Internet-Access sperren?

  • Hallo ihr,

    habe folgendes Problem: Möchte für einen User mit admin-Rechten (der nur zum installieren von SW da ist) den zugriff zum internet abdrehen. Nachdem der PC über nen router ins netz geht, würds reichen, einfach den netzwerkzugriff zu deaktivieren.

    was auch interessant zu wissen wär, ist, ob man einen user einrichten kann, mit dem man sich nicht am welcome-screen einloggen kann, aber den man sehr wohl per "run as" verwenden kann...

    lg m.

    P.S: ich sprech natürlich von xp prof...

  • Zitat von Mr.Radar

    habe folgendes Problem: Möchte für einen User mit admin-Rechten (der nur zum installieren von SW da ist) den zugriff zum internet abdrehen. Nachdem der PC über nen router ins netz geht, würds reichen, einfach den netzwerkzugriff zu deaktivieren.

    Ich hab jetzt keine Ahnung, wie man das anstellt, aber eine Frage drängt sich mir hier auf: Was soll denn das bringen? Dieser User kann doch von seinen Admin-Rechten jederzeit Gebrauch machen und sich selbst die Netzwerkverbindung wiederherstellen?

    Oder willst du nur, dass während des Installierens der Software keine Netzwekverbindung besteht? Würde es da nicht reichen, in der Systemsteuerung unter "Netzwerkverbindungen" die LAN-Verbindung einfach zu deaktivieren?

    Zitat von Mr.Radar

    was auch interessant zu wissen wär, ist, ob man einen user einrichten kann, mit dem man sich nicht am welcome-screen einloggen kann, aber den man sehr wohl per "run as" verwenden kann...

    Ja, sowas gibts, dieser Benutzer heißt "Administrator". Sobald du einen zweiten Benutzer eingerichtet hast, wird beim Starten von Windows dieser Benutzer automatisch angemeldet, bei zwei Benutzern neben dem Benutzer "Administrator" wird der Willkommensbildschirm mit einer Auswahl zwischen diesen beiden Benutzern, aber nicht "Administrator", angezeigt. Warum das so hirnrissig umgesetzt ist, weiß ich nicht.

    Aber das ist wahrscheinlich nicht das, was du willst. Ich weiß jedoch nicht, wie man die Anzeige eines beliebigen Benutzers im Willkommensbildschirm unterdrückt.

  • @Paulchen:

    ad 1. Frage: Habe mich da etwas unpräzise ausgedrückt: Konkret solls nur ein User sein, der gerade mal die Berechtigung zum SW installieren hat, sonst nix. (Also keine Treiber, Einstellungen,...) Welche Rädchen ich da in der Sicherheitsrichtlinie verstellen muss, hab ich aber noch nicht raus...

    ad 2. Frage: Soll nicht nur der Willkommensbildschirm sein, ein Login mit diesem User soll beim Systemstart generell nicht möglich sein. Ich will diesen User nur mittels run as verwenden (eben zum Installieren von SW ^^)

    lg m.

  • Zitat von Mr.Radar

    was auch interessant zu wissen wär, ist, ob man einen user einrichten kann, mit dem man sich nicht am welcome-screen einloggen kann, aber den man sehr wohl per "run as" verwenden kann...


    Es gibt die Gruppenrichtlinie "Lokale Anmeldung verweigern" (gpedit.msc > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerreichten), bei der man bestimmte User eintragen kann. Ob die dann über RunAs noch funktionieren, weiß ich leider nicht.

    [EDIT] Grad ausprobiert, geht dann auch mit RunAs nicht mehr, also vergiß meinen Vorschlag. [/EDIT]

  • Es gibt auch keine Einschränkung von wegen er kann nur Software installieren und sonst nix.

    Wenn für die SW Installation Adminrechte notwendig sind, dann kannst du dem Benutzer eben Adminrechte geben - dann gibts aber auch keine Einschränkung mehr (oder weniger) - oder du läßt Programme indirekt mittels runas ausführen.

  • Jensi: eine etwas unsaubere und auch nicht 100% sichere lösung hätt ich gefunden: entweder in HKU\Software\Windows\CurrentVersion\Run den DLL-Aufruf zum Logoff reintun, oder alternativ ins Logon Script. Wobei ich eher fürs Logon Script bin, denn das kann ich von dem richtigen Admin-Account auch wieder rausnehmen ^^

  • Ja, das ist mir auch klar, ich will ja auch den PC nicht vor bösen Einbrechern schützen, sondern vor meinen restlichen Familienmitgliedern, die ohne viel nachzudenken mal im Internet wo draufklicken wo sie nicht sollten... und da wird das denk ich ausreichend Schutz sein, denn die wissen nicht mal wie man in den abgesicherten Modus kommt :)

    lg m.

  • Zitat von Mr.Radar

    Ja, das ist mir auch klar, ich will ja auch den PC nicht vor bösen Einbrechern schützen, sondern vor meinen restlichen Familienmitgliedern, die ohne viel nachzudenken mal im Internet wo draufklicken wo sie nicht sollten... und da wird das denk ich ausreichend Schutz sein, denn die wissen nicht mal wie man in den abgesicherten Modus kommt :)

    wieso müssen die dann software installieren können?

    zugang zum www ist generell von einem sicherheitskonzept her immer etwas 'harmloseres' als das installieren von software, von daher wirst du dir auf jedem system mit dem implementieren der von dir gewünschten funktionalität schwertun. du kannst natürlich (ntfs-dateisystem vorausgesetzt) dem benutzer administrator zb das ausführen von iexplore.exe, firefox.exe oder was auch immer verweigern. das ist aber kein richtiger schutz und kann auch vom administrator wieder ausgeschaltet werden.

    lg,
    michi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!