ineedhelp 12 Geschrieben vor 6 Stunden Autor Melden Geschrieben vor 6 Stunden vor 17 Stunden schrieb testperson: WSUS + WWP Leider verbietet der Serveradmin den Einsatz vom WSUS Package Publisher. vor 17 Stunden schrieb testperson: Endpoint Central von Manage Engine Das Produkt sieht sehr interessant aus und ich werde es testweise installieren. Hoffentlich kann ich die Kollegen davon überzeugen. vor 10 Stunden schrieb Sunny61: Dann sperr den Lehrkräften doch einfach den Zugang zu diesem Rechner. Geht mit GPO in 5 Minuten. Per GPO habe ich bereits eine lokale Anmeldung für Lehrkräfte an diesen Rechner verboten. Aber irgendwie sollen die Rechner lokal genutzt werden können, daher die Idee mit dem Kioskrechner. Hier können nur bestimmte Programme ausgeführt und Daten dürfen nicht auf Rechner gespeichert werden. Zitieren
Sunny61 823 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden vor 2 Stunden schrieb ineedhelp: Leider verbietet der Serveradmin den Einsatz vom WSUS Package Publisher. Das kann er bestimmt sehr gut begründen. ;) Falls nicht, lass dir von ihm eine Alternative nennen. vor 2 Stunden schrieb ineedhelp: Das Produkt sieht sehr interessant aus und ich werde es testweise installieren. Hoffentlich kann ich die Kollegen davon überzeugen. Darfst Du das vom Serveramdin aus denn installieren auf einem Server? vor 2 Stunden schrieb ineedhelp: Per GPO habe ich bereits eine lokale Anmeldung für Lehrkräfte an diesen Rechner verboten. Aber irgendwie sollen die Rechner lokal genutzt werden können, daher die Idee mit dem Kioskrechner. Hier können nur bestimmte Programme ausgeführt und Daten dürfen nicht auf Rechner gespeichert werden. Dann lass den Rechner aus der Domäne raus. Vor dem zur Verfügung stellen die fertige Installation mit Hilfe von DISM wegsichern und wenn die User den Rechner geschrottet haben, einfach wieder mit Hilfe der Backup WIM restoren. Einen User lokal anlegen und dann können die User damit arbeiten. Das Benutzerprofil zu definierten Zeiten restlos löschen, dann sind auch evtl. gespeicherte Daten weg. Zitieren
Weingeist 172 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden Auch wenn die Kiste in der Domäne ist, kann man sich grundsätzlich auch mit einem Lokalen Konto anmelden. Hast Dann einfach keinen Zugriff auf Domänen-Ressourcen. Würde aber reichen für das surfen und die Kiste ist dennoch zentralt verwaltet. Aber auch ein Domänen-Konten welcher explizit jede Anmeldeberechtigung (Lokal/Remote) auf alle anderen Comuter in der Domäne verweigert wird, ist machbar. Mit den jeweiligen Vor- und Nachteilen. Die Aufnahme in die Domäne würde ich persönlich grundsätzlich bevorzugen wenn die Kiste nicht "öffentlicher" ist, als andere auch. Wenn sie wesentlich öffentlicher ist, würde ich eh nicht wollen, dass sich Leute mit RDP auf ihre VM verbinden können und das ganze würde sich erübrigen. Für Schulen gibts übrigens noch extra so Wächter-Computer die sich automatisch zurücksetzen. Musst mal im Bord suchen. Ansonsten: Die "Schmerzen" - eimalige, chronische, wiederkehrende - die mit dem Kiosk-Modus verbunden waren, lohnten sich früher eher nicht. Den Kiosk-Mode behandelte MS in der Vergangenheit nur sehr stiefmütterlich. Ich befürchte, dass gilt heute noch. Ausser auf LTSC-Releases würde ich den sowieso nirgendwo einsetzen. Ansonsten lieferte MurdocX bereits ein paar wichtigste Tipps. Ich bevorzug es, mit sonstigen Bordmitteln wie AppLocker granular dicht machen. Selbst die ganze GUI mit Taskleiste, Benachrichtigungen etc. bringt man komlett weg, so dass nur noch der Desktop selbst funktioniert. Back to the Roots quasi. Entweder tatsächlich deinstalliert mit dism (experimentell, nicht reversibel, viele Tests notwendig, keinerlei Support) oder per Verweigerung der Userbasierten Installation indem dem System und TI