Jump to content
Sign in to follow this  
Sangria

Adminrechte - Passwort nicht ändern - Rechte beschränken

Recommended Posts

Hallo miteinander:

 

Mir brennen schon die Augen, aber ich komm einfach nicht weiter und die Zeit arbeitet gegen mich.

Ich hab folgendes Problemchen:

Mein Kleiner (15) bekommt von mir ein Laptop geschenkt. 2 Faktoren erschweren die Sache: Er wohnt nicht bei mir und das Verhältnis zwischen seiner Mutter und mir - reden wir nicht darüber.

Nun habe ich die Kiste fertig eingerichtet.

 

Windows 7 Prof. SP1

 

Er ist natürlich nur Standart-User. Da fängt das Problem schon an. Seinem Alter entsprechend muss ich natürlich auf Restriktionen achten, sonst nimmt ihm seine Mutter das Laptop sofort ab. Um diese Einschränkungen nicht aushebeln zu können, kann und darf ich ihm keine Adminrechte geben. Diese muss ich notgedrungen seiner Mutter geben. Da ich ihm per Teamviewer unterstützung bieten möchte, sollte sie nicht in der Lage sein, das Admin-Passwort zu ändern. Eine einfache Lösung wäre natürlich, sie zum Install-Operator zu machen und alles Andere zu verbieten. Wie der Vorgeschichte zu entnehmen ist, ist kein Server mit AD da.

In den lokalen GPOs finde ich keine sinnvolle Lösung.

Ihr Adminkonto über die Registry via "UserList" ausblenden, um es ihr wenigstens schwerer zu machen bringt auch nichts, denn damit deaktiviere ich das Konto auch, sodass bei einer Installation die UAC dieses Konto nicht mehr vorschlägt.

Die Hauptbenutzergruppe reicht für Installationen nicht mehr aus.

Das Häkchen "User darf PW nicht ändern" macht bei einem Admin-Account keinen Sinn, denn als Admin setzt sie den Haken selber wieder und ich hab Pech gehabt.

 

Es sei denn, ich könnte eben dieses Feld über die lokalen GPOs oder über die Registry ausblenden. Allerdings finde ich weder eine passende Regel noch einen Schlüssel.

 

Hat jemand einen Vorschlag? Sonst sieht's Weihnachten für meinen Kleinen echt mau aus... ;o(

 

Gleich vorweg - Mit ihr zu reden bringt nichts... Das brachte die letzten 10 Jahre schon nichts.

 

Beste Grüße,

Sangria

Share this post


Link to post
Share on other sites

Moin,

 

eine technische Lösung dafür gibt es nicht. Ein Administrator ist ein Administrator ist ein Administrator. Einen "Install-Operator" gibt es nicht. Und am Ende könnte dein Sohn oder seine Mutter den Rechner ja auch einfach neu aufsetzen ...

 

Organisatorische Probleme muss man organisatorisch lösen.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

hi nils...

danke für deine antwort, doch aufsetzen würde sie die kiste sicher nicht neu. davon ist mal auszugehen. "ein a ist ein a" und wird ein a bleiben... darauf habe ich, glaube ich hingewiesen. (haken setzen)

mir geht es um eine lösung des beschriebenen problems - nicht um lebenshilfe... organisatorisch ist dem problem nicht beizukommen, sonst wäre es auch kein problem. ;o)

es gibt immer hintertürchen, tools, workarounds, die ein "problem" lösen können... nur habe ich kein passendes gefunden und hege daher die hoffnung, dass ein input von aussen mich auf einen passen ansatz hinweist. ;o)

vielleicht kann man das passwort zu ändern über die registry abwenden. so tief würde sie auch sicher nicht suchen...

 

beste grüße

sangria

Share this post


Link to post
Share on other sites

Ein Install-Operator müsste ein Recht für dien Installation haben, solch ein Recht gibt es aber nicht, auch nicht für einen Administrator.

 

Die Berechtigung(en) eines Benutzers, Administrator, der Gruppen, auch der der Administratoren, zum Zugriff auf Objekte, diese sind in den Access Control Lists (ACL) von Verzeichnissen und Registryschlüsseln eingetragen.

 

Ein Install-Operator in der Gruppe der Administratoren hätte die selben Möglichkeiten wie der Administrator des Systems.

 

Eine neue Gruppe definieren, die Gruppe und deren Berechtigungen in die ACL`s der benötigten Objekte eintragen? Ich bin sehr skeptisch, ob das etwas für einen Laien ist, ob dieser weiß, was dabei rauskommt, ob er dabei nicht eine Unsicherheit schafft.

 

Oder einem Mitglied der Gruppe der Administratoren zu versuchen in den ACL`s Berechtigungen zu entziehen? Man weiß nicht, was man vergisst.

