Jump to content

Benutzer soll zwischen 2 versch. GPO's wechseln können


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

habe mich jetzt mal extra hier angemeldet, da ich im Netz einfach nicht fündig werde - ich hoffe ihr könnt mir helfen.

 

Also folgendes soll realisiert werden:

 

 

Es gibt einen Rechner mit Win7 Prof 32 Bit, auf diesem soll eine Art Kiosk-Modus eingerichtet werden - bzw. soll dort nur ein Programm laufen, mehr nicht.

Das ganze hab ich schon in soweit bewerk stelligt, dass ich einen neuen Benutzer erstellt habe und über die Gruppenrichtlinien sämtliche Einstellungen vorgenommen hab, damit auch nur dieses Programm läuft.

 

Also ist dieser Punkt im Grunde genommen abgehakt. Jetzt besteht das nächste Vorhaben darin, dass wenn sich jmd remote auf den Rechner schaltet, dass dieser jmd mit ein, zwei Klicks wieder volle Berechtigungen haben soll.

Ich hatte mir das eigtl so vorgestellt, dass eine zweite GPO (mit den Standardeinstellungen) erstellt wird und diese dann im laufen Betrieb aktiviert wird - dazu habe ich glaube ich auch schon den passenden Befeh: "gpupdate /Force"

 

Nun stellt sich aber mir die Frage wie ich diese 2. GPO erstellen kann und am besten noch den Zugriff darauf mit einem Passwort schützen kann.

 

 

Ich hoffe ich habe mich verständlich ausgedrückt und ihr wisst was gemeint ist. Und natürlich hoffe ich auf Lösungsansätze von euch :P

 

Grüße!

Link zu diesem Kommentar

Hallo toodles

 

und willkommen an Board. Seid Windows Vista ist es möglich, für unterschiedliche Benutzer unterschiedliche lokale Gruppenrichtlinien zu definieren. Hier eine Anleitung dazu: Wird nicht mehr benötigt - siehe Hinweis von Alith (hatte das mit der Domäne übersehen und bin von einer lokalen Einrichtung ausgegangen)

Gruß Thomas

bearbeitet von tomdiver
eingefügter Link funktioniert nicht
Link zu diesem Kommentar

Ich glaube ich hab mich da falsch ausgedrückt,...

 

Der Rechner befindet sich in keiner Domäne - er hat zwar n verbindung zum Server von dem er seine Daten bekommt aber das spielt an sich keine Rolle.

Und es gibt ja im Grunde genommen nur einen User - wenn man sich remote drauf schaltet wechselt man ja nicht das Benutzerkonto sondern bleibt mit gleichen Rechten angemeldet - steuert nur eben remote den Rechner.

 

Mein Vorhaben ist jetzt einfach, dass sich auf den desktop, in der taskleiste oder wo auch immer ne art verknüpfung befindet mit der die kompletten Gebote und Verbote der gpo unwirksam gemacht werden, bzw wieder auf standart gestellt werden - diese verknüpfung wird natürlich iwie mit nem passwort versehen, damit dann nur der jenige der das pw kennt (in diesem fall soll es der remote zugriff sein) volle rechte hat und weiter am rechner rum doktorn kann.

 

 

aber schonmal danke für eure rasche antowrt :)

Link zu diesem Kommentar

Hallo toodles,

 

wie willst du dich denn remote verbinden? Wenn du das über den Remotedesktop machst / machen willst, wird der angemeldete Benutzer "abgemeldet" - sprich am Kioskrechner muß dann das Kennwort wieder eingegeben werden, damit der Benutzer wieder arbeiten kann. Ansonsten noch mal der Hinweis, zwei verschiedene Benutzer und nur einen mit der Gruppenrichtlinie zurechtstutzen.

 

Thomas

Link zu diesem Kommentar

Und da ist das Dilemma - auf der einen Seite willst du, das der Benutzer nur ein Programm starten kann, auf der anderen Seite soll er aber auch die Gruppenrichtlinien anpassen dürfen (und genau dafür bräuchte er das entsprechende Snap IN und die Berechtigungen eines Administrators). Ich sehe keine wirkliche Möglichkeit dafür. Rein interessehalber - warum dieser Weg?

 

Thomas

Link zu diesem Kommentar

welche Programme ich letztendlich verbiete bzw. zulasse kann ich ja problemlos konfigurieren...

Szenario sieht so aus, dass der Rechner beim Kunden im Werk steht (und daher dieser "Kiosk-Mode") - dort läuft das eine Hauptprogramm und im Hintergrund halt Radmin - nun wollen wir uns bei Problemen über Radmin auf den Rechner setzen, aber eben mit vollen Rechten (und dazu darf das Programm keines Falls beendet werden).

 

 

Grüße !

Link zu diesem Kommentar

Wenn der Kiosk-User Admin-Rechte hat ist er admin - wie willst du ihm was verbieten? Hat der Rechner keine Tastatur ? Mittels Taskmanager kann er starten was immer er will.

 

Oder reden wir vielleicht aneinander vorbei? Ich habe das bisher so verstanden, das ein eingeschränkter Benutzer das Recht haben soll, die ihm auferlegten Beschränkungen wieder aufzuheben ..... für mich ein Widerspruch in sich.

 

Thomas

Link zu diesem Kommentar

Also:

 

Ich habe 2 Konten: Ein mal das Konto "LR" - hat Adminrechte und ist der "Hauptzugang"

dann Konto 2 "KIOSK" - hat ebenfalls Adminrechte aber durch die Gruppenrichtlinie hat dieses Konto lediglich die Verknpüfung zu dem besagten Programm aufn Desktop und sonst nichts. Startmenü ist komplett leer, außer der Button "Benutzer wechseln", sämtliche Tastenkombinationen sind unterbunden, Rechtsklick unterbunden etc. Er kommt patu nicht aufn den Arbeitsplatz, Taskmanager, Netzwerkumgebung zu anderen Programmen oder sonst was - und das soll ja auch so sein

 

Ich möchte jetzt einfach aufn Desktop eine verknüpfung, eine batch-datei oder sonstiges damit bei bedarf wieder alle rechte eingeräumt werden - sprich die gruppenrichtlinie deaktiviert werden

Und das ganze natürlich passwortgeschützt, aber das ist ein anderes Kapitel. MIr gehts jetzt erst mal um die deaktivierung der gruppenrichtlinie ohne den benutzer wechseln bzw abmelden zu müssen.

Link zu diesem Kommentar

Ok - wenn es denn so sein soll :).

 

Folgendes könnte ich mir vorstellen:

 

Euer Benutzer ist ein ganz normaler Benutzer, den ihr mit Gruppenrichtlinien so anpasst wie ihr es benötigt. Will er die Gruppenrichtlinien zurücksetzen, schlägt die Benutzerkontensteuerung zu und verlangt die Eingabe administrativer Berechtigungen, um den Vorgang fortsetzen zu können. So erledigt sich die Batchdatei mit Kennwortschutz.

 

Alles ungeprüft und so als Schnellschuß.

 

Viel Erfolg

Thomas

 

@XP - danke, ich dachte schon fast ich liege falsch

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...