Windows SteadyState Teil 2
Jetzt wollen wir uns mal mit den genauen Optionen der User Settings beschäftigen.
Inhaltsverzeichnis
- Start Menu Restrictions
- General Restrictions
- Internet Explorer Restrictions
- Menu Options
- Toolbar Options (blendet u.a. Einträge in der Symbol- und der Menüleiste aus)
- Microsoft Office Restrictions
- Möglichkeiten für fortgeschrittene Administratoren
- Einstellungen und Dateien eines Benutzers auf einem zentralen Rechner (oder einem Wechseldatenträger) speichern.
- Einen Administrator erstellen, der eigentlich keiner ist
- Was in dieser Anleitung nicht drin ist
Da fällt die Wahl natürlich schwer (vor allem da es das Programm bisher nur auf englisch gibt!)
Was unter User Settings -> Windows Restrictions eingestellt werden kann:
Klick öffnet Liste als .pdf
Start Menu Restrictions
- Prevent right-click in the Start Menu
Verhindert den Rechtsklick (also den Aufruf des Kontextmenüs) im Startmenü
- Allow only the Classic Start Menu
Es wird nur das klassische Startmenü angezeigt
- Remove the Control Panel, Printer and Network Settings from Start Menu
Entfernt die Systemsteuerung, die Drucker und die Netzwerkeinstellungen aus dem Startmenü
- Remove the My Documents icon
Entfernt den Startmenüpunkt "Eigene Dateien"
- Remove the My Recent Documents icon
Entfernt den Startmenüeintrag "Zuletzt verwendete Dokumente"
- Remove the my Pictures icon
Entfernt den Startmenüpunkt "Eigene Bilder"
- Remove the My Music icon
Entfernt den Startmenüpunkt "Eigene Musik"
- Remove the Favorites icon
Entfernt den Startmenüeintrag "Favoriten"
- Remove the My Network Places icon
Entfernt den Startmenüeintrag "Netzwerkumgebung"
- Remove the Frequently used Programs list
Entfernt die "Liste" der am meisten benutzten Programme (wird normalerweise links im Startmenü angezeigt)
- Prevent programs in the All Users folder from My Computer
verhindert die Anzeige der Programme aus All Users im Startmenü (es werden also nur die Programme aus dem aktuellen Benutzerprofil angezeigt)
- Remove the Control Panel icon
Entfernt das Systemsteuerungs Icon aus dem Startmenü
- Remove the Set Program Access and Defaults icon
Entfernt den Startmenüpunkt "Programzugriff und -standards"
- Remove the Connections (Connect to) icon
Entfernt den Startmenüpunkt "Verbinden mit..."
- Remove the Printers and Faxes icon
Entfernt den Startmenüpunkt "Drucker und Faxgeräte"
- Remove the Search icon
Entfernt den Startmenüpunkt Suchen...
- Remove the Run icon
Entfernt den Startmenüpunkt Ausführen
- Remove the Shut down button
Entfernt den Herunterfahren Button aus dem Startmenü - Remove the Help and Support icon
Entfernt den Startmenüpunkt Hilfe und Support
General Restrictions
- Prevent right-click in Windows Explorer
Verhindert den Aufruf des Kontextmenüs durch Rechtsklick
- Prevent AutoPlay on CD,DVD and USB drives
Verhindert den Autostart von CD´s und Wechseldatenträgern
- Prevent access to Windows Explorer features: Folder Options, Customize Toolbar and the My Documents folder
Verhindert das auf die Ordneroptionen, den Kontextmenüeintrag (Symbolleiste) Anpassen... und die Eigenen Dateien zugegriffen werden kann
- Prevent access to the Taskbar
Verhindert den Zugriff auf die Taskleiste
- Prevent access to the command prompt
Verhindert den Zugriff auf die Eingabeaufforderung
- Prevent access to the registry editor
Verhindert den Zugriff auf den Registrierungseditor
- Prevent access to the Task Manager
Verhindert den Aufruf des Taskmanagers
- Prevent access to the Microsoft Managment Console utilities
Verhindert den Zugriff auf die Management Konsole (Ausführen -> mmc) mit der Sicherheits und Computereinstellungen geändert werden können
- Prevent users from adding or removing Printers
Verhindert, dass der Benutzer Drucker installieren oder deinstallieren kann
- Prevent users from locking the computer
Verhindert dass der angemeldete Benutzer den Computer sperrt
- Prevent password changes (also requires the Control Panel icon to be removed)
Verhindert das Ändern des Passwortes (geht nur wenn das Systemsteuerungsicon ausgeblendet ist)
- Remove CD and DVD burning features
Entfernt den Zugriff auf die windowsinternen Brennfunktionen
- Disable keyboard shortcuts that use the Windows Logo Key
Schaltet Tastenkombinationen mit der Windowstaste ab (z.B. Win+E)
- Allow only programs in the Program files and Windows folders to run
