Systemsteuerung sperren mit Gruppenrichtlinien

Systemsteuerung sperren mit Gruppenrichtlinien

1. Systemsteuerung sperren mit Gruppenrichtlinien

Um Benutzern das Leben so angenehm wie möglich zu machen, wollen wir die Systemsteuerung sperren mit Gruppenrichtlinien, die „Geräte und Drucker“ aber verfügbar machen. Im Klartext soll ihnen die Systemsteuerung mittels Gruppenrichtlinie (GPO) komplett gesperrt werden, der Zugriff auf „Geräte und Drucker“ aber möglich sein. Dazu braucht es einen Weg, um das Geräte und Drucker CPL trotz genereller Sperre aufzurufen.

Im Gruppenrichtlinien Editor wird eine Gruppenrichtlinie erstellt und an passender Stelle (Users-OU) verlinkt. Mit einem tollen Namen versehen, z.B. „Systemsteuerung blocken, Drucker erlauben“, wird im ersten Schritt eine „Deny all“-Richtlinie erzeugt. In der Benutzerkonfiguration unter

  • Richtlinien > Administrative Vorlagen > Systemsteuerung >
    • Zugriff auf Systemsteuerung und PC-Einstellungen nicht zulassen: aktiviert

Damit erzeugt man beim Benutzer eine vielsagende Fehlermeldung, sobald die neue Gruppenrichtlinie zieht und der Benutzer versucht sich in schwierigkeiten zu bringen:

Fehlermeldung Systermsteuerung sperren

2. Geräte und Drucker freigeben mit Gruppenrichtlinien

Im zweiten Schritt soll „Geräte und Drucker“ wieder freigegeben werden. Ebenfalls unter Benutzerkonfiguration

  • Richtlinien > Administrative Vorlagen > Systemsteuerung >
    • Nur angegebene Systemsteuerungssymbole anzeigen: aktiviert
    • Liste der zugelassenen Systemsteuerungssymbole: Microsoft.DevicesAndPrinters

Um den Zugriff zu ermöglichen braucht es jetzt noch einer Verknüfung, denn der direkte Weg über die Systemsteuerung ist ja geschlossen.

  • Einstellungen > Windows-Einstellungen > Verknüpfungen

Verknüpfung auf Geräte und Drucker

Wenn der Zugriff wieder freigegen ist, wird schließlich und letztendlich noch das Hinzufügen neuer Drucker ausgeschlossen. Das passiert an der fast gleichen Stelle wie das Freigeben des „Geräte und Drucker“ CPLs.

  • Richtlinien > Administrative Vorlagen > Systemsteuerung > Drucker >
    • Netzwerk nach Druckernabsuchen: deaktiviert
    • Webseites nach Druckern absuchen: deaktiviert
    • Hinzufügen von Druckern verhindern: aktiviert

Das Ergebnis kann sich sehen lassen. Alle Versuche die Systemsteuerungen aufzurufen, auch aus dem „Geräte und Drucker“-Bereich des Explorers scheitern. Die Drucker sind aber da und können zum Beispiel als Standarddrucker festgelegt werden.

Systemsteuerung sperren, Drucker erlauben

 

Eine komplette Liste der kanonischen Namen für die Systemsteuerungselement findet man im MSDN von Microsoft. Damit lassen sich weitere Elemente freigeben.