Eingeschränkter User Lokal anmelden - nur zum "Herunterfahren"

06/05/2008 - 12:09 von Jens Vornkahl | Report spam
Hallo,

Wir haben in einer „Schulungseinrichtung“ einen Win2000 Server mit den
aktuellen Patch und SP, den wir übernehmen sollen.
Diese Server wird, da zwischen den Kursen z.T. Tage oder Wochen liegen, nach
Kursende Heruntergefahren werden.
Dieser Server soll von uns so eingerichtet werden, daß der „Dozent“ am
Server folgendes ausführen darf:
* starten des Server
* Anmelden ( vorzugsweise „Autologin“ ) am Server
* KEINE Installation oder Verànderung an den Rechten
* keine Installation oder ànderung an der Hardware
* !! Herunterfahren des Servers nach Kursende !! ( s. Anmelden am System )
!! Der Dozent ( z.T. Mitarbeiter anderer EDV-Dienstleister ) darf keine
Optionen haben Software oder Tools auf den Server zu bringen.
( Der Server wurde in der Vergangenheit jàhrlich 3-4 mal neu aufgesetzt,
da div. „ Hilfsmittel“ bishin zu ungewünschter „Fernwartung“ u.s.w. auf dem
Server installiert wurden. )
Wir stellen uns vor den Server analog zum „ KIOSK-PC“ für den Benutzer
„Dozent“ anzupassen.
Bisher habe ich in den NEWS keine Option gefunden, mit der dem User Dozent (
ohne Rechte ) das Anmelden am Server erlaubt werden darf
und dennoch alle anderen Rechte verboten werden können.
Ich würde mich freuen, wenn Sie uns dabei unterstützen könnten.

Vielen Dank im Voraus

Jens Vornkahl
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
06/05/2008 - 16:09 | Warnen spam
Moin,

Jens Vornkahl schrieb:
Dieser Server soll von uns so eingerichtet werden, daß der „Dozent“ am
Server folgendes ausführen darf:



was du vorhast, ist nachvollziehbar, aber nicht möglich.

* starten des Server



Ja. Okay. Darf jeder, es sei denn, du verschließt den Zugang zum
Netzschalter.

* Anmelden ( vorzugsweise „Autologin“ ) am Server



Autologin ist eine /ganz/ schlechte Idee. Ansonsten: Benutzerrecht in
der Gruppenrichtlinie.

* KEINE Installation oder Verànderung an den Rechten



Hm. Jein. Siehe unten.

* !! Herunterfahren des Servers nach Kursende !! ( s. Anmelden am System )



Das kannst du per Benutzerrecht setzen.

!! Der Dozent ( z.T. Mitarbeiter anderer EDV-Dienstleister ) darf keine
Optionen haben Software oder Tools auf den Server zu bringen.



Das wirst du nicht hinkriegen. Die Installation komplexer Software
kannst du verhindern, wenn der User keine Adminrechte hat, denn dann
darf er nicht ins Systemverzeichnis usw. schreiben. Aber: Nicht jede
Software muss installiert werden. Es reicht schon aus, dass eine ganz
normale .exe-Datei gestartet wird. Die muss man im Zweifel nicht mal auf
den Server kopieren. Deine Anforderung làsst sich so also nicht umsetzen.

Was du brauchst, ist ein detailliertes Berechtigungskonzept, damit der
User nichts Kritisches tun kann, was er nicht soll - unabhàngig vom
Werkzeug, das er einsetzt. Nicht ein "Tool" ist das Problem, sondern zu
weitgehende Rechte. Nur Letzteres kannst du beeinflussen.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen