Adminrechte - Passwort nicht ändern - Rechte beschränken

[Sangria]

Hallo miteinander:

Mir brennen schon die Augen, aber ich komm einfach nicht weiter und die Zeit arbeitet gegen mich.
Ich hab folgendes Problemchen:
Mein Kleiner (15) bekommt von mir ein Laptop geschenkt. 2 Faktoren erschweren die Sache: Er wohnt nicht bei mir und das Verhältnis zwischen seiner Mutter und mir - reden wir nicht darüber.
Nun habe ich die Kiste fertig eingerichtet.

Windows 7 Prof. SP1

Er ist natürlich nur Standart-User. Da fängt das Problem schon an. Seinem Alter entsprechend muss ich natürlich auf Restriktionen achten, sonst nimmt ihm seine Mutter das Laptop sofort ab. Um diese Einschränkungen nicht aushebeln zu können, kann und darf ich ihm keine Adminrechte geben. Diese muss ich notgedrungen seiner Mutter geben. Da ich ihm per Teamviewer unterstützung bieten möchte, sollte sie nicht in der Lage sein, das Admin-Passwort zu ändern. Eine einfache Lösung wäre natürlich, sie zum Install-Operator zu machen und alles Andere zu verbieten. Wie der Vorgeschichte zu entnehmen ist, ist kein Server mit AD da.
In den lokalen GPOs finde ich keine sinnvolle Lösung.
Ihr Adminkonto über die Registry via "UserList" ausblenden, um es ihr wenigstens schwerer zu machen bringt auch nichts, denn damit deaktiviere ich das Konto auch, sodass bei einer Installation die UAC dieses Konto nicht mehr vorschlägt.
Die Hauptbenutzergruppe reicht für Installationen nicht mehr aus.
Das Häkchen "User darf PW nicht ändern" macht bei einem Admin-Account keinen Sinn, denn als Admin setzt sie den Haken selber wieder und ich hab Pech gehabt.

Es sei denn, ich könnte eben dieses Feld über die lokalen GPOs oder über die Registry ausblenden. Allerdings finde ich weder eine passende Regel noch einen Schlüssel.

Hat jemand einen Vorschlag? Sonst sieht's Weihnachten für meinen Kleinen echt mau aus... ;o(

Gleich vorweg - Mit ihr zu reden bringt nichts... Das brachte die letzten 10 Jahre schon nichts.

Beste Grüße,
Sangria

[NilsK]

Moin,

eine technische Lösung dafür gibt es nicht. Ein Administrator ist ein Administrator ist ein Administrator. Einen "Install-Operator" gibt es nicht. Und am Ende könnte dein Sohn oder seine Mutter den Rechner ja auch einfach neu aufsetzen ...

Organisatorische Probleme muss man organisatorisch lösen.

Gruß, Nils

[Sangria]

hi nils...
danke für deine antwort, doch aufsetzen würde sie die kiste sicher nicht neu. davon ist mal auszugehen. "ein a ist ein a" und wird ein a bleiben... darauf habe ich, glaube ich hingewiesen. (haken setzen)
mir geht es um eine lösung des beschriebenen problems - nicht um lebenshilfe... organisatorisch ist dem problem nicht beizukommen, sonst wäre es auch kein problem. ;o)
es gibt immer hintertürchen, tools, workarounds, die ein "problem" lösen können... nur habe ich kein passendes gefunden und hege daher die hoffnung, dass ein input von aussen mich auf einen passen ansatz hinweist. ;o)
vielleicht kann man das passwort zu ändern über die registry abwenden. so tief würde sie auch sicher nicht suchen...

beste grüße
sangria

[lefg]

Ein Install-Operator müsste ein Recht für dien Installation haben, solch ein Recht gibt es aber nicht, auch nicht für einen Administrator.

Die Berechtigung(en) eines Benutzers, Administrator, der Gruppen, auch der der Administratoren, zum Zugriff auf Objekte, diese sind in den Access Control Lists (ACL) von Verzeichnissen und Registryschlüsseln eingetragen.

Ein Install-Operator in der Gruppe der Administratoren hätte die selben Möglichkeiten wie der Administrator des Systems.

Eine neue Gruppe definieren, die Gruppe und deren Berechtigungen in die ACL`s der benötigten Objekte eintragen? Ich bin sehr skeptisch, ob das etwas für einen Laien ist, ob dieser weiß, was dabei rauskommt, ob er dabei nicht eine Unsicherheit schafft.

Oder einem Mitglied der Gruppe der Administratoren zu versuchen in den ACL`s Berechtigungen zu entziehen? Man weiß nicht, was man vergisst.

Man weiß nicht, ob der Aufwand nicht für die Katz ist.

Auf eine Möglichkeit der Objektverwaltung, Delegation für solche einen Zweck, das noch auf einen lokalen Computer, darauf bin ich noch nicht gestossen.

[Sangria]

hi lefg...
ich weiß... willkommen in meiner problemstellung...
sie muss über die rechte verfügen - das ist mir ja klar. daher wäre ja ausblenden des kästchen "pw ändern" eine vermeindliche lösung. sie soll nur das ****e passwort nicht ändern können... alles andere ist mir wurscht...

beste grüße
sangria

[mapi4780]

Zitat von Sangria Ich hab folgendes Problemchen:

Zitat von Sangria Diese muss ich notgedrungen seiner Mutter geben.

Nö. Musst du nicht, wenn du das Teil ohnehin supportest.

Zitat von Sangria Eine einfache Lösung wäre natürlich

Du sagst es, im nächsten Satz.

Zitat von Sangria ich ihm per Teamviewer unterstützung bieten möchte

--> Papa machts! Sohn und Mama haben keine Rechte.
--> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

[lefg]

Der String für den Aufruf der Computerverwaltung in der Systemsteuerung/Verwalung ist

Code:

 %windir%\system32\compmgmt.msc /s

Weiter gibt es:

Code:

 %windir%\system32\CompMgmtLauncher.exe.

Ob ein Entzug der Möglichkeit des Zugriffes, die Berechtigung auf diese Dateien hilft? Ich weiß es nicht, es ist zu prüfende Idee.

Das ist auch nicht so einfach, der Administrator ist bei W7 nämlich nicht der Besitzer dieser Dateien.

[lefg]

Zitat von mapi4780 --> Papa machts! Sohn und Mama haben keine Rechte. --> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

Primäres Ziel ist wohl, zu verhindern, dass die Mutter das Pw des Administrators(Vater) ändert

[Sangria]

Zitat von lefg Primäres Ziel ist wohl, zu verhindern, dass die Mutter das Pw des Administrators(Vater) ändert

genau lefg... das ist es... alles andere ist mir egal... sie soll es weder ändern noch zurücksetzen können...

[MrCocktail]

Hi,

ansonsten schmeisse ich jetzt noch einmal die Family Security in den Raum, hier kannst du per Policy bestimmte Rechte setzen und er weitere anfordern.

Ob man damit allerdings bei einem 15jaehrigen noch durckkommt?
Gruss
J