# Verzweiflung bei Rechtevergabe und Einrichten eines absoluten Gastkontos



## Umaus (1. Mai 2007)

Hey,

ich bin hier langsam am Verzweifeln, vielleicht könnt Ihr mir ja helfen…
Für meine Schule soll ich ein paar PCs mit Windows XP so einrichten, dass alle Schüler über ein einziges Konto (z.B Gast) im Internet surfen und ggf. noch Word-Dokumente etc. öffnen können. Ansonsten sollen sie keine weiteren Berechtigungen haben.
Hierzu wollte ich mit Hilfe der MMC die Berechtigungen und Einstellungen konfigurieren. Das Startmenü wollte ich so einrichten, dass man nur noch auf „Abmelden“ und auf „Herunterfahren“ drücken kann, damit die Schüler nicht irgendwie auf das Dateisystem etc. zugreifen können. Alle Programme (als Browser Firefox) sollten lediglich über die Schnellstartleiste erreichbar sein, der Desktop sollte leer bleiben.
Als erstes installiere ich ein Reinigungsprogramm, welches alle Benutzerspuren und alle Dateien vom Desktop löscht. Durch das Abmeldeskript in der MMC startet das Programm nach jedem Abmelden. Soweit so gut.
Die anderen oben genannten Einstellungen wollte ich nun mit dem Gruppenrichtlinienobjekt konfigurieren, jedoch verzweifelte ich nach ewigem Herumprobieren daran, vom Administratorkonto die Gruppenrichtlinien für „Gäste“ zu konfigurieren. (Wie macht man das? *g*). Also gab ich meinem Gast vorübergehend Administratorrechte. Jedoch fand ich weiterhin keine Möglichkeit, explizit für die Gäste oder dem Gast die Administrativen Einstellungen für das Startmenü etc. Einzustellen, alle Einstellungen betrafen auch dem Administrator. Weiterhin fand ich keine Möglichkeit, die Einstellungen abzuspeichern und auf  andere Rechner zu übertragen. Also nahm ich an jedem Rechner einzeln die Einstellungen vor und war somit sehr lange damit beschäftigt. Verzögert wurde das ganze noch, weil  es ständig kleine Probleme gab. Damit ich die ein oder andere Einstellung vornehmen konnte, musste ich teilweise andere, bereits konfigurierte Einstellungen wieder ändern und wieder ändern, bis ich es endlich so hatte, wie ich es wollte oder ich hab ewig suchen müssen, bis ich die Einstellung gefunden habe. Beispielsweise kann man die Symbole „Eigene Dateien“, „Netzwerkumgebung“ etc. aus dem Startmenü entfernen, in dem man „das entfernen des entsprechenden Symbol aus dem Startmenü“ aktiviert, Für „Arbeitsplatz gab es aber keine solche Einstellmöglichkeit, man es wurde entfernt, in dem man den Punkt zum entfernen des Arbeitsplatzes von Desktop aktiviert und die Systemsteuerung bekommt man nur aus dem Startmenü heraus, in dem man den allgemeinen Zugriff auf diese verweigert. Zum Schluss habe ich noch eine knappe Stunde in den Versuch investiert den Punkt „Drucker und Freigaben“ aus dem Startmenü zu entfernen, habe dazu aber keine Einstellmöglichkeiten finden können. (Es kann sein, dass die Bezeichnungen von den tatsächlichen abweichen, da ich gerade an einem Mac arbeite, kann ich es nicht schnell nachschauen.) Dies bringt einen großen Sicherheitsmangel mit sich, denn über das Symbol können die Benutzer auf den Explorer und somit auf die Festplatte zugreifen.
Wegen Zeitmangel habe ich diese Lücke jetzt erst in kauf genommen. Zuletzt wollte ich dem Benutzer Gast wieder aus der Mitgliederliste der Gruppe „Administratoren“ streichen. Doch nachdem ich dies tat, waren alle Einstellungen nicht mehr für den Gast vorhanden.
Aus Zeitmangel hab ich ihm wieder die Administratorenrechte gegeben. Jetzt hat das System natürlich erhebliche Sicherheitsmängel, über „Drucker und Freigaben“ kann der User aus die MMC zugreifen und sich alle Rechte geben oder der User kann Software installieren usw. Zwar gibt es niemanden auf der Schule, der sich wirklich mit Windows auskennt, dennoch sollte dieser Zustand wenn überhaupt, dann nur so kurz wie möglich anhalten.

