724006

Profile: Restriktionen mit Poledit

Anforderung

Zeitaufwand

Damit nicht jeder beliebige Benutzer, der sich am Windows-95-Rechner anmeldet, tun und lassen kann, was er will, können Sie über die Systemrichtlinien-Dateien (Policies) Einschränkungen definieren. Was leisten diese mit Poledit errichteten Systemrichtlinien-Dateien in Verbindung mit den Benutzerprofilen?

Mit Hilfe des Systemrichtlinien-Editors Poledit können Sie für einzelne Benutzer oder für Benutzergruppen bestimmte Einschränkungen festlegen. Sie können beispielsweise festlegen, ob ein Benutzer nur ganz bestimmte Programme auf Ihrem Rechner ausführen darf, oder ob Sie ihm nur wenige Dinge verbieten wollen, etwa das Bearbeiten der Registrierdatenbank. Voraussetzung für den Einsatz von Systemrichtlinien ist der Einsatz von Benutzerprofilen. Die von Ihnen festgelegten Beschränkungen werden nämlich über die benutzerspezifischen USER.DAT-Dateien im entsprechenden Profiles-Unterverzeichnis in die Registry eingebunden.Da Systemrichtlinien hauptsächlich für Netzwerke mit Windows-NT-oder Novell-Netware-Servern konzipiert sind, ergeben sich beim Einsatz auf einem Einzelplatzrechner wesentliche Einschränkungen. In einer Netzwerk-Umgebung ist es möglich, den Benutzer zu zwingen, sich am Server anzumelden.Nur in diesem Fall lassen sich sowohl die Systemrichtlinien-Dateien als auch die Benutzerprofile auf dem Anmelde-Server verstauen. Auf einem Einzelplatzrechner befinden sich diese Dateien auf der lokalen Festplatte und müssen erst einmal vor unbefugtem Zugriff geschützt werden. Um einen PC wirksam vor unliebsamen Besuchern abzuschotten, reichen Systemrichtlinien-Dateien allein nicht aus. Es bieten sich vielerlei Möglichkeiten, die mit Hilfe von POLEDIT.EXE festgelegten Einschränkungen zu umgehen.

Die folgenden Punkte sollten Sie hier auf jeden Fall beachten:1. Installieren Sie den Systemrichtlinien-Editor nicht auf der lokalen Festplatte. Das stabilste und sicherste Schloß nutzt nichts, wenn Sie den Schlüssel gleich danebenhängen. Wer Zugriff auf POLEDIT.EXE hat, kann damit bestimmte Richtlinien nicht nur festlegen, sondern auch wieder aufheben. Darüber hinaus gestattet Poledit den direkten Zugriff auf die Registrierdatenbank, selbst wenn das Ausführen von REGEDIT.EXE per Systemrichtlinie untersagt wurde. Starten Sie deswegen den Systemrichtlinien-Editor entweder direkt von der Windows-95-CD, oder kopieren Sie das Verzeichnis Admin/Apptools/Poledit auf eine Diskette oder ein Netzlaufwerk, auf das nur Sie allein zugreifen können.2. Bedenken Sie, daß Benutzerprofile und Systemrichtlinien sowohl im MSDOS-Modus als auch im abgesicherten Modus von Windows 95 außer Kraft gesetzt sind. Gelingt es einem Benutzer also, den Computer in einem dieser Modi zu starten, unterliegt er hier keinerlei Einschränkungen mehr und kann diese auch für den normalen Modus außer Kraft setzen. Weil beim Starten von Windows 95 die Möglichkeit besteht, mittels <F4>, <F5> oder <F8> im abgesicherten oder im MS-DOS-Modus zu booten, müssen Sie diese Funktionstasten deaktivieren. Tragen Sie dazu die ZeileBootKeys= 0im Abschnitt [Options] der versteckten und schreibgeschützten Datei MSDOS.SYS ein. Diese Sicherheitsmaßnahme hat allerdings den Nachteil, daß auch Sie selbst den Windows-Start nicht mehr über Funktionstasten steuern können.3. Schließlich sei darauf hingewiesen, daß sich mit einer bootfähigen Diskette alle oben angeführten Schutzmechanismen umgehen lassen. Wenn Sie auch diese Sicherheitslücke schließen möchten, stellen Sie die Bootsequenz im Bios-Setup auf "C only". Den Zugang zum Bios-Setup sollten Sie natürlich mit einem Kennwort schützen.

PC-WELT Marktplatz

724006