Jump to content

Windows 7 Lokaler Benutzer

Empfohlene Beiträge

Wie kann ich einem Lokalen Benutzer installationsrechte geben ohne ihn als Administrator einzurichten?

Secpol.msc lässt ja viel zu nur finde ich da nichts zur Installation von Programmen.

Ziel ist das der Benutzer Programme installieren kann, aber die Lan Schnittstelle nicht aktivieren kann.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Verbote gehen vor Erlaubnisrechten. Wenn man bestimmte Sachen nicht explizit erlauben kann, dann kann man den umgekehrten Ansatz gehen und das verbieten, was er nicht können soll.

Also vielleicht gehts so, dass du einfach den Admin-User nimmst und entsprechend beschränkst, was er nicht tun können soll.

bearbeitet von Crash2001

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Problem ist Computer wird von der Abteilung eingerichtet was Software angeht, will aber keine Administrationsrechte vergeben. Damit der Computer nicht ans hausinterne Lan angeschlossen werden kann ist die Lan Karte deaktiviert das soll auch so bleiben. Deswegen wäre Installationsrechte für einen Benutzer ausreichend.

vor 27 Minuten schrieb Crash2001:

Also vielleicht gehts so, dass du einfach den Admin-User nimmst und entsprechend beschränkst, was er nicht tun können soll.

Wüsste nicht wie ich einem Admin das recht wegnehme den Gerätemanager zu öffnen und das Recht Hardware zu aktivieren

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich revidiere meine Aussage von vorhin. Geht doch ;)

Ich habe gerade mal kurz probiert (nach dem Hinweis von Crash):

  • Nutzer in der Gruppe der Administratoren anlegen
  • MMC öffnen
  • Gruppenrichtlinienobjekteditor hinzu (Fokus auf den speziellen Benutzer setzen)
  • Einschränkungen erstellen (bspw. Zugriff auf Systemsteuerung entziehen)
  • ==> geht

Getetstet mit W10, sollte aber mit W7 auch kein Problem sein

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo t0pi,

vor 2 Stunden schrieb t0pi:

hätte im Bios den LAN Anschluss gesperrt und das Bios mit einem Kennwort blockiert.

ich halte das auch für eine gute Idee. Doch leider hat dieser Weg zwei Haken:

1- Es werden immer mehr Funktionen des BIOS vom Betriebssystem übernommen und die Einstellungen geändert.

2- Ob das in diesem Fall wichtig ist, weis ich nicht, jedoch würdest Du evt. einen Adminaccount auch aussperren oder es hätte ein weiteres Passwort zu Folge dessen Pflege, wie die Aufhebung der Sperre aufwendig ist.

Grüße

Micha

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Frage wäre halt, ob man auch unterbindet, dass der User sich z.B. einfach eine USB-Netzwerkkarte oder einen UMTS-Stick installiert und darüber dann ins Internet oder Firmen-LAN kommt.

Hier müsste z.B. auch noch das Recht, Hardware hinzuzufügen / Treiber zu installieren eventuell entzogen werden (falls möglich auf Netzwerkgeräte beschränkt, damit eine neue Maus,Tastatur, Monitor, usw. problemlos dran gemacht werden könnte).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Crash2001Naja wenn du mit soviel dreistigkeit bei den Usern dieses PCs rechnen musst dann muss du vom prinzip her erstmal alles sperren und dann jede einzelne Funktion die Sie nachweislich benötigen freischalten oder sorgst dafür das nur noch 1 USB Anschluss zur Verfügung steht (z.B. Heisskleber in die USB Ports)(wobei wer sagt das dann nicht ein USB Hub angeklemmt wird oder einfach das OS neuinstallieren wo dann deine lokal eingerichteten Rechte mitgelöscht werden). Viel Spass dabei damit kann man sich dann wochenlang beschäftigen.

@mqrdas ist richtig, aber seien wir mal ehrlich: Bei der Passwort Politik die manche Firmen betreiben (ein Kennwort für alles, wird nie ausgetauscht, jeder Praktikant kennt das Kennwort) sollte man sich über andere Sachen sorgen machen als ein Bios Kennwort. Gibt ja Admins die drucken sich ihre Kennwörter aus und verschließen sie im Safe.

Lösungen gibt es viele, die Frage ist halt immer: Wie aufwendig kann/darf/soll/muss es sein:

Wie dreist/schlau ist der User etc.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hab schon gemerkt so einfach und mal eben ist das nicht gelöst -.-

gibt wohl immer einen Weg drumrum.

User hat die Anweisung bekommen Lan darf nicht aktiviert werden und er darf nicht ans Netzwerk (seh ich im DHCP ;) )

Lokaler Admin darf nicht verändert werden und gut.

Ansonsten melde ich das weiter und es gibt Arbeitsrechtlich halt eins drauf. Wollte mich jetzt nicht Tagelang damit beschäftigen dachte nur da gibts was wie bei GPO 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ansonsten gibt es aber auch eine ganz einfache Möglichkeit das zu unterbinden - NAC (Network Access Control) einführen

Oder aber die MAC-Adresse des Rechners auf eine Blacklist setzen, so dass dieser Rechner über den für ihn zuständigen Switch nicht ins Netz kommt. ;) Sollte das für IPV4-Pakete nicht gehen, kann man auch Port-Security einsetzen und (eine) andere MAC-Adresse(n) auf dem entsprechenden Port eintragen, so dass nur diese MAC-Adresse(n) auf dem entsprechenden Port erlaubt wäre(n).

Alternativ kann man das Pferd natürlich auch andersrum aufzäumen und auf dem DHCP-Server für diese MAC-Adresse auf die Blacklist setzen, so dass dem Gerät keine IP-Adresse zugeordnet wird. ( Hier mal beispielhaft bei einem Windows Server 2008 als DHCP-Server).

Es gibt wirklich viele Möglichkeiten, aber alle haben ihre Schwachstellen - NAC (mit MAB- oder dot1x-Authentifizierung) ist wohl noch die sicherste Möglichkeit, den Zugang wirkungsvoll zu verhindern.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Community,

vor 55 Minuten schrieb R0l1nck:

User hat die Anweisung bekommen Lan darf nicht aktiviert werden und er darf nicht ans Netzwerk

so hätte ich das auch zunächst auf die Schnelle gelöst. Aufkleber drauf:

"Kein Netzwerk, bei Nichtbeachtung droht die fristlose Kündigung!"

Vielleicht könnte man das ja noch zusätzlich anbringen, wer weis vielleicht hat der User ja Gedächtnislücken.

Grüße

Micha

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde zusätzlich zur Weisung nen einfachen Schutz (bspw eben per Policy für den Benutzer den Zugriff auf Netzwerkeinstellungen sperren). Ist sicherlich alles umgehbar, aber das siehst du ja dann und bekommst es mit. So verhinderst du dann das jemand "aus Versehen" das Gerät ins Netzwerk hängt (also das das Netzwerkkabel sich auf magische Weise einsteckt und der Nutzer zufällig und unwissend die NW Karte aktiviert). Und wenn doch dann war's wohl doch irgendwie Vorsatz...

So hast du keinen harten Aufwand und gehst trotzdem halbwegs auf Nummer sicher :)

 

P.s.: Falls du den doch weiter absichern musst, vergiss nicht die Bootoptionen einzuschränken. Utilman.exe funktioniert auch bei W10 noch ^^

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung