Linux-Schulserver FAQ (häufig gestellte Fragen)

Kategorie: Index -> Windows

Unterkategorien:

Frage(n):




Antwort(en):


Gibt es eine Möglichkeit "Stand-Alone"-Rechner unter Windows so abzusichern, dass nur die Ausführung eines ganz bestimmten Programms (Encarta) erlaubt ist?

Ja. Man kann einem Benutzer als "Shell" das entsprechende Programm zuweisen. Wenn der Rechner hochfährt und der Benutzer automatisch angemeldet wird, dann wird anstelle des Explorers das Programm gestartet. Beendet man das Programm, dann wird der Rechner heruntergefahren.

Vorgehensweise:


  • Neuen Benutzer mit leerem Passwort anlegen, aber noch nicht automatisch anmelden lassen (das kommt später).


  • Dann als dieser Benutzer mit regedit in den Zweig:

    [HKEY_CURRENT_USER/Software/Microsoft/Winnt/CurrentVersion/Winlogon]

    navigieren und dort die Zeichenkette:

    Shell="pfad\zum\programm.exe"

    eintragen. (Neue Zeichenkette mit Namen ''Shell'' (ohne Anführungszeichen) erstellen und dann den Wert "pfad\zum\programm.exe" (ohne Anführungszeichen) eintragen.)


  • Regedit schließen.


  • Jetzt entweder noch den Taskmanager in geheim.exe umbenennen oder ihn einfach mit einem passenden Registry-Eintrag abschalten. Wenn man den Taskmanager wieder benötigt, kann man ihn mit diesem Registry-Eintrag wieder anschalten.


  • Jetzt den Rechner neu starten und sich als Nutzer anmelden. Es sollte das entsprechende Programm gestartet werden. Wenn das funktioniert, dann kann man als Administrator dieses Rechners die automatische Anmeldung für den Nutzer aktivieren.


nach oben



Versuche ich, mich nach der Anmeldung eines Rechners in der Domäne als neuer User anzumelden, so erhalte ich die Fehlermeldung (Win2k, SP4):

"Sie haben keine Berechtigung auf ihr servergespeichertes Profil zuzugreifen, das sich in
\\pdc-server\profiles\name

befindet. Wenden sie sich an ihren Netzwerkadministrator."

Es wird dann das lokale DefaultUser genommen. Änderungen am Profil werden nicht gespeichert.

Einen genauen Grund für dieses Problem gibt es eigentlich nicht. Aber eine Lösung:
Führen Sie dazu das nachfolgende Skript aus:

cd /home/profile; for i in `ls`; do setfacl -R -m u:$i:rwx $i; setfacl -d -m u:$i:rwx $i; echo $i; done


Danach sollte die Anmeldung bei allen Nutzern funktionieren. Da es normalerweise ausreicht, diese Änderung nur an einem einzigen Account vorzunehmen (alle anderen funktionieren danach auch) ist der Grund für dieses Verhalten von Windows leider nicht so ganz nachvollziehbar.

Jedenfalls funktioniert das unter Windows 2k und Windows XP mit allen Service-Packs.

nach oben



 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Und der erste Taxifahrer hiess bekanntlich Schlimmes, denn es steht geschrieben: Schlimmes wird euch widerfahren!

-- anonymous