gewisse Rechte entzogen werden. Das UserProfil ist dann quasi GUI-los, so ähnlich wie früher die minimale MMC-Variante (Name fällt mir grad nicht mehr ein). Ein Vorteil der immer besseren "Kapselung" der Komponenten im Unterbau von Windows. Angenehmer Nebeneffekt: Auch der Wildwuchs an unerwünschten Firewallfreigaben auf Apps werden nicht mehr erstellt und keinerlei Bloat-Apps installiert. Je nach dem wie weit man das treibt, ists dann eine aufgebohrte Core mit den wichtigsten grafischen Bibliotheken für Server-Tools von anderen Herstellern oder Industrie-Computer. Zitieren
ineedhelp 12 Geschrieben vor 2 Stunden Autor Melden Geschrieben vor 2 Stunden vor einer Stunde schrieb Weingeist: Auch wenn die Kiste in der Domäne ist, kann man sich grundsätzlich auch mit einem Lokalen Konto anmelden. Da hier gerne .\ für die lokale Anmeldung vergessen wird, würde ich den Benutzer automatisch anmelden und nach Feierabend per Geplanten Task herunterfahren. vor einer Stunde schrieb Weingeist: Ansonsten: Die "Schmerzen" - eimalige, chronische, wiederkehrende - die mit dem Kiosk-Modus verbunden waren, lohnten sich früher eher nicht. Den Kiosk-Mode behandelte MS in der Vergangenheit nur sehr stiefmütterlich. Eigentlich hatte ich mir mit dem Kiosk-Modus erhofft, dass dieser einfach und schnell einzurichten ist. Aber leider gibt es jetzt in der Testphase schon die ersten Hürden. Eine andere Frage wäre natürlich, wie skalierbar dann der Kioskrechner, wenn neue Programm hinzukommen, usw. vor einer Stunde schrieb Weingeist: Ich bevorzug es, mit sonstigen Bordmitteln wie AppLocker granular dicht machen. Selbst die ganze GUI mit Taskleiste, Benachrichtigungen etc. bringt man komlett weg, so dass nur noch der Desktop selbst funktioniert. Back to the Roots quasi. Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich? vor 1 Stunde schrieb Weingeist: Entweder tatsächlich deinstalliert mit dism (experimentell, nicht reversibel, viele Tests notwendig, keinerlei Support) oder per Verweigerung der Userbasierten Installation indem dem System und TI gewisse Rechte entzogen werden. Das UserProfil ist dann quasi GUI-los, so ähnlich wie früher die minimale MMC-Variante (Name fällt mir grad nicht mehr ein). Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen. Zitieren
Weingeist 172 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde vor 25 Minuten schrieb ineedhelp: Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich? Per GPO... Puuuh das ist schwierig. Problem ist, Du musst System die Rechte in Registry-Schlüsseln und/oder Ordner der Apps entziehen. Dann können diese Apps nicht mehr in einem neuen User-Profil installiert werden. Bestehende laufen laufen aber weiter im User-Kontext und können ausgeführt werden. Im Grunde reicht es aus, dem System die Schreibrechte auf Firewall-Regeln zu entziehen, die auf App-Basis erstellt werden. Das verhindert die Installation der Apps sowie die vielen Firewall-Ausnahmen die für jedes Profil/App erstellt werden. Ist etwas tricky das ganze. Und halt doof wenn es jemand anders als Du es betreut .--> Doku. Sofern möglich, darauf verzichten. Meistens stört das Startmenü ja nicht. Ich benutze das manchmal für Industriemaschinen wo dann eine eine eigene App läuft weil es flexibler ist als der Kioskmodus. vor 25 Minuten schrieb ineedhelp: Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen. Die Komponenten sind leider undokumentiert. Ich kann Dir nur sagen wie Du dich herantasten kannst. Ist aber mit viel Aufwand verbunden der sich grundsätzlich nicht lohnt. Für den Spieltrieb ganz nett, produktiveher nicht. Es gibt Komponenten die lassen sich problemlos entfernen ohne spätere App-Crashes etc, andere wiederum nicht. Im Grunde erreicht man ähnliches wie früher mit N-Lite. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.