Wichtige Frage zu Windows XP

[danielmueller]

Ich habe eine wichtige Frage bzgl Windows XP.
In unserem Schulnetzwerk gibt es 20 Rechner mit Windows XP Proffessional.
Auf jedem sind zwei Bennutzer eingerichtet nämlich Schueler und Administrator. Nun funktioniert eigentlich schon alle so wie es funktionieren sollte. Bis auf zwei Dinge.
Wenn man als Schüler angemeldet ist, kann man Desktop Icons löschen oder neue erstellen. Besonders das "versehentliche" löschen ist bei Schülern beliebt.
Wie kann man es einrichten, das der Benutzer Schüler nichts am Desktop verändern darf, und auch nichts neues hinzufügen darf (dafür gibts das admin Konto)?

Dann noch eher eine Kleinigkeit, die Schüler können den Hintergrund verstellen auch das stört öfter den Unterricht, ist es möglich das irgendwie zu sperren (für den Benutzer Schueler).

Bitte helft mir.

 

[Mbnightmare]

Mit den Rechten kannst du da nichts machen, weil die Desktop Eigenschaften zum Benutzerprofil gehören und die lassen sich nicht einschränken. Bei uns in der Firma haben wir letztens auch für eine Schule Rechner aufgestellt und da haben wir Datenwächter von der Firma Kaiser eingebaut (das sind PCI-Karten). Da können die Schüler zwar die Einstellungen verändern aber nach einem Neustart ist alles wieder im Urzustand. Das ganze hat nur einen großen Nachteil, das die Schüler auch sonst nichst speichern können.
Ich habe auch mal gehört das es eine Software gibt, die solche Sachen regeln kann. Weiß nur nicht wie die heißt. Am besten mal bei Google suchen.

 

[preko]

@ Mbnightmare:

Sorry, da muß ich entschieden widersprechen - dass stimmt so nicht! Man kann es gemäß nachfolgender Beschreibung sehr präzise definieren.

...Wenn man als Schüler angemeldet ist, kann man Desktop Icons löschen oder neue erstellen. Besonders das "versehentliche" löschen ist bei Schülern beliebt.
Wie kann man es einrichten, das der Benutzer Schüler nichts am Desktop verändern darf, und auch nichts neues hinzufügen darf (dafür gibts das admin Konto)?

Hallo Daniel,

Du kannst per Admin Konto Benutzerrechte vergeben. Zuerst gilt es zu prüfen, ob das Schülerkonto auf dem jeweiligen Rechner nicht auch als Adminkonto angelegt ist.
Wenn dies der Fall ist, schnellstens als Benutzerkonto umwandeln. Dann besteht die Möglichkeit entsprechende Benutzerrechte zu definieren.

Gehe im Adminkonto auf START, dann unter Ausführen... die Eingabe "mmc" mit Enter bestätigen und in der mmc (Microsoft Management Console) über DATEI die Funktion "Snap-In hinzufügen/entfernen" -> "Hinzufügen" anwählen. Dann kannst Du verschiedene Hilfsscripts einbinden, die Dir diverse Administrationsaufgaben vereinfachen, wie z. B. "Gruppenrichtlinien", "Lokale Benutzer und Gruppen". Du kannst Dir individuelle "Konsolen" damit erstellen und abspeichern, damit diese Snap-Ins beim nächsten Aufruf wieder in gewohnter Anordnung zur Verfügung stehen.

Dort kannst Du vielfältige Restriktive Regeln eingeben, die im Prinzip bis ins kleinste Detail eine Maßgeschneiderte Arbeitsumgebung für den einzelnen definieren.

Beste Grüße,
preko

 

[xCondoRx]

Du brauchst im Prinzip der Gruppe Schüler nur das Recht Lesen auf den Ordner Dukumente und Einstellungen geben und alle anderen Rechte verwähren..

 

[Giftzwerg]

es würde theoretisch genügen, wenn du dem Nutzer Schueler an dem PC auf den Ordner C:\Dokumente und Einstellungen\Schueler\Desktop nur noch Leserechte gibst. Dann können keine Icons mehr gelöscht / hinzugefügt werden.
Dazu musst du aber zuerst die vererbten Berechtigungen abstellen! Und für das Hintergrundbild: Es gibt zumindest unter Windows 2000 den Ordner C:\Dokumente und Einstellungen\<Nutzer>\Anwendungsdaten\Microsoft\Internet Explorer
Hier eine Datei Desktop.htt wo abgespeichert wird, welches Hintergrundbild verwendet wird. Dieses Verzeichnis ermöglicht das Benutzen vom Active Desktop, also dass z.B: jpeg Bilder angezeigt werden und die Symbole ausgeblendet werden. Den Ordner mit Leserechten für den Nutzer Schueler versehen und schon können die Hintergrundbilder nicht mehr geändert werden genausowenig wie der Quicklaunch.
Das wird von Windows nämlich alles als Internetseite dargestellt.
Und ich habs grad mal ausprobiert: Unter XP geht das auch (sogar wenn der Active Desktop nicht aktiviert ist). So könntest du z.B: auch ein Hintergrundbild für alle gleich einstellen. Die ersten Zeilen dieser Datei sollten etwa so aussehen:

<!----
***** This file is automatically generated by Microsoft Windows *****
-------->
< HTML>
< B ODY background="file:/ //C:/WINDOWS/Angler.bmp" style="border:none;" bgcolor=#3a6ea5 topmargin=0 leftmargin=0 rightmargin=0 bottommargin=0>

[Die Leerzeichen sind Absicht, sonst versucht das Board den HTML Code hier darzustellen ]

Und grundsätzlich dem Schueler nur Leserechte auf Dokumente und Einstellungen würde ich nicht machen! Viele Programme, z.B. Word lagern temporär in Ordner wie C:\Dokumente und Einstellungen\<Nutzer>\Temp aus. Dann könnte der Schueler da nix mehr schreiben und im Extremfall versagen einige Programme den Dienst.

Wenn ihr in der Schule aber eine Domäne eingerichtet habt, könnte man das ganze auch als Gruppenrichtlinie definieren, dann brauchst du nicht jeden Rechner einzeln anfassen

edit: weil ich das grad nochmal les: Es gibt unter Windows theoretisch nichts, wo man keine Rechte beschränken, entziehen oder gewähren kann! Man kann sich z.B: als Administrator auch selber Rechte auf den Ordner System Volume Information geben, in den man normal auch nicht reinkommt, aber da steht nix interessantes drin. Und über die Verwaltung und die Managementkonsole kommst du bei 2000 und XP bis in die letzten Winkel des Systems und kannst für jedes noch so unwichtig erscheinende Item Rechte vergeben und Einstellungen treffen!

 

[zinion]

Also ich kann das Programm 1st Security Agent empfehlen. Damit kann man jeden noch so kleinen Scheiss für jeden Benutzer einzeln einschränken. Er kann von Windows her sogar Admin sein und NUR den Winamp ausführen und NUR die mp3s im Arbeitsplatz sehen und sonst nix. (Haben wir auf ner Party so gemacht, zur Sicherheit)

 

[xCondoRx]

Also ich kann das Programm 1st Security Agent empfehlen. Damit kann man jeden noch so kleinen Scheiss für jeden Benutzer einzeln einschränken. Er kann von Windows her sogar Admin sein und NUR den Winamp ausführen und NUR die mp3s im Arbeitsplatz sehen und sonst nix. (Haben wir auf ner Party so gemacht, zur Sicherheit)

Das alles geht auch mit den Windowseigenen Policies..