Seit über einem Jahr versuchte ich vergeblich eingeschränkten Benutzern von Windows XP Prof. Rechte zu entziehen, ohne dass der Administrator davon negativ beeinflusst wird. Leider ist letzteres nämlich der Fall, wenn man in der Datei <gpedit.msc> irgendwelche Rechte einschränkt. Warum eingeschränkte Rechte standardgemäß auch für einen eigentlich uneingeschränkten Admin gelten, kann ich mir nicht erklären.

Die Idee des Entzuges der Rechte war einfach folgende:
Ich möchte Freunde von mir gern an meinen Computer lassen, ohne mir Sorgen machen zu müssen, dass diese, versehendlich oder nicht, irgend etwas an meinem Rechner verstellen oder sogar kaputt machen. Sie sollen sich lokal anmelden können, ich stelle ihnen ein paar Spiele, Filme u. Musik zur Verfügung aber Dinge wie Systemsteuerung, Anzeige, Netzwerk, etc: Finger weg!!!

Folgendes Vorgehen ist unter Windows XP Professional möglich (unter XP Home geht dies nicht!) und bezieht sich auf das Arbeitsgruppenkonzept. Ich habe es mit dem Domänenkonzept noch nicht probiert.

Also:

1. Als Mitglied der Administratorengruppe anmelden (in meinem Fall einfach als DANNYBOY)

2. Legt nun ein paar eingeschränkte Konten an, denen die Rechte später entzogen werden sollen. (Systemsteuerung > Benutzerkonten > Neues Konto erstellen, ...)

3. Irgendeinen Ordner öffnen: Extras > Ordneroptionen > Ansicht > „Einfache Dateifreigabe (empfohlen)“ deaktivieren. Hierdurch wird die Registerkarte <Sicherheit> bei <Eigenschaften> von Dateien und Verzeichnissen angezeigt.

4. Arbeitsplatz > Rechtsklick > Verwalten > Lokale Benutzer und Gruppen (diesen Punkt gibt es NICHT bei XP Home!!!) > Gruppen > Aktion > Neue Gruppe

5. Gebt der neuen Benutzergruppe nun einen Namen und fügt die eingeschränkten Konten, die ihr im Punkt <2.> erstellt habt, dieser Gruppe hinzu.

6. Start > Ausführen > „gpedit.msc“(gibt’s auch nur unter XP Prof., nicht unter XP Home)

7. Nun in den Gruppenrichtlinien: Benutzerkonfiguration > Administrative Vorlagen

8. In den administrativen Vorlagen könnt ihr nun so ziemlich alles verbieten, was mit Systemsteuerung, Desktop, Bildschirmschoner, Netzwerk, Druckern, Startmenü und Taskleiste, dem System und Ordnerfreigabe zu tun hat. Doch Vorsicht, denn alles, was ihr hier jetzt ändert, hat auch sofortigen Effekt auf das nun angemeldete Administratorkonto. Verbaut Euch jetzt nicht den Weg zu Eurem Arbeitsplatz, denn da müssen wir gleich hin.

9. Versucht mal aus Spass folgendes in den bereits gewählten administrativen Vorlagen: Systemsteuerung > Anzeige > „Symbol Anzeige aus der Systemsteuerung entfernen“ aktivieren. Und nun macht mal auf dem Desktop einen Rechtsklick. Nun solltet ihr nicht mehr in die Anzeige hineinkommen. Nachdem ihr alles so eingeschränkt habt, wie ihr es wolltet, dürftet Ihr jetzt nichts mehr tun können, was ihr gerade eben eingeschränkt habt.

10. So far, so good. Nun öffnet mal mit dem Explorer das Verzeichnis <C:\Windows\system32>. Hier findet ihr den VERSTECKTEN Ordner <GroupPolicy>. (Vorraussetzung ist natürlich ein Einblenden der versteckten Dateien und Ordner). Nun auf <GoupPolicy> rechtsklicken > Eigenschaften > Sicherheit > und nun erfolgt der entscheidende Schritt:

11. Dem aktuellen Konto (bei mir ist das DANNYBOY) den Vollzugriff verweigern, d.h. ihr entzieht dem aktuellen Benutzer alle Lese – und Schreibrechte auf diesen Ordner (und auf die darin enthaltenen ADM.-Dateien für die Verwaltung von Gruppenrichtlinien). Das Einstellungsfenster für Sicherheit NICHT schließen.

12. Das Gleiche solltet ihr ihr jetzt noch für die Gruppe <Administratoren> tun (falls diese Gruppe nicht angezeigt wird, dann müsst ihr sie <hinzufügen>, es sei denn, ihr möchtet dem versteckten Admin-Konto auch Rechte entziehen. Also: Der Gruppe <Administratoren> auch den Vollzugriff auf den Ordner <groupPolicy> verweigern.

13. Alles schließes, aktuelles Konto abmelden.

14. Was geschieht nun? – Die Gruppenrichtlinien und die damit verbundenen, eingeschränkten Rechte werden beim Öffnen eines eingeschränkten Benutzerkontos aus dem Ordner <groupPolicy> geladen und somit korrekt an diese Benutzer verteilt, d.h. deren Rechte sind eingeschränkt. Wenn man sich aber nun wieder als Admin anmeldet, so können diese eingeschränkten Rechte aus <groupPolicy> nicht für den Admin geladen haben, da wir jeglichen Zugriff auf diesen Ordner gesperrt haben. Tja, und da keine Einschränkungen für den Admin geladen werden konnten, erteilt das Betriebssystem ihm eben einen Vollzugriff (so wie sich das für den Admin gehört). Wir haben uns also durch eine Einschränkung mehr Rechte verschaffen können.

Sonstige Hinweise:
Für jeden weiteren Benutzer, der von den eingeschränkten Rechten nicht beeinflusst werden soll, müssen auch einfach die Rechte auf das Verzeichnis <GroupPolicy> entzogen werden. Wundert Euch nicht, wenn ihr nun versucht mit dem Admin die Datei „gpedit.msc“ zu öffnen und der Zugriff verweigert ist. Ihr müsst dann einfach dem Admin die Rechte auf <GroupPolicy> während der Bearbeitung des Gruppenrichtlinieneditors geben, damit der Editor die Rechte der ADM.-Dateien lesen kann. Wie es mit unterschiedlichen Rechten zwischen eingeschränkten Konten aussieht, weiss ich noch nicht. Bin aber bereits dabei, dies zu erörtern. Mir war es erst mal wichtig, dass ich eine eingeschränkte Benutzergruppe habe, der ich Rechte entziehe und einen Admin, der alles darf. Viel Spass.

Check this out.

DANNYBOY