W2k - Sehr eingeschränkte Rechte vergeben
 

Moin,

ich stehe da gerade vor einem (jedenfalls für mich ;) ) schwierigen Problem:

Ich würde unter Windows 2000 SP4 gern ein Benutzerkonto mit beschränkten Rechten erstellen. Soweit kein Problem. Jetzt möchte ich aber das man auf diesem Konto keinerlei Dateien aus dem Internet herunterladen darf, also weder mit Opera, IE, Firefox, Downloadmanagern, etc. . Man soll trotzdem noch im Internet surfen können jedoch keinerlei Dateien herunterladen dürfen. Kennt jemand ein Programm oder ne Möglichkeit sowas zu machen ?

Danke schonmal,

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Entziehe ihm überall die Schreibrechte, außer im Cache-Verzeichnis des Browsers. Dann kann er zwar noch in dieses Verzeichnis runterladen und keine eigenen Dateien außer in diesem Verzeichnis anlegen), aber ohne Unterstützung seitens des Browsers kommst du sonst mit normalen Rechtemanagement nicht weiter. Oder einfach den Cache des Brwosers deaktivieren und dem Benutzer nirgendwo Schreibrechte geben, dann muss er halt die Ladezeiten in Kauf nehmen.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Moin tommie,

das mit den Schreibrechten hatte ich mir auch schon überlegt, Problem ist nur das der User auch noch andere Programme ausführen kann, d.h. auch Daten (Worddateien, etc.) speichern darf. Jetzt dachte ich mir einfach einen Ordner freigeben wo er speichern darf, manche Programme schreiben aber auch in ihre Installations- oder Windowsverzeichnisse, etc. .

Gibt es keine Möglichkeit irgendwas abzufangen wenn ne System aus'm Internet beim PC ankommt oder so etwas in der Art ? :(

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Seitens des Betriebssystems gibt es keinen Unterschied zwischen einem Textprocessor, der eine Datei schreibt, und einem Browser, der eine Datei schreibt. Und über einen TCP-Filter kannst du's auch nicht machen, da das gleiche Protokoll und die gleichen Ports benutzt werden wie zum surfen. Es ist genauso wie dieses eigenartige Vorhaben, zu verhinden, daß eine HTML-Seite mit Rechtsklick gespeichert wird, ohne Browserunterstützung kann man es nicht verhindern. Evtl gibt es ja entsprechende Plugins für die Browser, die sowas verhindern. Für Seamonkey und Firefox kannst du dich bei addons.mozilla.org in der Abteilung Kiosk Browsing schlau machen, vielleicht gibt's irgendwo was vergleichbares für den IE.
Olli wirft manchmal gerne mit Kraftausdrücken wie Policies um sich, vielleicht kannst du damit nur dem Browser (einem Prozess) verbieten, irgendwohin zu schreiben, aber dafür kenne ich mich zu wenig mit den Dingern aus.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

mahlzeit,

jetzt werd ich mal mit "kraftausdrücken" wie policies um mich werfen. über die gruppen richtlinien kann man tatsächlich den dateidownload verbieten (ich hab unter winxp nachgesehen obs auch unter w2k geht weis ich nicht). unter benutzerkonfiguration\administrative vorlagen\windows-komponenten\internet explorer\internetsystemsteuerung\sicherheitsseite\ internetzone gibt es den schlüssel "dateidownloads zulassen". wenn du hier deaktiviert einstellst sollte es nicht möglich sein was aus dem internet herunter zu laden. über die gruppen richtlinien läst sich auserdem festlegen welche programme der user ausführen darf, und ohne die nötigen rechte kann er nicht mal firefox oder opera installieren.

wenn du nicht weist was du wo machst kannst du dir dein ganzes system zu administrieren also aufpassen.

auserdem kannst du ja mal bei microsoft nach dem Microsoft Shared Computer Toolkit schauen, das ist zwar für winxp aber vieleicht ist das eher das was du suchst.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Nuja, das ist es, was ich mit Browserunterstützung meine ;-)

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

1.) Das geht auch ganz einfach übern IE => Internetoptionen. Jedoch kann auch ein Benutzer mit eingeschränkten Rechten diese Option wieder ändern.
2.) Möchte ich es keinem freiwillig zumuten mit dem IE zu surfen
3.) Zwar ich ich sagen welche Programme der User nicht ausführen darf, da er aber noch Programme installieren darf was hindert den User einfach nen anderen Browser (z.B. von ner Heft-CD) zu installieren ?

Ich merk schon, ziemlich komplizierte Sache. :(

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

:gruebel: Überdenke dein Sicherheitskonzept. Verbiete ihm nicht, einige Programme zu starten, sondern erlaube ihm, einige zu starten.

Vielleicht solltest du aber auch mal die gesamte Situation schildern. Die Konfiguration klingt für mich ein wenig nach Schulrechner, wieso soll er da nichts runterladen können? Ich hasse solche bescheuert konfigurierten öffentlichen Systeme. Man verbiete mir doch bitte alles und erlaube mir dann das, was sinnvoll ist, zum Beispiel das runterladen eines Bildes und anschließendes Kopieren auf Diskette. Als Nicht-Administrator habe ich aber nichts am System zu suchen und darf ergo keine Software installieren (somit auch keine Malware).

