Windows SteadyState Teil 2

so da bin ich wieder... jetzt klappts mit den i-net seiten aber ii sind die hässlich kein java oder active x oder wie das heißt tut mir leid ich hab da nicht so die ahnung aber auf jeden fall sind überall dort wo bilder oder sowas sind kleine x´e
ich habe schon alles ausgemacht bei stady state nur das kreuz wegen der internetseiten hab ich gelassen aber es bleibt "hässlich"
vielen dank schonmal

Hallo, das finde ich ja prima, das der Artikel und unsere Hilfe Dich animiert hat bei uns Mitglied zu werden!!

Also erstmal ein ganz Herzliches Willkommen hier im Forum!!!

Leider kann man an der "hässlichen" Erscheinung der Internetseiten nicht viel ändern, das hängt eben mit der Blockierung sämtlicher evtl. schädlicher Inhalte.

Man kann das zwar wegkriegen, da das aber mit dermassen vielen einzelnen Einstellungen zusammenhängt, habe ich bis jetzt auch noch nicht genau rausbekommen, wie man das macht. (mal ging das eine, mal das andere )
Aber das ist etwas was (mir zumindest) ziemlich Spass gemacht hat beim Erstellen des Artikels, wenn man einfach mal ausprobiert was alles möglich ist. (wie im Artikel beschrieben ist es sogar möglich alles ausser dem InetExplorer komplett auszublenden)

Ich muss aber ganz ehrlich sagen, für ein sicheres System (trotz Windows!!) kann man das ja fast alles in Kauf nehmen.

Windows Steady State ist ja auch eigentlich wirklich nur für "geteilte" Rechner gedacht, wo man wirklich viele extrem abgesicherte Einstellunge braucht.
Aber wenn man etwas Arbeit investiert ist es ein sehr interessantes und vielseitiges Tool (und es gibt es sogar umsonst, obwohl es von MS ist!!)

Hallo Jens,

zu 1.

Also die Disk Protection reserviert sich im Normalfalle bis zu 50% der Systempartition.

Da aber bei deiner FP gar nicht mehr so viel Platz frei ist wird es deswegen nicht gehen.

ABER Du brauchst keine extra Partition einrichten (das klappt nämlich eh nicht) und auch einen unpartitionierten Bereich braucht man nicht, die WDP nimmt den Platz von der Systempartition (soweit vorhanden)

zu 2.

Die Erstellung der Ordner auf C: wird unter Computer Restrictions eingestellt;
das Ändern des PW´s kann nur verhindert werden wenn unter General Restriction das Ändern verboten wird UND in den Startmenu Restrictions die Anzeige der Systemsteuerung ausgeblendet wird.

(Steht aber auch im Workshop, vll mal genau durchlesen )

Also, wenn man im "locked Profile" Änderungen zulässt, dann sind die erstmal da. (Man hat sie ja zugelassen :D)

Bei normalen Systemeinstellungen (Bildschirmschoner, Auflösung,...) werden diese Änderungen auch ganz normal zurückgenommen (dafür ist die WDP nicht notwendig)

Bei Passwörten verhält sich das etwas anders, das sind ja keine Systemeinstellungen in diesem Sinne, sondern spezielle Einstellungen zum Benutzerkonto, die muss man dann auch explizit verbieten.(deshalb ist das "Locked Profile auch nicht ganz so sicher wie die WDP, es gibt da nämlich noch 1-2 Einstellungen, die nicht zurückgenommen werden. Das ist übrigends Absicht, um z.B. zu verhindern dass sich der Nutzer nicht mehr einloggen kann)

Ausserdem kommt es auch darauf an, in welcher Rubrik die Einschränkung steht.
Der Punkt mit den Ordnern auf C: steht z.B. unter Computer Restrictions, hat also mit dem einzelnen Benutzer nichts zu tun.
(wird also auch global behandelt, nicht benutzerspezifisch).

Wenn Du den Rechner also für bestimmte Benutzer wirklich sicher machen willst, geht das nur mit aktiver WDP und entsprechender Restr.

Leider kann SteadyState noch nicht für den Admin denken, wenn also widersprüchliche Einstellungen gemacht werden, wird SteadyState diese (meistens) einfach ignorieren, statt das Risiko einzugehen, dass man sich selbst komplett "aussperrt".

