Forums Neueste Beiträge
 

RestrictRun beim Abmelden eines Benutzers setzen

07/12/2008 - 15:17 von Walter Moehring | Report spam
Hallo NG,

Infrastruktur.
Terminalserver 2003
Windows 2003 Domàne
Domànenbenutzer
Abgeschottete Benutzerumgebung mit GPOs

ich habe folgendes Problem: In einer Schule wird Schuladmin genutzt um
Benutzer zu beschrànken, unter anderen wird mit RestrictRun eine Liste der
erlaubten Anwendungen gesetzt. Ziel ist es jetzt, wenn der Benutzer sich vom
System abmeldet, restrictRun gelöscht oder auf 0 gesetzt wird, damit die
Schüler wieder alle Applikationen nutzen können. Über Schuladmin können und
wollen wir das nicht lösen.
Die Benutzer haben kein Recht zum Bearbeiten der Registry (per GPO
verboten).
Meine Versuche bisher mit einem Abmeldeskript Berechtigungen zu setzen oder
den Regkey zu löschen, schlugen bisher fehl.
Hat einer von Euch eine Idee mit einem konkreten Lösungsansatz?

Danke und Gruß Walter
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
07/12/2008 - 23:41 | Warnen spam
Hi,

Walter Moehring schrieb:
[...] Ziel ist es jetzt, wenn der Benutzer sich vom
System abmeldet, restrictRun gelöscht oder auf 0 gesetzt wird, damit die
Schüler wieder alle Applikationen nutzen können.



Wozu soll es gut sein, die Werte wieder zu löschen?

Meine Versuche bisher mit einem Abmeldeskript Berechtigungen zu setzen oder
den Regkey zu löschen, schlugen bisher fehl.



Das geht nicht.

Du hast als 2 unterschiedliche Vorraussetzungen/Ziele
1. eingeschrànkte Benutzer
2. weniger eingeschrànkte Benutzer

Dasraus ergibt sich logischerweise, daß das nicht ein und dieselbe
Benutzergruppe sein kann. Das ist in keinem System so vorgesehen.

Also:
mindestens 2 Benutzer in 2 getrennten Sicherheitsgruppen und damit auch
2 Gruppenrichtlinien, die für die jeweils eine Sicherheitgruppe übernommen
werden darf.
Unterschiedliche Anmeldungen mit unterschiedlichen KOnten und und
unterschiedlichen GPOs ist die Lösung.

Alles andere ist logisch nicht vertretbar.

Denn entweder darf ein Benutzer etwas oder nicht. Wenn du es ihm im Script
"reinfummelst" daß in seinem eigenen Sicherheitskontext làuft, dann kann er
das auch wàhrend der Sitzung machen, das wàre kein Unterschied. Also /darf/
das garnicht gehen, was du versuchst.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen