgendes ergeben:
- die Frage wurde in diversen Foren schon öfter gestellt - aber entweder gar nicht, für mich unverständlich oder nicht zufriedenstellend beantwortet, so z.B. dass
- benutzerspezifische Richtlinien mit gpedit.msc irgendwie nur in einer Domäne einstellbar zu sein scheinen - mein Laptop ist aber Einzelgänger.
- in etlichen Foren wird bei ähnlichen Fragen auf www.gruppenrichtlinien.de verwiesen - aus der Seite werde ich aber überhaupt nicht schlau...
Hoffe auf Antwort
Viele Grüße
Buffty
ich möchte auf meinem Laptop einen Kiosk-Account einrichten z.B. zum Filme und Bilder schauen und surfen - dieser Benutzer soll dann z.B. die Systemsteuerung nicht öffnen können und auch noch andere hübsche Einschränkungen bekommen. Die Gruppenrichtlinien (gpedit.msc) scheinen dafür ein idealer Weg zu sein - das Problem ist nur, dass alle Einstellungen (auch im Bereich Benutzerkonfiguration!) für alle Benutzer gelten, also auch für den Hauptbenutzer und den Administrator!
Meine bisherige Google-Recherche hat folgendes ergeben:
- die Frage wurde in diversen Foren schon öfter gestellt - aber entweder gar nicht, für mich unverständlich oder nicht zufriedenstellend beantwortet, so z.B. dass
- benutzerspezifische Richtlinien mit gpedit.msc irgendwie nur in einer Domäne einstellbar zu sein scheinen - mein Laptop ist aber Einzelgänger.
- in etlichen Foren wird bei ähnlichen Fragen auf www.gruppenrichtlinien.de verwiesen - aus der Seite werde ich aber überhaupt nicht schlau...
Hoffe auf Antwort
Viele Grüße
Buffty
Antwort 1 von DLensing vom 21.01.2019, 09:37 Options
Hallo Buffty,
ich kann dir da nur die Websitewww.winfaq.de empfehlen.
Dort kannst du dir die Registry-Einträge raussuchen, die du benötigst. Du musst allerdings dann auf Keys achten, dass sie im Bereich HKEY_Current_User eingetragen ist.
Nun gibt es zwei Wege zum Ziel:
1. Du meldest dich als Kiosk-User an und stellst die Registry-Einträge ein.
2. Du exportierst aus dem gerade angemeldeten User und stellst es in der REG-Datei die entsprechenden "Schalter" um. Vorteil an dieser Variante, nach einer Neuinstallation kann man einfach diese Datei wieder nutzen um den User zu schützen.
Gruß
Daniel
ich kann dir da nur die Websitewww.winfaq.de empfehlen.
Dort kannst du dir die Registry-Einträge raussuchen, die du benötigst. Du musst allerdings dann auf Keys achten, dass sie im Bereich HKEY_Current_User eingetragen ist.
Nun gibt es zwei Wege zum Ziel:
1. Du meldest dich als Kiosk-User an und stellst die Registry-Einträge ein.
2. Du exportierst aus dem gerade angemeldeten User und stellst es in der REG-Datei die entsprechenden "Schalter" um. Vorteil an dieser Variante, nach einer Neuinstallation kann man einfach diese Datei wieder nutzen um den User zu schützen.
Gruß
Daniel
Antwort 2 von Buffty vom 23.01.2019, 19:59 Options
Hallo Daniel,
danke für die Antwort.
Der "Registry-System-Wizard" scheint genau das zu sein, was ich brauche - hatte bisher bloß noch keine Zeit, ihn mal zu testen.
Die Frage, warum beim gpedit.msc zwischen Computer- und Benutzer-Konfiguration getrennt wird, wo doch zweitere sich auch auf alle Benutzer auswirkt, ist deshalb trotzdem nicht beantwortet. Hat das irgendeinen tieferen Sinn, und sei es in MS-Logik? ;-)
Viele Grüße
Buffty
danke für die Antwort.
Der "Registry-System-Wizard" scheint genau das zu sein, was ich brauche - hatte bisher bloß noch keine Zeit, ihn mal zu testen.
Die Frage, warum beim gpedit.msc zwischen Computer- und Benutzer-Konfiguration getrennt wird, wo doch zweitere sich auch auf alle Benutzer auswirkt, ist deshalb trotzdem nicht beantwortet. Hat das irgendeinen tieferen Sinn, und sei es in MS-Logik? ;-)
Viele Grüße
Buffty
Antwort 3 von FunTaOnIce vom 24.01.2019, 00:57 Options
Tach zusammen,
@Buffy
Die Einstellungen kannst du auch mit dem Gruppenrichtlinieneditor vornehmen. Man muß halt nur wissen wie es funktioniert...
Dazu erstmal zur Funktionsweise...
Alle Einstellungen die mit dem Gruppenrichtlinen-Snap-In (gpedit.msc) getroffen werden speichert Windows in der Datei registry.pol ab. Wenn sich jetzt ein Benutzer am System anmeldet werden die Informationen aus der Datei in die Registry geschrieben. Und jetzt kommts diese Datei existiert zweimal einmal unter c:\windows\system32\grouppolicy\machine und unter c:\windows\system32\grouppolicy\user.
Im ersten Ordner (machine) sind alle Informationen aus dem Bereich Computerkonfiguration und im Ordner user alle Informationen aus dem Bereich Benutzerkonfiguration gespeichert.
Wenn keine Einstellungen über gpedit.msc vorgenommen wurden existieren diese Dateien natürlich nicht. Da du ja schon etwas geändert hast kannst du ja gleich mal nachschauen ob diese vorhanden sind.
Und nun zu deinem Problem und der Lösung...
Wie schon erwähnt es existieren 2 registry.pol Dateien. Die im Ordner machine (Computerkonfiguration) gilt natürlich immer für alle Benutzer. Die im Ordner user allerdings nicht!
Jedes mal wenn sich ein Benutzer anmeldet wird die registry.pol aus dem user Ordner in seine eigene Registry eingetragen. Jetzt wird vielleicht schon klar wie es funktioniert...du mußt einfach nur für jeden Benutzer eine eigene registry.pol generieren.
Oder in deinem Fall wenn du nur einen Account so beschränken willst natürlich nur eine und im Prinzip eine ohne Beschränkungen für den Administrator...
Auch wenn du es ja schon mal gemacht hast nochmal die allgemeine Vorgehensweise...
1. anmelden als Administrator
2. Die gewünschten Beschränkungen im gruppenrichtlinien-snap-in für den Benutzer vornehmen. Wenn du fertig bist und für noch mehr Benutzer Beschränkungen vornehmen willst, dann mußt du die registry.pol aus dem Ordner User an eine andere Stelle kopieren...am sinnvollsten ist wohl einfach einen Ordner mit dem Benutzer (bei dir Kiosk) erstellen und dann dorthin.
3. Jetzt könntest du beliebig viele weitere registry.pol Dateien mit den unterschiedlichsten Inhalten anlegen und ebenfalls seperat abspeichern.
4. Jetzt kopierst du die registry.pol Datei die du einem Benutzer zuweisen willst in den User Ordner.
5. Abmelden und den Benutzer anmelden dem du die Einschränkungen zuteil werden lassen willst. Was jetzt passiert ist klar - die Informationen aus der registry.pol werden dem Benutzer in die Registry eingetragen.
6. Abmelden und wieder als Administrator anmelden und wenn benötigt die nächste registry.pol in den User Ordner kopieren. Dann muß sich natürlich wie unter 5. der entsprechende Benutzer wieder anmelden.
7. Wenn alle Benutzer mit den Einstellungen versorgt sind dann wieder als Administrator anmelden und alle Einschränkungen die du als Administrator nicht willst entfernen.
8. Start -> Ausführen "gpupdate /Force" - jetzt werden die letzten Änderungen für dieses Konto wirksam gemacht und wieder in die Registry geschrieben.
Achtung jetzt könnte es sein, dass Windows den Computer neu starten will. Aber jetzt bitte noch nicht!!! Denn wir erinnern uns: die Datei registry.pol im Ordner User existiert ja noch mit den Einstellungen für den Administrator. Folge wenn du dich nach dem Start z.B. als User Kiosk anmeldest werden eben diese Einstellungen wieder in die Registry geschrieben und die eigentlichen Einstellungen wären wieder futsch - also erst die Datei aus dem Ordner user löschen! Da diese Datei dann nicht mehr vorhanden ist werden der Registry keine Werte hinzugefügt aber auch nicht entfernt. Die Änderungen bleiben also dauerhaft und für jeden Benutzer unterschiedlich.
Ich hoffe es ist klar wie es funktioniert - klingt auf den ersten Blick etwas kompliziert aber wenn man das Prinzip einmal durchschaut hat ist es garnicht so schlimm. Wenn du das mal nachvollziehen willst dann würde ich erstmal nur mit einer Beschränkung für den Benutzer beginnen und die Funktionsweise überprüfen.
Viel Erfolg!
