Anwenden von Gruppenrichtlinieneinstellungen auf bestimmte lokale Konten in Windows

17

Ich habe ein eingeschränktes Benutzerkonto erstellt und möchte den Zugriff auf USB- und CD-Laufwerke mithilfe von Gruppenrichtlinieneinstellungen einschränken. Daher möchte ich gpedit.msc verwenden, um Einschränkungen für das eingeschränkte Konto zu erzwingen, den Zugriff auf USB- und CD-Laufwerk zu deaktivieren und zu verhindern, dass das eingeschränkte Konto diese Änderungen ändert. Wie kann ich dies erreichen, ohne andere Konten einzuschränken?

rzlines
quelle

Antworten:

18

In Windows Vista und höher können Sie Richtlinien nur auf ein bestimmtes Konto anwenden, aber Sie müssen den Gruppenrichtlinienobjekt-Editor von der Microsoft Management Console laden, nicht indem Sie das Snapin direkt öffnen.

  1. Öffnen Sie mmc.exe
  2. Wenn die MMC-Konsole geöffnet wird, klicken Sie auf "Datei" -> "Snapin hinzufügen / entfernen".
  3. Wählen Sie "Gruppenrichtlinienobjekt-Editor" und klicken Sie auf die Schaltfläche "Hinzufügen>"
  4. Klicken Sie im angezeigten Dialogfeld auf "Durchsuchen".
  5. Klicken Sie auf die Registerkarte "Benutzer" und wählen Sie einen Benutzer aus.

  6. Klicken Sie auf "OK", dann auf "Fertig stellen" und dann erneut auf "OK"

Sie haben jetzt ein Gruppenrichtlinien-Benutzerobjekt für den ausgewählten Benutzer. Wenden Sie die gewünschten Einschränkungen an. Sie könnten daran interessiert sein, "Diese angegebenen Laufwerke im Arbeitsplatz verstecken" in zu überprüfen User Configuration > Administrative Templates > Windows Components > Windows Explorer.

nhinkle
quelle
1
+1 - Das ist wirklich unglaublich! Ich frage mich, warum MS Benutzer nicht über solche Funktionen aufklärt. Vor allem, weil Windows sehr darauf achtet, alles zu komplizieren :) Wo lernst du solche Dinge? Bücher?
Robinicks
@nhinkle Was ist, wenn ich die gleichen Richtlinien auf mehrere Benutzer auf einem Nicht-Domain-Win7 anwenden möchte? Gibt es eine Möglichkeit, sie zu kopieren?
AJaM
@ Ajam Mir ist kein Weg bekannt, sie zu kopieren. Leider müsste man das für jeden einzelnen Computer machen.
nhinkle
2
Macht mich traurig, wie versteckt das ist. Ich habe eine Weile gebraucht, um eine Lösung zu finden, und ich bin schließlich auf Ihre Antwort gestoßen. Es ist toll, danke!
Brave Newbie
+1: Genau das habe ich auch gebraucht! Ich kann auch nicht glauben, wie versteckt das ist.
John H
2

Sie müssten diese Gruppenrichtlinienänderungen über ein Administratorkonto vornehmen, nicht über das eingeschränkte Konto.

th3dude
quelle
Versucht, aber es gilt für alle Konten. Wie ändere ich nur das eingeschränkte Konto?
Rzlines
Korrigieren Sie mich, wenn ich falsch liege, aber nicht das Gruppenrichtlinienelement zum Deaktivieren des USB-Zugriffs in der Computerkonfiguration? Wenn dies der Fall ist, spielt es keine Rolle, unter welchem ​​Konto Sie die Änderung vornehmen, dies wirkt sich auf alle Benutzer des Computers aus.
dsolimano
Oh! Wenn dies der Fall ist, wie kann ich ein eingeschränktes Benutzerkonto einschränken? Ich möchte das Administratorkonto nicht einschränken, nur das Benutzerkonto ist alles, was ich einschränken möchte
rzlines
@ Rogue, ich habe unten über die USB-Geräte gepostet. Ich werde etwas mehr über die CD-Laufwerke nachdenken und sie bearbeiten, wenn ich etwas herausfinde. Ich habe das Gefühl, hier fehlt mir etwas Offensichtliches.
Dsolimano
1

Zum Einschränken des Zugriffs auf USB-Geräte enthält Microsft einen KB-Artikel zum Verweigern der Berechtigung für bestimmte Dateien - http://support.microsoft.com/kb/823732 . Möglicherweise müssen Sie SYSTEM den Zugriff auf die Dateien für die anderen Konten überlassen, da ein Versuch und Irrtum angebracht ist.

BEARBEITEN-

Es scheint eine ziemlich erschwingliche Software von Drittanbietern zu geben, die das tut, wonach Sie suchen, aber ich habe sie nicht selbst getestet. http://www.devicelock.com/

dsolimano
quelle
0

(Ich poste "eine Antwort", weil ich nicht genug Reputation habe, um dies zu kommentieren. Diese Information ist jedoch wichtig.)

Getestet: Windows 8.1

Die Antwort von nhinkle oben funktioniert gut. Es hindert Sie jedoch nicht daran, eine Eingabeaufforderung zu öffnen und manuell zu den Laufwerken zu navigieren. Wenn Sie eine JPG-Datei auf dem anderen Laufwerk starten, wird der Image Viewer geöffnet.

Sie können die Eingabeaufforderung über "Benutzerkonfiguration \ Administrative Vorlagen \ System" deaktivieren, aber ich habe mit der MMC keine Möglichkeit gefunden, die Eingabeaufforderung zuzulassen, während sie am Navigieren gehindert wird.

Es gibt eine Problemumgehung , indem Sie auf "Sicherheit" "Eigenschaften" (Rechtsklick) des Laufwerks / Stammordners (wie D :) zugreifen, eine dedizierte Zeile für das betreffende Benutzerkonto hinzufügen und "Abgelehnt" "markieren [ x] Total Control "(möglicherweise anders bezeichnet, ich verwende eine Nicht-EN-Windows-Version).

Imifos
quelle
Dies ist wirklich ein Kommentar und keine Antwort auf die ursprüngliche Frage. Wenn Sie einen Autor kritisieren oder um Klärung bitten möchten, hinterlassen Sie einen Kommentar unter seinem Beitrag. Sie können jederzeit Ihre eigenen Beiträge kommentieren. Wenn Sie über eine ausreichende Reputation verfügen, können Sie jeden Beitrag kommentieren .
DavidPostill
Wie gesagt, mir ist das bewusst. Und das ist weder eine Kritik noch eine Bitte. Es ist eine zusätzliche Information, die ich für wichtig hielt. Meine Systeme sind in Ordnung, aber es wäre schade, wenn Leute, die die oben beschriebene Methode anwenden, glauben würden, in Sicherheit zu sein, wenn sie dies nicht tun. Wenn Sie der Meinung sind, dass diese Informationen es nicht wert sind, an der „falschen Stelle“ aufbewahrt zu werden, können Sie sie
jederzeit