Daher meine Frage an Euch: Wie kann ich den Gastkonto so einstellen, dass es wirklich ein Gastkonto ist, sprich, dass der Besucher nur die ihm zugeteilten Programme nutzen kann und ansonsten keine einzige Änderung vornehmen kann?
Bin ich zu dämlich *g* oder ist es bei Windows gar nicht möglich? Oder nur mit einem unverhältnismäßig großen Aufwand?

Ich würde mich sehr über Hilfe freuen.

Liebe Grüße,
Umaus


----------



## ojamaney (2. Mai 2007)

Richte Dir für Dein Vorhaben ein Extra Konto ein. 
Über "Systemsteuerung-Verwaltung-Lokale Sicherheitseinstellungen" kannst Du verschieden Rechte geben/entziehen.

Über "Systemsteuerung-Verwaltung-Computerverwaltung" kannst Du die Kontentypen selbst nochmal bearbeiten.

Wenn du XP-Home hast ist die Rechtevergabe sehr eingeschränkt (bis unmöglich). Dazu hier ein Tipp: http://wintipps.tl-networks.com/article-189.html und hier: http://home.arcor.de/lord_nelson/faq/sicherheit.html#7.3.

Wenn die Festplatten mit FAT32 (statt NTFS) ist die Vergabe von Rechten bzw Einschränkungen nochmals eingeschränkt. Konvertiere zu NTFS um zB Ordner freizugeben usw.

Ansonsten empfehle ich Dir das hier: http://www.nettnight.com/team/anjue/anjue/xp-benutzerrechte_pcpro_0805.pdf

Gruß, ojamaney


----------



## Umaus (2. Mai 2007)

Hey,

danke für den Rat!
Den Bericht werde ich mir gleich mal durchlesen.
Die Rechtevergabe, die Du oben erwähnt hast, ist mir durchaus bekannt, jedoch kann man damit nur sehr allgemein gefasste Regeln verfassen. Kann man damit verhindern, dass der User die Einstellungen vom Startmenü und von der Schnellstartleiste nicht ändern kann? Ansich möchte ich, dass nur die Symbole angezeigt werden, die der User auch nutzen darf und kann, und daher sollen Symbole wie Arbeitsplatz etc. ausgeblendet werden. Diese Möglichkeit habe ich darin nicht gesehen.


----------



## Raubkopierer (2. Mai 2007)

Naja... wie er schon gesagt hat: Mit Home is nichts mit Rechteverwaltung... da gibs höchstens ein festes Gästekonto... unter Vista ist sogar MMC noch ne Ecke schärfer eingeschränkt bei den Home-Varianten. Mit Boardmitteln geht das kaum. Wir hatten bei uns in der Schule generell immer ein Konto, dass eben in seine eigenen Dateien schreiben durfte, die wurden gelöscht, Festplatten sonst ging nicht. Naja... dieses Konto gibts inzwischen auch nicht mehr und die Rechteverwaltung ist dank Pro sowieso einfach. Was mich noch interessieren würde: Wie ist bei euch die Benutzerverwaltung? Läuft das alles über lokale Konten? Mit der Home kann man sich doch meines Wissens nicht an Domains anmelden um etwa Serverprofile zu machen.


----------



## ojamaney (2. Mai 2007)

Umaus hat gesagt.:


> Hey,
> 
> danke für den Rat!
> Den Bericht werde ich mir gleich mal durchlesen.
> Die Rechtevergabe, die Du oben erwähnt hast, ist mir durchaus bekannt, jedoch kann man damit nur sehr allgemein gefasste Regeln verfassen. Kann man damit verhindern, dass der User die Einstellungen vom Startmenü und von der Schnellstartleiste nicht ändern kann? Ansich möchte ich, dass nur die Symbole angezeigt werden, die der User auch nutzen darf und kann, und daher sollen Symbole wie Arbeitsplatz etc. ausgeblendet werden. Diese Möglichkeit habe ich darin nicht gesehen.



Ich glaube wenn Du die pdf-Datei oben gelesen hast, verstehst Du die Arbeitsweise der Benutzerverwaltung besser. Man sperrt nicht explizit einzelne Icons/Links sondern regelt dies über den Zugriff auf die entsprechenden Controls (Systemsteuerung usw). Vorher richtet man das Konto entsprechend ein, also entfernt das Symbol usw.
Natürlich muss man sich überlegen ob es Sinn macht den Zugriff auf den Arbeitsplatz zu verweigern (?). Irgendwas muss der Benutzer ja auch noch tun können


----------