FTOI
@Buffy
Die Einstellungen kannst du auch mit dem Gruppenrichtlinieneditor vornehmen. Man muß halt nur wissen wie es funktioniert...
Dazu erstmal zur Funktionsweise...
Alle Einstellungen die mit dem Gruppenrichtlinen-Snap-In (gpedit.msc) getroffen werden speichert Windows in der Datei registry.pol ab. Wenn sich jetzt ein Benutzer am System anmeldet werden die Informationen aus der Datei in die Registry geschrieben. Und jetzt kommts diese Datei existiert zweimal einmal unter c:\windows\system32\grouppolicy\machine und unter c:\windows\system32\grouppolicy\user.
Im ersten Ordner (machine) sind alle Informationen aus dem Bereich Computerkonfiguration und im Ordner user alle Informationen aus dem Bereich Benutzerkonfiguration gespeichert.
Wenn keine Einstellungen über gpedit.msc vorgenommen wurden existieren diese Dateien natürlich nicht. Da du ja schon etwas geändert hast kannst du ja gleich mal nachschauen ob diese vorhanden sind.
Und nun zu deinem Problem und der Lösung...
Wie schon erwähnt es existieren 2 registry.pol Dateien. Die im Ordner machine (Computerkonfiguration) gilt natürlich immer für alle Benutzer. Die im Ordner user allerdings nicht!
Jedes mal wenn sich ein Benutzer anmeldet wird die registry.pol aus dem user Ordner in seine eigene Registry eingetragen. Jetzt wird vielleicht schon klar wie es funktioniert...du mußt einfach nur für jeden Benutzer eine eigene registry.pol generieren.
Oder in deinem Fall wenn du nur einen Account so beschränken willst natürlich nur eine und im Prinzip eine ohne Beschränkungen für den Administrator...
Auch wenn du es ja schon mal gemacht hast nochmal die allgemeine Vorgehensweise...
1. anmelden als Administrator
2. Die gewünschten Beschränkungen im gruppenrichtlinien-snap-in für den Benutzer vornehmen. Wenn du fertig bist und für noch mehr Benutzer Beschränkungen vornehmen willst, dann mußt du die registry.pol aus dem Ordner User an eine andere Stelle kopieren...am sinnvollsten ist wohl einfach einen Ordner mit dem Benutzer (bei dir Kiosk) erstellen und dann dorthin.
3. Jetzt könntest du beliebig viele weitere registry.pol Dateien mit den unterschiedlichsten Inhalten anlegen und ebenfalls seperat abspeichern.
4. Jetzt kopierst du die registry.pol Datei die du einem Benutzer zuweisen willst in den User Ordner.
5. Abmelden und den Benutzer anmelden dem du die Einschränkungen zuteil werden lassen willst. Was jetzt passiert ist klar - die Informationen aus der registry.pol werden dem Benutzer in die Registry eingetragen.
6. Abmelden und wieder als Administrator anmelden und wenn benötigt die nächste registry.pol in den User Ordner kopieren. Dann muß sich natürlich wie unter 5. der entsprechende Benutzer wieder anmelden.
7. Wenn alle Benutzer mit den Einstellungen versorgt sind dann wieder als Administrator anmelden und alle Einschränkungen die du als Administrator nicht willst entfernen.
8. Start -> Ausführen "gpupdate /Force" - jetzt werden die letzten Änderungen für dieses Konto wirksam gemacht und wieder in die Registry geschrieben.
Achtung jetzt könnte es sein, dass Windows den Computer neu starten will. Aber jetzt bitte noch nicht!!! Denn wir erinnern uns: die Datei registry.pol im Ordner User existiert ja noch mit den Einstellungen für den Administrator. Folge wenn du dich nach dem Start z.B. als User Kiosk anmeldest werden eben diese Einstellungen wieder in die Registry geschrieben und die eigentlichen Einstellungen wären wieder futsch - also erst die Datei aus dem Ordner user löschen! Da diese Datei dann nicht mehr vorhanden ist werden der Registry keine Werte hinzugefügt aber auch nicht entfernt. Die Änderungen bleiben also dauerhaft und für jeden Benutzer unterschiedlich.
Ich hoffe es ist klar wie es funktioniert - klingt auf den ersten Blick etwas kompliziert aber wenn man das Prinzip einmal durchschaut hat ist es garnicht so schlimm. Wenn du das mal nachvollziehen willst dann würde ich erstmal nur mit einer Beschränkung für den Benutzer beginnen und die Funktionsweise überprüfen.
Viel Erfolg!
