Neomis

Also in der Domäne,in der ich hier gerade arbeite bin ich simpler User und es funktioniert. Dazu kommt noch ein Zitat von Microsoft selbst: "Benutzer Die Gruppe "Benutzer" stellt die sicherste Umgebung zur Ausführung von Programmen dar. Bei einem mit NTFS formatierten Datenträger sind die Standardsicherheitseinstellungen eines neu eingerichteten (nicht aber eines aktualisierten) Systems so konzipiert, dass Mitglieder dieser Gruppe nicht negativ auf die Integrität des Betriebssystems und der installierten Anwendungen einwirken können. Die Benutzer können weder Einstellungen in der Registrierung noch Betriebssystem- oder Programmdateien bearbeiten. Ein Benutzer kann zwar eine Arbeitsstation herunterfahren, nicht jedoch einen Server. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Verwaltung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer können zertifizierte Windows 2000-Programme ausführen, die von Administratoren installiert bzw. eingesetzt wurden. Sie haben die volle Kontrolle über alle eigenen Datendateien (%userprofile%) und ihren Teil in der Registrierung (HKEY_CURRENT_USER)." Quelle Bleibt doch die Frage im Raum stehen: Wenn normale Benutzer Gruppen alegen können, liegt dich die Vermutung nahe, dass es auch mit Benutzern geht. Wo ist deine Dokumentation?

...so die Theorie, aber in der Praxis sieht das anders aus. Du setzt 2000 zu sehr mit 2003 gleich. Am besten überzeugst du dich selbst davon. Aber wenn selbst Microsoft-Mitarbeiter nicht wissen, was Windows so alles fabriziert, woher soll ich das dann wissen oO -> Interessant

Wenn's ne Domäne ist (was ich mal stark vermute ;) ) in den Gruppenrichlinien der Domäne Hm...gute Frage...hab ich noch nie ausprobiert.

Da denkst du definitiv falsch. Unter 2000 kannst du auch ganz bequem ím Arbeitsplatz nach lusrmgr.msc suchen und diese ausführen, solange das nicht vom Admin unterbunden wird. Bei 2003 wird es wohl genau anders herum sein. Prominentestes Beispiel: Erstellst du eine Freigabe unter 2000 vergibt Windows automatisch Vollzugriff für "jeder". Unter 2003 gibt's hier nur Lese-Zugriff . Wie gesagt, ich hab das Spielchen zu Demonstrationszwecken schon in 2000er Domänen praktiziert. Aber wahrscheinlich hat Microsoft in 2003 diese Lücke geschlossen.

Hm...mit IE 6 funktionierts. Vielleicht mal die Sicherheitseinschränkungen in den Internetoptionen durchforsten.

So auf die schnelle, kann ich dir da zwar nicht behilflich sein, aber vielleicht findest du ja hier was: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Wie gesagt, ich weis nicht genau wie sich das in nem 2003er Umfeld verhält, daher kann ich nur von ner Win200 Domäne sprechen. ich versuch das jetzt mal detailliert zu schilder, falls ich dabei gegen geltende Boardregeln verstosse möge man es mir nachsehen ;) : Situation: User01@dom01 (normaler User ohne Sonderrechte) meldet sich an seinem APC Rechner01@dom01 an. Der Administrator der Dom01 hat das Ausführen von Skript-Dateien nicht unterbunden, da die benötigten Netzlaufwerke per Logon-skript eingebunden werden. User01 erstellt eine neue Textdatei in der er folgenden Code einfügt: net user local local /add net localgroup Hauptbenutzer local /add cscript ie.vbs das speichert er dann als ie.bat ab. Als nächstes erstellt User01 erneut eine neue Textdatei und fügt diesen Code ein: Option explicit Dim oShell set oShell= Wscript.CreateObject("WScript.Shell") oShell.Run "runas /user:%computername%\local ""C:\programme\internet explorer\IEXPLORE.EXE""" Wscript.Quit Diese speichert er dann als ie.vbs. Führt User01 jetzt die ie.bat aus, wird der IE als Benutzer local gestartet und der Zugriff auf Laufwerk C: ist uneingeschränkt möglich. Das ist wie gesagt nur eine Möglichkeit ein simples "Ausblenden" zu umgehen.

Was für eine Fehlermeldung kommt denn ?

Was haben Windows-eigene Administrationsmittel bitte mit "basteln" zu tun!? Das Bezog sich auf mein "Ich-sitz-zuhause-nicht-in einem-Domänenumfeld-experiement". Da ich zu faul zum ab-und wieder anmelden bin, eignet sich runAs. Naja, ich ha zuhause jedenfalls keine Domäne. Dazu kommt, wie ich schon erwähnt hab, Bei Win2000 ist es z.B. so, dass man als normaler User im Domänenumfeld leicht per Batch-skript (falls nicht deaktiviert, meist aber wg. Netzlaufwerken aktiv) einen lokalen Benutzer anlegen, diesen in die Gruppe der Hauptbenutzer hinzufügen kann und ein VB-sripkt welches den IE per runAs starten kann. Und schon hab ich als "normaler User" massig Möglichkeiten. Sowas gar nicht erst möglich zu machen meinte ich mit meiner obigen "Bastelei"

Also, jetzt genug gespielt :D Mal im ernst: Sicherlich kannst du in Teilen die Schreibberechtigung entziehen. Aber es ist sehr mühsam die Ordner bei denen du es darfst und bei denen nicht zu selektieren. einen falschen Ordner erwischt und die Anmeldung funktioniert schon nicht mehr. Da würde ich eher mit diversen GPs versuchen, das laufwerk auszublenden und umwege wie RunAs, IE, CMD, Verknüpfungen etc. zu versperren

Auch bekannt als "Ausführen als". Kennst bestimmt ;) Aber sicher. Ganz normaler User in nem ganz normalen XP. Is wurscht. Kannst unter C:\Windows oder tiefer. Ok, du kommst nich drauf :D Microsoft gibt zwar keinen direkten Schreibzugriff, ABER... du hast die Speziellen Berechtigungen übersehen! Da wird dem "Otto-Normal-Benutzer" das erstellen von Ordnern und schreiben von Daten sehr wohl gestattet. Du kannst dem Benutzer ja mal testweise das Recht entziehen, allerdings wird dann wohl nicht mehr viel gehen. Wenn ich mich recht entsinne, scheitert es dann schon an der Anmeldung. Screen

Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt. Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !! Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

Ist das so? Hm..ich hätte schwören können, dass ich als normaler user problemlos im Ordner "Windows" einen neuen Ordner oder ne textdatei oder sonst was erstellen kann... Und tatsächlich: Ein kurzer Test mit einem eingeschränkten Account in WinXP, dem herrlich tief im System verankerten internet explorer und dem runAs-service bestätigt meine Theorie. Wenn ich also Dateien in besagtem Ordner erstelle, dann "schreibe" ich doch in diesem Moment quasi auf die Festplatte, oder hab ich da was verwechselt? Edit: selbiges funktioniert übrigends auch bei Win2000. Weiss ich aus eigener Erfahrung in einem scharfen Domänen-Umfeld.

Das alleine hilft nicht viel...ne Verknüpfung auf C: ist schnell erstellt. Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst wohl über kurz oder lang Probleme bekommen wirst. Letzendlich kannst du den Zugriff nur erschweren, aber nicht unterbinden.

Eventuell hat es ja auch was mit der Offlinespeicherung zu tun?