Client mit GPO nur noch für Arbeitsplatz, Netzlaufwerk und USB verwendbar

[DanAiP 10]

Hi zusammen,

 

ich darf per GPO einen Client so weit berechtigen, dass nur noch der Arbeitsplatz aufrufbar ist, der Zugriff auf Netzlaufwerke funktioniert und die USB-Ports funktionieren.

 

Bevor ich mich durch den ganzen Baum der Benutzer- und Computerkonfiguration klicke und alles deaktiviere, wollte ich euch fragen, ob das auch mit drei, vier, fünf Einstellungen möglich ist.

 

Im Netz habe ich leider nichts dazu gefunden.

 

Schon mal vielen Dank für eure Hilfe.

[Sunny61 773]

Wenn der Benutzer keine Adminrechte hat, ist er sowieso schon sehr eingeschränkt. Und out-of-the-Box einfach mal so alles deaktivieren sehe ich als kontraproduktiv an.

Gibt es denn auch detaillierte Anforderungen dazu? Begründungen?

[DanAiP 10]

Das sehe ich auch so. Alles zu deaktivieren sieht nicht sehr schön aus.

 

Die Anforderungen sind:

Der User darf am USB-Port ein Gerät anschließen und die Daten auf ein Netzlaufwerk kopieren / verschieben.

 

Das war´s auch schon..

Kleine Ergänzung noch:

Also nur diese Dinge sollen fnuktionieren.

 

Internet etc.. soll auch nicht funktionieren..

[Sunny61 773]

Die Anforderungen sind:

Der User darf am USB-Port ein Gerät anschließen und die Daten auf ein Netzlaufwerk kopieren / verschieben.

 

Kleine Ergänzung noch:

Also nur diese Dinge sollen fnuktionieren.

 

Internet etc.. soll auch nicht funktionieren..

Internet sperrst Du am Proxy bzw. am Gateway oder an der Firewall aus.

 

Damit noch weniger eingeschränkt wird, schau dir den Gastzugang an. Den kannst Du z.B. als Schreibenden auf das NW-Laufwerk setzen.

 

Ansonsten kann der Benutzer nur die Programme ausführen, die installiert sind. Wenn die Programme allerdings eine zusätzlich Anmeldung erfordern, kann der Gastzugang ja schon sehr stark einschränken. Und manchmal kann man es auch etwas übertreiben. ;)

[DanAiP 10]

Super, danke dir schon mal für die Infos.

Ich werd das gleich mal ausprobieren.

 

Wenn der User mit dem Gastzugang die installierten Programme nicht nutzen kann ist das auch niciht weiter schlimm. Die Policy bezieht sich am Ende nur auf einen Client. ;)

[Sunny61 773]

Wenn der User mit dem Gastzugang die installierten Programme nicht nutzen kann ist das auch niciht weiter schlimm. Die Policy bezieht sich am Ende nur auf einen Client. ;)

Wenn ein Office installiert ist, kann er das sicher nutzen. Weshalb denn nicht? Es geht doch auch darum, wo er Zugriff hat. Und wenn er im LAN 'Schreibrechte' braucht um Dateien ablegen zu können, würde ich lieber an der Stelle ansetzen.

[Doso 77]

Wir haben solche Rechner im Einsatz. Öffentliche Rechercherechner, sollen nach Möglichkeit nix tun. Das ist eine ewige Fummlerei., da steckt Jahre Arbeit drin, immer wieder findet man eine Möglichkeit das Leute auf andere Webseiten kommen oder etwas auf dem Desktop ablegen etc. Entsprechende "Kiosk Software" kostet meist recht viel Geld und kann dann auch nicht mehr.

[lefg 276]

..........Öffentliche Rechercherechner, sollen nach Möglichkeit nix tun. Das ist eine ewige Fummlerei., da steckt Jahre Arbeit drin, immer wieder findet man eine Möglichkeit das Leute auf andere Webseiten kommen oder etwas auf dem Desktop ablegen etc. Entsprechende "Kiosk Software" kostet meist recht viel Geld und kann dann auch nicht mehr.

 

Ob nicht eine Kioskware über die lange Zeitachse weniger kostet als die Jahre eigene Arbeit? Für das zentrale Einschränken des Webzugriffes könnte man den IPCop als Proxy nehmen. Da gibt es ein brauchbares Filter.

 

Bin ich zu sehr OT?

bearbeitet 4. Februar 2015 von lefg

[Doso 77]

Vermutlich wäre es billiger gekommen, ja. Nur, nicht meine Entscheidung (:

[DanAiP 10]

Wenn ein Office installiert ist, kann er das sicher nutzen. Weshalb denn nicht? Es geht doch auch darum, wo er Zugriff hat. Und wenn er im LAN 'Schreibrechte' braucht um Dateien ablegen zu können, würde ich lieber an der Stelle ansetzen.

Hi Sunny61,

 

neue Erkenntnisse:

 

Der User soll sich an einem bestimmten Client mit seinem Domänen-Account anmelden und die Daten von einem Wechseldatenträger (also USB-Port) auf ein Netzlaufwerk schieben. Er braucht kein Internet, keine Applikationen, etc.

 

Den Internetzugang würde ich dann auf dem Proxy beschränken, damit der User nicht einen portablen Browser nutzen kann. Ist doch so richtig.. Oder?

[Sunny61 773]

Der User soll sich an einem bestimmten Client mit seinem Domänen-Account anmelden und die Daten von einem Wechseldatenträger (also USB-Port) auf ein Netzlaufwerk schieben. Er braucht kein Internet, keine Applikationen, etc.

 

Den Internetzugang würde ich dann auf dem Proxy beschränken, damit der User nicht einen portablen Browser nutzen kann. Ist doch so richtig.. Oder?

Wenn der Proxy das sicher kann und auch sonst der Benutzer ohne Proxy nichts in Internet kann, dann kannst Du das machen.

[Mokkujin 10]

Also nur mal so am Rande , wenn es ein reiner KIOSK Rechner werden soll kann er ja ruhig auch außerhalb der Domain stehen.

 

Was spricht denn gegen eine Linux Distribution die genau das Ziel hat : http://porteus-kiosk.org/

[lefg 276]

Also nur mal so am Rande , wenn es ein reiner KIOSK Rechner werden soll kann er ja ruhig auch außerhalb der Domain stehen.

 

Was spricht denn gegen eine Linux Distribution die genau das Ziel hat : http://porteus-kiosk.org/

 

Moin,

 

Es soll wohl kein Kiosk werden, denn an einem Kiosk meldet sich niemnand mit seinem Domänen Account an, ein Kiosk macht ein automatisches Login zum Benutzen für Jederman.

 

Deinen Link werde ich mir aber mal ansehen. Danke dafür.