Nur Programme die im Windows oder Programme Ordner sind dürfen ausgeführt werden
- Disable System Tools and other management programs
Soll verhindern, dass Tuning und Optimierungstools auf Systemeinstellungen zugreifen können
- Disable Notepad and Wordpad
Schaltet Notepad und Wordpad aus (dadurch können keine Batchdateien geändert werden)
- Remove the Recycle Bin icon
Entfernt den Papierkorb vom Desktop
- Prevent users from saving files to the desktop
Verhindert dass Benutzer Dateien auf den Desktop speichern können
So, jetzt die dritte Seite der User Settings
Was unter User Settings -> Feature Restrictions eingestellt werden kann:
Klick öffnet Liste als .pdf
Internet Explorer Restrictions
- Prevent Internet access (except Web sites below)
Verhindert den Zugriff auf das Internet (ausser den unten freigegebenen Seiten)
- Prevent right-click in Internet Explorer
Verhindert den Aufruf des Kontextmenüs im Internetexplorer durch Rechtsklick
- Prevent printing
Verhindert das Ausdrucken aus dem Internetexplorer
- Do not allow access to Favorites
Verhindert den Zugriff auf die Favoriten
- Disable AutoComplete
Schaltet AutoVervollständigen ab - Empty the Temporary Internet Files folder when Internet Explorer is closed
Leert den Ordner Temporary Internet Files wenn der Internetexplorer geschlossen wird
Menu Options
- Remove View Source
Entfernt den Menüpunkt Quellcode anzeigen
- Remove Find Files
Entfernt Bearbeiten -> Auf dieser Seite suchen...
- Remove Theater Mode
Verhindert den Vollbildmodus
- Remove Help Menu
Entfernt die Hilfe (das ?) aus der Menüleiste
- Remove Browser Options
Blendet die Internetoptionen aus
- Remove Expanded New Menu
Entfernt den Menüpunkt Datei -> Neu... (es werden alle unter Neu > zu findenden Punkte ausgeblendet)
- Remove General Tab in Internet Options
Entfernt die Registerkarte "Allgemein" unter Extras -> Internetoptionen
- Remove Security Tab in Internet Options
Entfernt die Registerkarte "Sicherheit" unter Extras -> Internetoptionen
- Remove Privacy Tab in Internet Options
Entfernt die Registerkarte "Datenschutz" unter Extras -> Internetoptionen
- Remove Content Tab in Internet Options
Entfernt die Registerkarte "Inhalte" unter Extras -> Internetoptionen
- Remove Programs Tab in Internet Options
Entfernt die Registerkarte "Programme" unter Extras -> Internetoptionen
- Remove Advanced Tab in Internet Options
Entfernt die Registerkarte "Erweitert" unter Extras -> Internetoptionen - Remove New Window Menu Option
Entfernt den Kontextmenüeintrag "In neuem Fenster öffnen"
Toolbar Options (blendet u.a. Einträge in der Symbol- und der Menüleiste aus)
- Search
Suchen
- Folders
Ordner
- Edit
Bearbeiten
- Discussions
Diskussion
- Encoding
Codierung
- Size
Größe
- Full Screen
Vollbild
- Media
Medien Symbolleiste
- Print
Drucken
- History
Verlauf
- Tools
Extras - Third Party Extension Buttons
Entfernt die Buttons von Zusatzprogrammen (z.B. Flashget
Microsoft Office Restrictions
- Prevent use of Visual Basic for Applications (VBA) in Office 2007/2003/XP
Verhindert die Ausführung von VisualBasic Skripten in Office Dokumenten
- Disable macro shortcut keys
Sperrt die Erstellung und Nutzung von Tastenkombinationen für Makros
- Disable Macro menu items in the Tools menus
Blendet den gesamten Menüpunkt "Makros" im Menü Extras aus
- Disable Add-ins menu items in the Tools menus
Blendet den Menüpunkt "Vorlagen und Add-ins" im Menü Extras aus
- Disable the Web toolbar in Office programs
Blendet die Web-Toolbar in Office aus
- Disable the Detect and Repair command in the Help menu
Blendet den Menüpunkt "erkennen und Reparieren" im Hilfemenü aus
- Prevent changes to Clip Organizer contents in Office 2007/2003/XP
Verhindert dass Inhalte der Zwischenablage geändert werden können.
So nachdem wir nun die Einstellungen der User Settings genauer kennen, kommt jetzt noch was für die Fortgeschrittenen:
Möglichkeiten für fortgeschrittene Administratore
Warum genau Microsoft das so betitelt hat weiss ich nicht genau, vielleicht weil es nur geht wenn man ein Netzwerk hat?
Was kann SteadyState noch:
Es kann die eingerichteten Benutzerprofile mit den XP Benutzerprofilen "verbinden" und auf einen Server "lagern".
Also ähnlich der zentralen Benutzerverwaltung eines Domänen-Netzwerks dem einzelnen Benutzer auf jedem Rechner des Netzwerks die gleichen Desktopeinstellungen und Sicherheitsrichtlinien auf allen Rechner zur Verfügung stellen.
Fangen wir mal mit dem einfachsten an:
Einstellungen und Dateien eines Benutzers auf einem zentralen Rechner (oder einem Wechseldatenträger) speichern.
Warum das sinnvoll ist:
Wenn man die Disk Protection einsetzt werden ja standardmässig alle Änderungen auf der Festplatte beim Herunterfahren verworfen. Dadurch würden auch immer alle Dateien, welche der Benutzer unter "Eigene Dateien" speichert, automatisch mit entsorgt (seeehr ungünstig wenn man grade stundenlang an einem Workshop schreibt ).
Also müssen wir als erstes mal die Disk Protection vorübergehend deaktivieren, für den entsprechenden User alle Restrictions abschalten und den Rechner neu starten.
Dann mit einem Rechtsklick auf "Eigene Dateien" die Eigenschaften aufrufen, und den Ordner auf das gewünschte Laufwerk verlegen (ja, das geht so einfach, da muss man nicht in der Registry rumsuchen , allerdings gilt das immer nur für das gerade aktive Benutzerkonto)
Am einfachsten wäre eine andere Partition der Festplatte, es geht aber auch jeder beliebige Wechseldatenträger oder Netzlaufwerke.
Nach dem Verschieben der Benutzerkonten (leider muss man sich dazu mit jedem Benutzerkonto einmal anmelden) schaltet man die Disk Protection wieder ein, setzt die Restrictions wieder auf die gewünschten Einstellungen, und voilá: Wir haben einen (oder mehrere) gesicherte Benutzer, die trotz Disk Protection Dateien und Systemeinstellungen (sofern wir das erlaubt haben) speichern können.
Einen Administrator erstellen, der eigentlich keiner ist
Na das hört sich doch unsinnig an oder?
Ist aber mit SteadyState machbar, aber wozu?
Das ist relativ einfach erklärt: Wie oft passiert es einem, dass man mit seinem normalen Benutzerkonto an die Grenze kommt, und Programme mit "Ausführen als..." starten muss, oder manchmal sogar den Benutzer wechseln muss um eine bestimmte Anwendung oder z.B ein Browserspiel starten zu können. Oder LAN und Online Games lassen sich nicht zocken wenn man nicht als Admin angemeldet ist (ist bei mir z.B. mit Battlefield1942 so).
Hat man sich da nicht schonmal gewünscht man hätte einen "administrativen Normal-Benutzer"?
Das machen wir jetzt mit SteadyState!!
Als erstes wieder wie oben die Disk Protection kurzzeitig deaktivieren.
Dann als Administrator am Rechner anmelden und mit der Benutzerkontensteuerung von XP einen neuen Administrator erstellen. (z.B. "Spieleaccount")
Wenn man nun in SteadyState den Benutzer auswählt, kann man alles das was er nicht können soll einfach abstellen, und hat dann einen Administrator der eben nicht alles kann.
Als nächstes schaltet man die Disk Protection wieder ein und voilá: Wir haben einen Administrator, bei dem es egal ist was während der Rechnernutzung passiert, beim Neustart ist alles wieder weg!!
Was in dieser Anleitung nicht drin ist!
Ein paar der Möglichkeiten von SteadyState werde ich hier nicht erklären, weil sie im Normalfall nur in Firmennetzwerken vorkommen.
Es ist z.B. möglich Benutzerkonten einer Domäne mit SteadyState zusätzlich zu schützen, damit durch Ausstöpseln des Netzwerkkabels die Gruppenrichtlinien nicht "ausgehebelt" werden können.
Es ist ebenfalls möglich, Domänebenutzerkonten auf einzelnen Rechnern mit zusätzlichen Einschränkungen zu versehen.
Und man kann auch in SteadyState erstellte Benutzereinschränkungen in ein Active Directory Netzwerk "übertragen".
Da aber solche Netzwerke im Hausgebrauch selten zu finden sind (und wenn doch der "Hausherr" auch Ahnung davon hat, sonst hätte er so ein Netzwerk nicht) denke ich würde das den Rahmen doch ein bisschen sprengen .
So, das wars. Viel Spass beim Ausprobieren und etwas sicherer machen!!
(Und immer dran denken, 100% Sicherheit bringt kein Programm, sondern nur sinnvolle Nutzung)
Ein grosses Dankeschön geht übrigends an den Moderatorkollegen Funkenzupfer, der mir bei dem Auffinden einiger Menüpunkte geholfen hat .
Installation und Ersteinrichtung von Windows SteadyState Teil 1
Transparenz: | In diesem Artikel sind moeglicherweise Partnerlinks enthalten. Diese fuehren direkt zum Anbieter. Kommt darueber ein Einkauf zustande, erhalten wir eine Provision. Mehrkosten entstehen dadurch fuer euch nicht! Diese Links helfen uns den Betrieb von win-tipps-tweaks.de zu refinanzieren. |
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille
Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.