Kleiner Tipp am Rande: Erstelle Dir einen Testuser, damit sich die Einstellungen testen lassen, erspart einem ein Haufen Sucharbeit, wenn man mal zuviel verboten hat. Den Testuser zu löschen und neu anzulegen ist meist einfacher als die ganzen Einstellungen von Hand zurückzusetzen.
Wenn dann alles wie gewünscht funktioniert kann man die Einstellungen im eigentlichen Konto dann ja anpassen wie getestet.

Da habe ich jetzt so at-hock auch keine Antwort parat

Ich werde aber mal versuchen den Fehler zu reproduzieren (sowas hatte ich bisher noch nicht ?!?)

Also mal ein paar Fragen vorweg:

Hast Du zum defragmentieren die Disk Protection deaktiviert??
(das mal bitte als erste probieren)

Auch nach dem Zurücknehmen aller Einstellungen in SteadyState kannst Du nicht mehr defragmentieren?

Gilt das nur für den Admin, oder auch für alle anderen Benutzer?

Hattest Du für den Admin auch Einschränkungen in SteadyState eingestellt? Wenn ja evtl den Zugriff auf die Systemsteurung eingeschränkt?

Also ich habe versucht diesen Fehler nachzustellen, aber es gelingt mir nicht!!

Bitte deinstalliere mal Steady State, damit wir sicher sein können, dass das Problem wirklich von SteadyState herrührt.
(ich konnte nämlich auch nirgends einen Eintrag im SteadyState finden, der das verhindern würde)

Ansonsten müssen wir uns nämlich mal durch die Gruppenrichtlinien durchwühlen, um herauszufinden wo der Fehler liegt

Zitat

Das Problem scheinte sich durch die Disk Protection manifestiert zu haben?

Ja-Nein, also jein.

Die Disk Protection schützt ja nur den Inhalt der Festplatte (und somit logischerweise auch die Registry)

Wenn also irgendwie die Registry nicht ganz funzt, bzw dort falsche Einträge sind, dann schützt die Disk Protection die eben auch.

Also scheint vor Einschalten der DP die Registry verhunzt worden zu sein.

Also die beste Empfehlung die ich zu Steady State machen kann:

Erstmal für ein stabiles und ordentliches BS sorgen.
Dieses dann mit einem Backup Programm wie Acronis True Image sichern und danach erst Steady State installieren.

Mir selbst ist es auch schon passiert, das ich mich mit Steady State komplett ausgesperrt hatte, da hilft dann manchmal nur ein Rückspielen des Backups.

Also zur ersten Frage:

Zitat

Kann ich auch die Benutzer von einem Active Directory Netzwerk bzw. nem andern lokalen Netzwerk ins WSS einfügen?

Da ich leider zuhause kein AD oder Domain Netzwerk habe, kann ich das nicht ganz genau sagen/testen, aber eigentlich sollte WSS alle Benutzerkonten die irgendwo in "Dokumente und Einstellungen" gespeichert sind auch erkennen und einbinden können.

Und da ja auch ein Domainkonto dort als Kopie abgelegt wird sollte es ohne Probs klappen ?!

Das einzige was dann allerdings als Problem auftreten kan, ist das WSS nicht alle Gruppenrichtlinien die im AD gemacht wurden korrekt übernimmt, weil es die nicht unterstützt. Das ist prinzipiell nicht das grosse Problem, angewendet werden die Richtlinien trotzdem, aber direkt in WSS ändern lassen sie sich nicht (weil es die passenden Menüpunkte nicht gibt...)

Wenn ich dazu komme, installiere ich mir am WE mal die Testversion vom Server 2003, und probiere das aus, kann allerdings noch ne Woche dauern

Zur zweiten Frage:

Das ist nicht so einfach zu erklären
Und da es bisher noch nicht so oft gefragt wurde habe ich auch noch keine genaue Anleitung geschrieben, ich werde das aber in den nächsten 2 Wochen mal nachholen, und die dann hier posten.... Ich muss Dich also auch erstmal um etwas Geduld bitten...

Nein, geht beides leider nicht..

Zumindest nicht ohne das Programm umzuschreiben...:D