Jump to content

Adminrechte - Passwort nicht ändern - Rechte beschränken


Sangria
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo miteinander:

 

Mir brennen schon die Augen, aber ich komm einfach nicht weiter und die Zeit arbeitet gegen mich.

Ich hab folgendes Problemchen:

Mein Kleiner (15) bekommt von mir ein Laptop geschenkt. 2 Faktoren erschweren die Sache: Er wohnt nicht bei mir und das Verhältnis zwischen seiner Mutter und mir - reden wir nicht darüber.

Nun habe ich die Kiste fertig eingerichtet.

 

Windows 7 Prof. SP1

 

Er ist natürlich nur Standart-User. Da fängt das Problem schon an. Seinem Alter entsprechend muss ich natürlich auf Restriktionen achten, sonst nimmt ihm seine Mutter das Laptop sofort ab. Um diese Einschränkungen nicht aushebeln zu können, kann und darf ich ihm keine Adminrechte geben. Diese muss ich notgedrungen seiner Mutter geben. Da ich ihm per Teamviewer unterstützung bieten möchte, sollte sie nicht in der Lage sein, das Admin-Passwort zu ändern. Eine einfache Lösung wäre natürlich, sie zum Install-Operator zu machen und alles Andere zu verbieten. Wie der Vorgeschichte zu entnehmen ist, ist kein Server mit AD da.

In den lokalen GPOs finde ich keine sinnvolle Lösung.

Ihr Adminkonto über die Registry via "UserList" ausblenden, um es ihr wenigstens schwerer zu machen bringt auch nichts, denn damit deaktiviere ich das Konto auch, sodass bei einer Installation die UAC dieses Konto nicht mehr vorschlägt.

Die Hauptbenutzergruppe reicht für Installationen nicht mehr aus.

Das Häkchen "User darf PW nicht ändern" macht bei einem Admin-Account keinen Sinn, denn als Admin setzt sie den Haken selber wieder und ich hab Pech gehabt.

 

Es sei denn, ich könnte eben dieses Feld über die lokalen GPOs oder über die Registry ausblenden. Allerdings finde ich weder eine passende Regel noch einen Schlüssel.

 

Hat jemand einen Vorschlag? Sonst sieht's Weihnachten für meinen Kleinen echt mau aus... ;o(

 

Gleich vorweg - Mit ihr zu reden bringt nichts... Das brachte die letzten 10 Jahre schon nichts.

 

Beste Grüße,

Sangria

Link zu diesem Kommentar

hi nils...

danke für deine antwort, doch aufsetzen würde sie die kiste sicher nicht neu. davon ist mal auszugehen. "ein a ist ein a" und wird ein a bleiben... darauf habe ich, glaube ich hingewiesen. (haken setzen)

mir geht es um eine lösung des beschriebenen problems - nicht um lebenshilfe... organisatorisch ist dem problem nicht beizukommen, sonst wäre es auch kein problem. ;o)

es gibt immer hintertürchen, tools, workarounds, die ein "problem" lösen können... nur habe ich kein passendes gefunden und hege daher die hoffnung, dass ein input von aussen mich auf einen passen ansatz hinweist. ;o)

vielleicht kann man das passwort zu ändern über die registry abwenden. so tief würde sie auch sicher nicht suchen...

 

beste grüße

sangria

Link zu diesem Kommentar

Ein Install-Operator müsste ein Recht für dien Installation haben, solch ein Recht gibt es aber nicht, auch nicht für einen Administrator.

 

Die Berechtigung(en) eines Benutzers, Administrator, der Gruppen, auch der der Administratoren, zum Zugriff auf Objekte, diese sind in den Access Control Lists (ACL) von Verzeichnissen und Registryschlüsseln eingetragen.

 

Ein Install-Operator in der Gruppe der Administratoren hätte die selben Möglichkeiten wie der Administrator des Systems.

 

Eine neue Gruppe definieren, die Gruppe und deren Berechtigungen in die ACL`s der benötigten Objekte eintragen? Ich bin sehr skeptisch, ob das etwas für einen Laien ist, ob dieser weiß, was dabei rauskommt, ob er dabei nicht eine Unsicherheit schafft.

 

Oder einem Mitglied der Gruppe der Administratoren zu versuchen in den ACL`s Berechtigungen zu entziehen? Man weiß nicht, was man vergisst.

 

Man weiß nicht, ob der Aufwand nicht für die Katz ist.

 

Auf eine Möglichkeit der Objektverwaltung, Delegation für solche einen Zweck, das noch auf einen lokalen Computer, darauf bin ich noch nicht gestossen.

bearbeitet von lefg
Link zu diesem Kommentar

Ich hab folgendes Problemchen:

 

Diese muss ich notgedrungen seiner Mutter geben.

 

Nö. Musst du nicht, wenn du das Teil ohnehin supportest.

 

Eine einfache Lösung wäre natürlich

 

Du sagst es, im nächsten Satz.

 

ich ihm per Teamviewer unterstützung bieten möchte

 

--> Papa machts! Sohn und Mama haben keine Rechte.

--> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

Link zu diesem Kommentar

Der String für den Aufruf der Computerverwaltung in der Systemsteuerung/Verwalung ist

 

 %windir%\system32\compmgmt.msc /s

 

Weiter gibt es:

 

 %windir%\system32\CompMgmtLauncher.exe.

 

Ob ein Entzug der Möglichkeit des Zugriffes, die Berechtigung auf diese Dateien hilft? Ich weiß es nicht, es ist zu prüfende Idee.

 

Das ist auch nicht so einfach, der Administrator ist bei W7 nämlich nicht der Besitzer dieser Dateien.

Link zu diesem Kommentar

@mrcocktail...

danke für den tipp... doch in der tat... bei einem 15 jährigen könnte das schwer werden. er soll ja den rechner noch "benutzen" können... ;o)

 

Off-Topic:

 

@dr.melzer

danke für den hinweiß... ich lese hier seit 2002 mit und ich habe festgestellt, dass es den meisten gelungen ist, texte welche in kleinbuchstaben geschrieben wurden, durchaus lesen zu können.

nach all jahren im internet und chronischem kleinschreiben in jenem, ist das womöglich ein makel an mir.

doch leider ist es schwer, einen alten baum noch zu biegen. ich bin mir aber sicher, einen nur aus kleinbuchstaben bestehenden text zu lesen, hat dich nicht an den rand der überforderung getrieben ;o)

ich hoffe, du kannst mir in der weihnachtszeit meine schwäche verzeihen.

 

mcse1.jpg

 

es würde doch reichen, dieses feld (siehe bild) irgendwie über HKLM auszublenden... vielleicht gibt es hierfür ja einen secret key???

bearbeitet von Sangria
bild vergessen...
Link zu diesem Kommentar

@dr.melzer

danke für den hinweiß... ich lese hier seit 2002 mit und ich habe festgestellt, dass es den meisten gelungen ist, texte welche in kleinbuchstaben geschrieben wurden, durchaus lesen zu können.

nach all jahren im internet und chronischem kleinschreiben in jenem, ist das womöglich ein makel an mir.

doch leider ist es schwer, einen alten baum noch zu biegen. ich bin mir aber sicher, einen nur aus kleinbuchstaben bestehenden text zu lesen, hat dich nicht an den rand der überforderung getrieben ;o)

ich hoffe, du kannst mir in der weihnachtszeit meine schwäche verzeihen.

 

Beitrag wegen Missachtung eines Moderators geschlossen.

 

Dies ist deine erste und letzte Verwarnung!

 

Vielen Dank für dein Verständnis!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...