toodles90 10 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Hallo Zusammen, habe mich jetzt mal extra hier angemeldet, da ich im Netz einfach nicht fündig werde - ich hoffe ihr könnt mir helfen. Also folgendes soll realisiert werden: Es gibt einen Rechner mit Win7 Prof 32 Bit, auf diesem soll eine Art Kiosk-Modus eingerichtet werden - bzw. soll dort nur ein Programm laufen, mehr nicht. Das ganze hab ich schon in soweit bewerk stelligt, dass ich einen neuen Benutzer erstellt habe und über die Gruppenrichtlinien sämtliche Einstellungen vorgenommen hab, damit auch nur dieses Programm läuft. Also ist dieser Punkt im Grunde genommen abgehakt. Jetzt besteht das nächste Vorhaben darin, dass wenn sich jmd remote auf den Rechner schaltet, dass dieser jmd mit ein, zwei Klicks wieder volle Berechtigungen haben soll. Ich hatte mir das eigtl so vorgestellt, dass eine zweite GPO (mit den Standardeinstellungen) erstellt wird und diese dann im laufen Betrieb aktiviert wird - dazu habe ich glaube ich auch schon den passenden Befeh: "gpupdate /Force" Nun stellt sich aber mir die Frage wie ich diese 2. GPO erstellen kann und am besten noch den Zugriff darauf mit einem Passwort schützen kann. Ich hoffe ich habe mich verständlich ausgedrückt und ihr wisst was gemeint ist. Und natürlich hoffe ich auf Lösungsansätze von euch :P Grüße! Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 (bearbeitet) Hallo toodles und willkommen an Board. Seid Windows Vista ist es möglich, für unterschiedliche Benutzer unterschiedliche lokale Gruppenrichtlinien zu definieren. Hier eine Anleitung dazu: Wird nicht mehr benötigt - siehe Hinweis von Alith (hatte das mit der Domäne übersehen und bin von einer lokalen Einrichtung ausgegangen) Gruß Thomas bearbeitet 13. Juni 2012 von tomdiver eingefügter Link funktioniert nicht Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Stecke doch deinen Kiosk Benutzer in eine OU an die du diese strenge Richtlinie bindest. Der andere User kommt in eine andere OU. Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 Ich glaube ich hab mich da falsch ausgedrückt,... Der Rechner befindet sich in keiner Domäne - er hat zwar n verbindung zum Server von dem er seine Daten bekommt aber das spielt an sich keine Rolle. Und es gibt ja im Grunde genommen nur einen User - wenn man sich remote drauf schaltet wechselt man ja nicht das Benutzerkonto sondern bleibt mit gleichen Rechten angemeldet - steuert nur eben remote den Rechner. Mein Vorhaben ist jetzt einfach, dass sich auf den desktop, in der taskleiste oder wo auch immer ne art verknüpfung befindet mit der die kompletten Gebote und Verbote der gpo unwirksam gemacht werden, bzw wieder auf standart gestellt werden - diese verknüpfung wird natürlich iwie mit nem passwort versehen, damit dann nur der jenige der das pw kennt (in diesem fall soll es der remote zugriff sein) volle rechte hat und weiter am rechner rum doktorn kann. aber schonmal danke für eure rasche antowrt :) Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Hallo toodles, wie willst du dich denn remote verbinden? Wenn du das über den Remotedesktop machst / machen willst, wird der angemeldete Benutzer "abgemeldet" - sprich am Kioskrechner muß dann das Kennwort wieder eingegeben werden, damit der Benutzer wieder arbeiten kann. Ansonsten noch mal der Hinweis, zwei verschiedene Benutzer und nur einen mit der Gruppenrichtlinie zurechtstutzen. Thomas Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 ne die remoteverbindung würde über "Radmin" laufen und dann bin ich ja direkt mit dem Benutzer drauf, welcher angemeldet ist... Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Und da ist das Dilemma - auf der einen Seite willst du, das der Benutzer nur ein Programm starten kann, auf der anderen Seite soll er aber auch die Gruppenrichtlinien anpassen dürfen (und genau dafür bräuchte er das entsprechende Snap IN und die Berechtigungen eines Administrators). Ich sehe keine wirkliche Möglichkeit dafür. Rein interessehalber - warum dieser Weg? Thomas Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 welche Programme ich letztendlich verbiete bzw. zulasse kann ich ja problemlos konfigurieren... Szenario sieht so aus, dass der Rechner beim Kunden im Werk steht (und daher dieser "Kiosk-Mode") - dort läuft das eine Hauptprogramm und im Hintergrund halt Radmin - nun wollen wir uns bei Problemen über Radmin auf den Rechner setzen, aber eben mit vollen Rechten (und dazu darf das Programm keines Falls beendet werden). Grüße ! Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 Und Adminrechte kann der KIOSK-User ja ruhig besitzen, viel kann er damit eh nicht anfangen, da er garnicht vom Desktop iwo ins System hin kommt das als kleine Anmerkung :P Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Wenn der Kiosk-User Admin-Rechte hat ist er admin - wie willst du ihm was verbieten? Hat der Rechner keine Tastatur ? Mittels Taskmanager kann er starten was immer er will. Oder reden wir vielleicht aneinander vorbei? Ich habe das bisher so verstanden, das ein eingeschränkter Benutzer das Recht haben soll, die ihm auferlegten Beschränkungen wieder aufzuheben ..... für mich ein Widerspruch in sich. Thomas Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 Also: Ich habe 2 Konten: Ein mal das Konto "LR" - hat Adminrechte und ist der "Hauptzugang" dann Konto 2 "KIOSK" - hat ebenfalls Adminrechte aber durch die Gruppenrichtlinie hat dieses Konto lediglich die Verknpüfung zu dem besagten Programm aufn Desktop und sonst nichts. Startmenü ist komplett leer, außer der Button "Benutzer wechseln", sämtliche Tastenkombinationen sind unterbunden, Rechtsklick unterbunden etc. Er kommt patu nicht aufn den Arbeitsplatz, Taskmanager, Netzwerkumgebung zu anderen Programmen oder sonst was - und das soll ja auch so sein Ich möchte jetzt einfach aufn Desktop eine verknüpfung, eine batch-datei oder sonstiges damit bei bedarf wieder alle rechte eingeräumt werden - sprich die gruppenrichtlinie deaktiviert werden Und das ganze natürlich passwortgeschützt, aber das ist ein anderes Kapitel. MIr gehts jetzt erst mal um die deaktivierung der gruppenrichtlinie ohne den benutzer wechseln bzw abmelden zu müssen. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Hallo, das was du dir vorstellt geht einfach nicht. Du kannst dein Vorhaben nur über 2 unterschiedliche Benutzer realisieren. Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 13. Juni 2012 Melden Teilen Geschrieben 13. Juni 2012 Ok - wenn es denn so sein soll :). Folgendes könnte ich mir vorstellen: Euer Benutzer ist ein ganz normaler Benutzer, den ihr mit Gruppenrichtlinien so anpasst wie ihr es benötigt. Will er die Gruppenrichtlinien zurücksetzen, schlägt die Benutzerkontensteuerung zu und verlangt die Eingabe administrativer Berechtigungen, um den Vorgang fortsetzen zu können. So erledigt sich die Batchdatei mit Kennwortschutz. Alles ungeprüft und so als Schnellschuß. Viel Erfolg Thomas @XP - danke, ich dachte schon fast ich liege falsch Zitieren Link zu diesem Kommentar
toodles90 10 Geschrieben 13. Juni 2012 Autor Melden Teilen Geschrieben 13. Juni 2012 JA jetzt hast du mein Anliegen verstanden :P Aber wie setze ich die Gruppenrichtlinien mal eben so zurück? Und vor Allem sollen die GPO's nach der Remotesitzung wieder wirken. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.