Ich habe einen Windows 7-Computer mit zwei Benutzern. Einer davon ist Administrator, der andere ist ein eingeschränkter Benutzer.
Eingeschränkter Benutzer sollte Zugriff auf das Internet haben, aber keinen Zugriff auf Netzwerkfreigaben von Computern im LAN. Am besten ist es, wenn er gar nicht sieht, dass sich Computer und Arbeitsgruppen im LAN befinden.
Der Administratorbenutzer sollte normalen Zugriff auf das Internet und LAN haben.
Wie kann ich das erreichen?
BEARBEITEN:
Ich kann andere Computer im LAN nicht steuern.
Glauben Sie, dass es ausreichen könnte, die Heimnetzgruppe auf diesem Computer zu belassen?
Antwort1
Es könnte durchaus bessere Lösungen geben. Aber hier ist eine:
- Geben Sie diesem Benutzer keine Berechtigungen für Ihre Freigaben oder verweigern Sie ihm diese sogar ausdrücklich
- Deaktivieren Sie den Computerbrowserdienst für diesen Benutzer. Ein wirklich primitiver Ansatz wäre, ihn auf „Deaktiviert“ zu setzen. Da Sie Administrator sein müssen, um ihn zu aktivieren, können Sie dies selbst tun, Ihr Benutzer jedoch nicht. Ein anderer Ansatz wäre ein Anmelde-/Abmeldeskript, das dies erledigt.
Antwort2
Die Antwort darauf ist viel umfassender, als Sie vielleicht erwarten, und besteht aus vielen variablen Teilen.
Zunächst müssen Sie das Wissen Ihres „Benutzers“ berücksichtigen. Wenn ein sehr erfahrener Benutzer (oder Hacker) am Computer sitzen kann, gibt es nur sehr wenig, was er nicht tun kann. Ein technisch versierter Benutzer weiß vielleicht, wie er direkt auf Freigaben zugreift, kann aber wahrscheinlich nicht viel mehr tun, wenn ihm eine einfache „Zugriff verweigert“-Meldung angezeigt wird. Ein typischer Benutzer weiß nicht, wie er auf eine Netzwerkfreigabe zugreift, es sei denn, es gibt eine Verknüpfung dafür.
Was meinen Sie mit „Netzwerkfreigaben“? Sprechen Sie von einer tatsächlichen „Windows-Netzwerkfreigabe“ auf einem separaten Windows-Server? Wenn ja, legen Sie einfach Berechtigungen fest, um Benutzer nach Belieben zuzulassen/einzuschränken. Als allgemeine Regel gilt: Wenn ein Benutzer keine Berechtigungen für eine Netzwerkfreigabe hat, kann er nicht darauf zugreifen. Beim Durchsuchen von \some-server\share wird eine freundliche Anmeldeaufforderung angezeigt, die einen Benutzernamen/ein Passwort erfordert (wenn er nicht bei einer Domäne angemeldet ist) oder einfach eine „Zugriff verweigert“-Meldung (wenn er bei einer Domäne angemeldet ist und keine Berechtigungen hat). Dem Administrator könnten Berechtigungen zugewiesen werden, um ihm alles zu geben, was er braucht. Was das „Verbergen“ betrifft … dies hängt von den Fähigkeiten des Benutzers ab. Sie können Netzwerkverbindungen nicht nach Benutzer filtern, sondern nur nach IP-Adresse, Port oder anderen „Netzwerk“-Attributen. Sobald die Netzwerkverbindung hergestellt ist, sind Sie der Anwendungsschicht ausgeliefert, um die Sicherheit aufrechtzuerhalten. Leider gibt es keine Möglichkeit, ein Gruppenrichtlinienobjekt auf Firewall-Regeln pro Benutzer anzuwenden.
Wenn Sie das „Erscheinungsbild“ von Netzwerkfreigaben einschränken möchten, können Sie mit Gruppenrichtlinien, die die Anzeige verschiedener Netzwerkfreigaben verdecken oder einschränken können, einiges tun. Diese Diskussion kann jedoch ziemlich langwierig werden und sollte wirklich nicht auf die leichte Schulter genommen werden.
Wenn Sie über eine Netzwerkfreigabe auf einem „Home-Grade“-Gerät (Router? NAS? ???) mit einem teilweise implementierten SMB-Stack sprechen, sind Sie wirklich auf die Gnade des Herstellers angewiesen. Wenn kein Benutzername/Passwort abgefragt wird, können Sie nicht viel tun.
Wenn Sie von etwas anderem sprechen, benötigen wir weitere Informationen.