Da fällt die Wahl natürlich schwer (vor allem da es das Programm bisher nur auf englisch gibt!)

Was unter User Settings -> Windows Restrictions eingestellt werden kann:

Klick öffnet Liste als .pdf

Start Menu Restrictions

• Prevent right-click in the Start Menu
  Verhindert den Rechtsklick (also den Aufruf des Kontextmenüs) im Startmenü

• Allow only the Classic Start Menu
  Es wird nur das klassische Startmenü angezeigt

• Remove the Control Panel, Printer and Network Settings from Start Menu
  Entfernt die Systemsteuerung, die Drucker und die Netzwerkeinstellungen aus dem Startmenü

• Remove the My Documents icon
  Entfernt den Startmenüpunkt "Eigene Dateien"

• Remove the My Recent Documents icon
  Entfernt den Startmenüeintrag "Zuletzt verwendete Dokumente"

• Remove the my Pictures icon
  Entfernt den Startmenüpunkt "Eigene Bilder"

• Remove the My Music icon
  Entfernt den Startmenüpunkt "Eigene Musik"

• Remove the Favorites icon
  Entfernt den Startmenüeintrag "Favoriten"

• Remove the My Network Places icon
  Entfernt den Startmenüeintrag "Netzwerkumgebung"

• Remove the Frequently used Programs list
  Entfernt die "Liste" der am meisten benutzten Programme (wird normalerweise links im Startmenü angezeigt)

• Prevent programs in the All Users folder from My Computer
  verhindert die Anzeige der Programme aus All Users im Startmenü (es werden also nur die Programme aus dem aktuellen Benutzerprofil angezeigt)

• Remove the Control Panel icon
  Entfernt das Systemsteuerungs Icon aus dem Startmenü

• Remove the Set Program Access and Defaults icon
  Entfernt den Startmenüpunkt "Programzugriff und -standards"

• Remove the Connections (Connect to) icon
  Entfernt den Startmenüpunkt "Verbinden mit..."

• Remove the Printers and Faxes icon
  Entfernt den Startmenüpunkt "Drucker und Faxgeräte"

• Remove the Search icon
  Entfernt den Startmenüpunkt „Suchen...“

• Remove the Run icon
  Entfernt den Startmenüpunkt „Ausführen“

• Remove the Shut down button
  Entfernt den „Herunterfahren“ Button aus dem Startmenü
• Remove the Help and Support icon
  Entfernt den Startmenüpunkt „Hilfe und Support“

General Restrictions

• Prevent right-click in Windows Explorer
  Verhindert den Aufruf des Kontextmenüs durch Rechtsklick

• Prevent AutoPlay on CD,DVD and USB drives
  Verhindert den Autostart von CD´s und Wechseldatenträgern

• Prevent access to Windows Explorer features: Folder Options, Customize Toolbar and the My Documents folder
  Verhindert das auf die Ordneroptionen, den Kontextmenüeintrag (Symbolleiste) Anpassen... und die Eigenen Dateien zugegriffen werden kann

• Prevent access to the Taskbar
  Verhindert den Zugriff auf die Taskleiste

• Prevent access to the command prompt
  Verhindert den Zugriff auf die Eingabeaufforderung

• Prevent access to the registry editor
  Verhindert den Zugriff auf den Registrierungseditor

• Prevent access to the Task Manager
  Verhindert den Aufruf des Taskmanagers

• Prevent access to the Microsoft Managment Console utilities
  Verhindert den Zugriff auf die Management Konsole (Ausführen -> mmc) mit der Sicherheits und Computereinstellungen geändert werden können

• Prevent users from adding or removing Printers
  Verhindert, dass der Benutzer Drucker installieren oder deinstallieren kann

• Prevent users from locking the computer
  Verhindert dass der angemeldete Benutzer den Computer sperrt

• Prevent password changes (also requires the Control Panel icon to be removed)
  Verhindert das Ändern des Passwortes (geht nur wenn das Systemsteuerungsicon ausgeblendet ist)

• Remove CD and DVD burning features
  Entfernt den Zugriff auf die windowsinternen Brennfunktionen

• Disable keyboard shortcuts that use the Windows Logo Key
  Schaltet Tastenkombinationen mit der Windowstaste ab (z.B. Win+E)

• Allow only programs in the Program files and Windows folders to run
  Nur Programme die im Windows oder Programme Ordner sind dürfen ausgeführt werden

• Disable System Tools and other management programs
  Soll verhindern, dass Tuning und Optimierungstools auf Systemeinstellungen zugreifen können

• Disable Notepad and Wordpad
  Schaltet Notepad und Wordpad aus (dadurch können keine Batchdateien geändert werden)

• Remove the Recycle Bin icon
  Entfernt den Papierkorb vom Desktop

• Prevent users from saving files to the desktop
  Verhindert dass Benutzer Dateien auf den Desktop speichern können

So, jetzt die dritte Seite der User Settings

 

Was unter User Settings -> Feature Restrictions eingestellt werden kann:

Klick öffnet Liste als .pdf

Internet Explorer Restrictions

• Prevent Internet access (except Web sites below)
  Verhindert den Zugriff auf das Internet (ausser den unten freigegebenen Seiten)

• Prevent right-click in Internet Explorer
  Verhindert den Aufruf des Kontextmenüs im Internetexplorer durch Rechtsklick

• Prevent printing
  Verhindert das Ausdrucken aus dem Internetexplorer

• Do not allow access to Favorites
  Verhindert den Zugriff auf die Favoriten

• Disable AutoComplete
  Schaltet AutoVervollständigen ab
• Empty the Temporary Internet Files folder when Internet Explorer is closed
  Leert den Ordner „Temporary Internet Files“ wenn der Internetexplorer geschlossen wird

Menu Options

• Remove View Source
  Entfernt den Menüpunkt Quellcode anzeigen

• Remove Find Files
  Entfernt Bearbeiten -> Auf dieser Seite suchen...

• Remove Theater Mode
  Verhindert den Vollbildmodus

• Remove Help Menu
  Entfernt die Hilfe (das ?) aus der Menüleiste

• Remove Browser Options
  Blendet die Internetoptionen aus

• Remove Expanded New Menu
  Entfernt den Menüpunkt Datei -> Neu... (es werden alle unter Neu > zu findenden Punkte ausgeblendet)

• Remove General Tab in Internet Options
  Entfernt die Registerkarte "Allgemein" unter Extras -> Internetoptionen

• Remove Security Tab in Internet Options
  Entfernt die Registerkarte "Sicherheit" unter Extras -> Internetoptionen

• Remove Privacy Tab in Internet Options
  Entfernt die Registerkarte "Datenschutz" unter Extras -> Internetoptionen

• Remove Content Tab in Internet Options
  Entfernt die Registerkarte "Inhalte" unter Extras -> Internetoptionen

• Remove Programs Tab in Internet Options
  Entfernt die Registerkarte "Programme" unter Extras -> Internetoptionen

• Remove Advanced Tab in Internet Options
  Entfernt die Registerkarte "Erweitert" unter Extras -> Internetoptionen
• Remove New Window Menu Option
  Entfernt den Kontextmenüeintrag "In neuem Fenster öffnen"

Toolbar Options (blendet u.a. Einträge in der Symbol- und der Menüleiste aus)

• Search
  Suchen

• Folders
  Ordner

• Edit
  Bearbeiten

• Discussions
  Diskussion

• Encoding
  Codierung

• Size
  Größe

• Full Screen
  Vollbild

• Media
  Medien Symbolleiste

• Print
  Drucken

• History
  Verlauf

• Tools
  Extras
• Third Party Extension Buttons
  Entfernt die Buttons von Zusatzprogrammen (z.B. Flashget

Microsoft Office Restrictions

• Prevent use of Visual Basic for Applications (VBA) in Office 2007/2003/XP
  Verhindert die Ausführung von VisualBasic Skripten in Office Dokumenten

• Disable macro shortcut keys
  Sperrt die Erstellung und Nutzung von Tastenkombinationen für Makros

• Disable Macro menu items in the Tools menus
  Blendet den gesamten Menüpunkt "Makros" im Menü Extras aus

• Disable Add-ins menu items in the Tools menus
  Blendet den Menüpunkt "Vorlagen und Add-ins" im Menü Extras aus

• Disable the Web toolbar in Office programs
  Blendet die Web-Toolbar in Office aus

• Disable the Detect and Repair command in the Help menu
  Blendet den Menüpunkt "erkennen und Reparieren" im Hilfemenü aus

• Prevent changes to Clip Organizer contents in Office 2007/2003/XP
  Verhindert dass Inhalte der Zwischenablage geändert werden können.

So nachdem wir nun die Einstellungen der User Settings genauer kennen, kommt jetzt noch was für die Fortgeschrittenen:

 

Möglichkeiten für fortgeschrittene Administratore

Warum genau Microsoft das so betitelt hat weiss ich nicht genau, vielleicht weil es nur geht wenn man ein Netzwerk hat?
Was kann SteadyState noch:

Es kann die eingerichteten Benutzerprofile mit den XP Benutzerprofilen "verbinden" und auf einen Server "lagern".
Also ähnlich der zentralen Benutzerverwaltung eines Domänen-Netzwerks dem einzelnen Benutzer auf jedem Rechner des Netzwerks die gleichen Desktopeinstellungen und Sicherheitsrichtlinien auf allen Rechner zur Verfügung stellen.

 
Fangen wir mal mit dem einfachsten an:

Einstellungen und Dateien eines Benutzers auf einem zentralen Rechner (oder einem Wechseldatenträger) speichern.

Warum das sinnvoll ist:
Wenn man die Disk Protection einsetzt werden ja standardmässig alle Änderungen auf der Festplatte beim Herunterfahren verworfen. Dadurch würden auch immer alle Dateien, welche der Benutzer unter "Eigene Dateien" speichert, automatisch mit entsorgt (seeehr ungünstig wenn man grade stundenlang an einem Workshop schreibt ).

 

Also müssen wir als erstes mal die Disk Protection vorübergehend deaktivieren, für den entsprechenden User alle Restrictions abschalten und den Rechner neu starten.

 

Dann mit einem Rechtsklick auf "Eigene Dateien" die Eigenschaften aufrufen, und den Ordner auf das gewünschte Laufwerk verlegen (ja, das geht so einfach, da muss man nicht in der Registry rumsuchen , allerdings gilt das immer nur für das gerade aktive Benutzerkonto)

 
Am einfachsten wäre eine andere Partition der Festplatte, es geht aber auch jeder beliebige Wechseldatenträger oder Netzlaufwerke.

 
Nach dem Verschieben der Benutzerkonten (leider muss man sich dazu mit jedem Benutzerkonto einmal anmelden) schaltet man die Disk Protection wieder ein, setzt die Restrictions wieder auf die gewünschten Einstellungen, und voilá: Wir haben einen (oder mehrere) gesicherte Benutzer, die trotz Disk Protection Dateien und Systemeinstellungen (sofern wir das erlaubt haben) speichern können.

Einen Administrator erstellen, der eigentlich keiner ist

Na das hört sich doch unsinnig an oder?
Ist aber mit SteadyState machbar, aber wozu?

 
Das ist relativ einfach erklärt: Wie oft passiert es einem, dass man mit seinem normalen Benutzerkonto an die Grenze kommt, und Programme mit "Ausführen als..." starten muss, oder manchmal sogar den Benutzer wechseln muss um eine bestimmte Anwendung oder z.B ein Browserspiel starten zu können. Oder LAN und Online Games lassen sich nicht zocken wenn man nicht als Admin angemeldet ist (ist bei mir z.B. mit Battlefield1942 so).

 
Hat man sich da nicht schonmal gewünscht man hätte einen "administrativen Normal-Benutzer"?
Das machen wir jetzt mit SteadyState!!

Als erstes wieder wie oben die Disk Protection kurzzeitig deaktivieren.
Dann als Administrator am Rechner anmelden und mit der Benutzerkontensteuerung von XP einen neuen Administrator erstellen. (z.B. "Spieleaccount")

Wenn man nun in SteadyState den Benutzer auswählt, kann man alles das was er nicht können soll einfach abstellen, und hat dann einen Administrator der eben nicht alles kann.

Als nächstes schaltet man die Disk Protection wieder ein und voilá: Wir haben einen Administrator, bei dem es egal ist was während der Rechnernutzung passiert, beim Neustart ist alles wieder weg!!

 

Was in dieser Anleitung nicht drin ist!

Ein paar der Möglichkeiten von SteadyState werde ich hier nicht erklären, weil sie im Normalfall nur in Firmennetzwerken vorkommen.

 
Es ist z.B. möglich Benutzerkonten einer Domäne mit SteadyState zusätzlich zu schützen, damit durch Ausstöpseln des Netzwerkkabels die Gruppenrichtlinien nicht "ausgehebelt" werden können.

 

Es ist ebenfalls möglich, Domänebenutzerkonten auf einzelnen Rechnern mit zusätzlichen Einschränkungen zu versehen.

 

Und man kann auch in SteadyState erstellte Benutzereinschränkungen in ein Active Directory Netzwerk "übertragen".

 
Da aber solche Netzwerke im Hausgebrauch selten zu finden sind (und wenn doch der "Hausherr" auch Ahnung davon hat, sonst hätte er so ein Netzwerk nicht) denke ich würde das den Rahmen doch ein bisschen sprengen  .

 

So, das wars. Viel Spass beim Ausprobieren und etwas sicherer machen!!
(Und immer dran denken, 100% Sicherheit bringt kein Programm, sondern nur sinnvolle Nutzung)

 
Ein grosses Dankeschön geht übrigends an den Moderatorkollegen Funkenzupfer, der mir bei dem Auffinden einiger Menüpunkte geholfen hat .

 

Installation und Ersteinrichtung von Windows SteadyState Teil 1

___________________________________________________
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille

Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.