FTOI
Antwort 4 von Buffty vom 27.01.2019, 22:52 Options
Hallo FTOI,
vielen Dank für die ausführliche Anleitung - aber leider schaff' ich's trotzdem nicht....
Es funktioniert wunderbar, solange beide beteiligten Benutzerkonten Administratorrechte besitzen - für den Kiosk-Account scheint das notwendig zu sein, weil ohne diese Rechte weder der Gruppenrichtlinieneditor verwendet werden kann, noch eine bestehende registry.pol geladen wird.
Ich habe also entsprechend Deiner Anleitung beiden Accounts unterschiedliche Einstellungen verpasst und kann wunderbar zwischen beiden Accounts hin- und herschalten, die Einschränkungen gelten nur für den Kiosk-Account.
Wenn ich jetzt aber dem Kiosk-Account die Administrator-Rechte entziehe, sind alle Beschränkungen wieder weg... Wie schon oben angedeutet, klappt es nicht, jetzt dem Kiosk-Account die registry.pol in den Ordner zu legen und diesen zu starten - die Einschränkungen werden weder beim laden noch mit "gpupdate /Force" übernommen...
Was tun?
Viele Grüße
Buffty
vielen Dank für die ausführliche Anleitung - aber leider schaff' ich's trotzdem nicht....
Es funktioniert wunderbar, solange beide beteiligten Benutzerkonten Administratorrechte besitzen - für den Kiosk-Account scheint das notwendig zu sein, weil ohne diese Rechte weder der Gruppenrichtlinieneditor verwendet werden kann, noch eine bestehende registry.pol geladen wird.
Ich habe also entsprechend Deiner Anleitung beiden Accounts unterschiedliche Einstellungen verpasst und kann wunderbar zwischen beiden Accounts hin- und herschalten, die Einschränkungen gelten nur für den Kiosk-Account.
Wenn ich jetzt aber dem Kiosk-Account die Administrator-Rechte entziehe, sind alle Beschränkungen wieder weg... Wie schon oben angedeutet, klappt es nicht, jetzt dem Kiosk-Account die registry.pol in den Ordner zu legen und diesen zu starten - die Einschränkungen werden weder beim laden noch mit "gpupdate /Force" übernommen...
Was tun?
Viele Grüße
Buffty
Antwort 5 von Buffty vom 28.01.2019, 13:36 Options
Hallo zusammen,
wen's interessiert, ich hab' eine Lösung für meine letzte Frage gefunden:
Dem einzuschränkenden Kiosk-Account werden die Administrator-Rechte entzogen, er muss aber Vollzugriff auf die registry.pol mit den gespeicherten Einschränkunken erhalten (über Eigenschaften -> Sicherheit -> Hinzufügen -> Name des Kiosk-Accounts eingeben -> OK -> in der Spalte "Zulassen" "Vollzugriff" anklicken -> OK). Wenn ich mich dann im Kiosk-Account anmelde, werden die Einschränkungen zwar noch nicht übernommen, aber mit einem anschließenden Start -> Ausführen "gpupdate /Force".
Danke nochmal beiden Helfern!
Gruß
Buffty
wen's interessiert, ich hab' eine Lösung für meine letzte Frage gefunden:
Dem einzuschränkenden Kiosk-Account werden die Administrator-Rechte entzogen, er muss aber Vollzugriff auf die registry.pol mit den gespeicherten Einschränkunken erhalten (über Eigenschaften -> Sicherheit -> Hinzufügen -> Name des Kiosk-Accounts eingeben -> OK -> in der Spalte "Zulassen" "Vollzugriff" anklicken -> OK). Wenn ich mich dann im Kiosk-Account anmelde, werden die Einschränkungen zwar noch nicht übernommen, aber mit einem anschließenden Start -> Ausführen "gpupdate /Force".
Danke nochmal beiden Helfern!
Gruß
Buffty
Ähnliche Themen
Nachrichtendienst
Mickey 21.04.2005 - 2269 Hits -
XP Home und Gruppenrichtlinien, alle Rechte zurücksetzen?
NSpitz 05.01.2007 - 355 Hits -
gpedit.msc rumgefummelt netzwerverbindungen gehen nich mehr
fewpostbnotnoob 23.03.2008 - 47 Hits - 6 Antworten
Fehlermeldung : Taskmanager von administrator deaktiviert.
berndebu 16.04.2008 - 139 Hits - 1 Antwort
Nach Upgrade auf Win SP3 öffnet MMC keine alten *.msc Dateien mehr
speedy 08.05.2008 - 55 Hits -
Hinweis
Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..
Neue Einträge