 

Man weiß nicht, ob der Aufwand nicht für die Katz ist.

 

Auf eine Möglichkeit der Objektverwaltung, Delegation für solche einen Zweck, das noch auf einen lokalen Computer, darauf bin ich noch nicht gestossen.

Edited by lefg

Share this post


Link to post
Share on other sites

hi lefg...

ich weiß... willkommen in meiner problemstellung...

sie muss über die rechte verfügen - das ist mir ja klar. daher wäre ja ausblenden des kästchen "pw ändern" eine vermeindliche lösung. sie soll nur das ****e passwort nicht ändern können... alles andere ist mir wurscht...

 

beste grüße

sangria

Share this post


Link to post
Share on other sites

Ich hab folgendes Problemchen:

 

Diese muss ich notgedrungen seiner Mutter geben.

 

Nö. Musst du nicht, wenn du das Teil ohnehin supportest.

 

Eine einfache Lösung wäre natürlich

 

Du sagst es, im nächsten Satz.

 

ich ihm per Teamviewer unterstützung bieten möchte

 

--> Papa machts! Sohn und Mama haben keine Rechte.

--> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

Share this post


Link to post
Share on other sites

Der String für den Aufruf der Computerverwaltung in der Systemsteuerung/Verwalung ist

 

 %windir%\system32\compmgmt.msc /s

 

Weiter gibt es:

 

 %windir%\system32\CompMgmtLauncher.exe.

 

Ob ein Entzug der Möglichkeit des Zugriffes, die Berechtigung auf diese Dateien hilft? Ich weiß es nicht, es ist zu prüfende Idee.

 

Das ist auch nicht so einfach, der Administrator ist bei W7 nämlich nicht der Besitzer dieser Dateien.

Share this post


Link to post
Share on other sites
--> Papa machts! Sohn und Mama haben keine Rechte.

--> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

 

Primäres Ziel ist wohl, zu verhindern, dass die Mutter das Pw des Administrators(Vater) ändert

Share this post


Link to post
Share on other sites
Primäres Ziel ist wohl, zu verhindern, dass die Mutter das Pw des Administrators(Vater) ändert

 

genau lefg... das ist es... alles andere ist mir egal... sie soll es weder ändern noch zurücksetzen können... ;)

Share this post


Link to post
Share on other sites

Hi,

 

ansonsten schmeisse ich jetzt noch einmal die Family Security in den Raum, hier kannst du per Policy bestimmte Rechte setzen und er weitere anfordern.

 

Ob man damit allerdings bei einem 15jaehrigen noch durckkommt?

Gruss

J

Share this post


Link to post
Share on other sites

@mrcocktail...

danke für den tipp... doch in der tat... bei einem 15 jährigen könnte das schwer werden. er soll ja den rechner noch "benutzen" können... ;o)

 

Off-Topic:

 

@dr.melzer

danke für den hinweiß... ich lese hier seit 2002 mit und ich habe festgestellt, dass es den meisten gelungen ist, texte welche in kleinbuchstaben geschrieben wurden, durchaus lesen zu können.

nach all jahren im internet und chronischem kleinschreiben in jenem, ist das womöglich ein makel an mir.

doch leider ist es schwer, einen alten baum noch zu biegen. ich bin mir aber sicher, einen nur aus kleinbuchstaben bestehenden text zu lesen, hat dich nicht an den rand der überforderung getrieben ;o)

ich hoffe, du kannst mir in der weihnachtszeit meine schwäche verzeihen.

 

mcse1.jpg

 

es würde doch reichen, dieses feld (siehe bild) irgendwie über HKLM auszublenden... vielleicht gibt es hierfür ja einen secret key???

Edited by Sangria
bild vergessen...

Share this post


Link to post
Share on other sites

@dr.melzer

danke für den hinweiß... ich lese hier seit 2002 mit und ich habe festgestellt, dass es den meisten gelungen ist, texte welche in kleinbuchstaben geschrieben wurden, durchaus lesen zu können.

nach all jahren im internet und chronischem kleinschreiben in jenem, ist das womöglich ein makel an mir.

doch leider ist es schwer, einen alten baum noch zu biegen. ich bin mir aber sicher, einen nur aus kleinbuchstaben bestehenden text zu lesen, hat dich nicht an den rand der überforderung getrieben ;o)

ich hoffe, du kannst mir in der weihnachtszeit meine schwäche verzeihen.

 

Beitrag wegen Missachtung eines Moderators geschlossen.

 

Dies ist deine erste und letzte Verwarnung!

 

Vielen Dank für dein Verständnis!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.
Guest
This topic is now closed to further replies.
Sign in to follow this  

Werbepartner:



×
×
  • Create New...