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Also, es handelt sich um ein 11-jähriges sehr belebtes Kind. :mrgreen:

Nach etlichen Trojanern & Dialern sind wir (seine Mutter + Ich) zu dem Entschluss gekommen, das er nichts aus dem Netz laden müsste, da sowieso schon fast alles notwendige vorhanden. Aber wenn er sich nun Spiele, etc. installieren will sollte das natürlich möglich sein (und im Netz surfen sowieso).

:gruebel:

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Wenn du es in den Richtlinien verboten hast, dann sollte das nicht möglich sein, sonst wäre die Richtlinie ja für den Popo.

Hä? Versuchst du gerade ein Admin-Konto einzuschränken? Ein normaler Benutzer mit eingeschränkten Rechnten kann keine Programme installieren.

Ich würde gucken, wo der Browser seine Einstellungen speichert in der Registry, dann würde ich sie so änder, wie ich sie haben will und dann würde ich mit regedt32 dem entsprechenden Benutzer in dem Registryschlüssel die Schreibrechte entziehen.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Hauptbenutzer können imho auch Programme installieren. Nicht nur Administratoren.
Wieso schränkst du nicht einen Gast noch weiter ein, als er bereits eingeschränkt ist? Ein Gast kann mit sicherheit nichts installieren.

Grüße
Faux

NACHTRAG:
Mal von kleinen Ausnahmen wie eigener Installer oder einfache ZIP-Extrahieren abgesehen. :roll:

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Wie oft kauft er sich ein neues Spiel? Sag seiner Mutter das Admin-Passwort und zeig ihr, wie sie die Echse für ihn ausführbar macht und gut iss.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

mahlzeit,

@pierreb
grundsätzlich begrüsse ich es das kinder den umgang mit computern erlernen und da auch ihre neugier befriedigen. anderseits gehört es imho auch zum lernprozes die grenzen zu kennen. wenn du dem kind nur normale userrechte gibst ist das system eigentlich sicher genug. wenn es bei jeder neu zu instalierdenden software jemanden fragen muß, wird es sich das 3 mal überlegen. allerdings braucht es da auch durchhaltevermögen seitens der "aufsichtsperson" (ich hab das bei meiner mutter und meinem bruder erlebt :wall: ).

woher soll nun windows wissen das es sich hierbei nicht um einen virus/trojaner oder sonstigem handelt.

eine restriktive firewall mit anitivirus programm und spybot s&d (o.ä.) setzte ich mal auf dem system vorraus. sollten dir die restriktionmöglichkeiten von windows nicht reichen (und danach sieht es für mich aus) empfehle ich dir dich mal nach einer spezieller software mit "parent control system" um zu schauen. damit kannst du dann genauer einstellen welche programme erlaubt sind, wielange das kind am rechner sein darf, welche webseiten erlaubt sind usw.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Hm ? Ich hab gerade nochmal nachgesehen, ein Standardbenutzer (Hauptbenutzergruppe) kann auch Programme installieren.

Wäre auch ne Möglichkeit, aber die gute Frau hat noch weniger Ahnung vom PC als ihr Sohn. *g*

Ich guck mal ob ich da was passendes finde...

Danke schonmal für eure Antworten. ;)

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Ich weiß, aber diese Benutzergrupüpe habe ich oben zu den Administratoren gezählt. Stellt sich mir die Frage, warum er Hauptbenutzer ist. Hauptbenutzer sollten nur die sein, die wissen was sie machen und die diese Zugriffsrechte auf das System zum Administrieren brauchen.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Tja die Frage stellt sich mir auch, ich habe den PC nicht eingerichtet. ;)

Das Problem ist das der Rechner nicht meiner ist und ich daher nicht täglich Änderungen vornehmen und gucken kann. ;)

Ich denke daher so ein KIndersicherungsprogramm wäre wohl die einfachste und beste Methode.

Danke,

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Das ist doch auch ein Hauptbenutzer und kein normaler Benutze, von dem die Rede war :gruebel:

Deswegen sollst du's ihr ja zeigen. Wie ich die Dialoge in Erinnerung habe lässt sich das mit wenigen Mausklicks einrichten.

Edit:
Du sollst dich aber jetzt um die Benutzerverwaltung kümmern und es ist doch kein Problem, dem Benutzer die Rechte zu entziehen. Und wenn der Rest der Familie wirklich so wenig Ahnung hat, wirst du auch nicht täglich nachgucken müssen, ob noch alles so ist, wie es vorher war.

Re: W2k - Sehr eingeschränkte Rechte vergeben
 

Da ein Hauptbenutzer auch nicht volle Rechte hat habe ich dies mit einem Konto mit eingeschränkten Rechten gleichgesetzt. ;)
Ich werd sie morgen mal fragen ob sie sich das zutraut. *g*

//Edit:
Ja, da hast du Recht.