hi leute!
ich hab mal ne frage...
ich muss im vorfeld sagen das ich nach kurzem stöbern nix im internet gefunden habe und keine ahnung habe wie es gehn soll....
situation ist folgende:
bei meiner freundin die mit ihren eltern und ihrer schwester in einem haus wohnt, ist ein computer... an diesem pc sind konten für jeden bewohner des hauses + für mich(also 5 konton) eingerichtet. alle user sind in der gruppe der admins um nich allzu lang mit gruppenrichtlinien rumzufuschen...
da ich der einzigste dort bin der ahnung von computern hat, will ich das die anderen benutzer nich in verwaltungsbereiche reinkommen bzw zumindest dort nix ändern können. da gestern die schwester meiner freundin in der benutzerverwaltung an ihrem konto rumgefuscht hat hatte ich wieder arbeit, damit nicht wieder so etwas passiert möchte ich erreichen das alle anderen nutzer als ich keinen zugriff auf die benutzerverwaltung haben. das heißt es soll bestenfalls nicht möglich sein über rechte maustaste --> arbeitsplatz --> verwaltung und durch die systemsteuerung an die benutzerverwaltung ranzukommen. wenn dies aber nicht möglich ist, dann sollen zumindest die anderen user nicht berechtigt sein dort änderungen vorzunehmen...
nun meine frage: wie, wo bzw. mit was kann man das einstellen?
im idealfall stell ich mir das so vor wie die sicherheitseinstellungen bei ordnern wo man sagen kann der user x hatt vollrechte, user y nur leseberechtigung...

mir wäre wirklich mit jedem tipp sehr geholfen...

achso technische daten von dem pc:
win xp pro sp2
ist kein dc, also ganz normaler client-pc

...aber der Admin kann dennoch immer zugreifen, oder sich den Zugriff erteilen (Übernahme des Besitzes). Und genau diese Adminrechte sind das Problem. Brauchen denn alle Adminrechte oder würde Hauptbenutzer auch reichen? Die können zwar auch Benutzerverwaltung machen, aber da könnte man dann eher was machen.

die wissen ja garnich wie man den besitz von objekten übernimt...
also kurz gesagt: die wissen garnich die adminrechte anzuwenden
aber das prob is das wenn sie mal lange weile haben manchmal wichtige systemsachen verändern(einmal sogar den kernel gelöscht!)

was sind denn überhaupt die unterschiede zwischen admin und hauptbenutzer? ich meine was für wichtige dinge können hauptbenuter nicht, die aber admins können(außer besitzrechte übernehmen)?

Mitglieder der Gruppe "Hauptbenutzer" haben mehr Berechtigungen als Mitglieder der Gruppe "Benutzer" und weniger Berechtigungen als Mitglieder der Gruppe "Administratoren". Hauptbenutzer können in Bezug auf das Betriebssystem alle Aufgaben ausführen, mit Ausnahme der Aufgaben, die Mitgliedern der Gruppe "Administratoren" vorbehalten sind.

Hauptbenutzer können:

-Programme einrichten, die weder Betriebssystemdateien modifizieren noch Systemdienste einrichten.
-Systemweite Ressourcen anpassen, darunter Drucker, Datum/Uhrzeit, Energieoptionen und andere Ressourcen der Systemsteuerung.
-Lokale Benutzerkonten und Gruppen erstellen und verwalten .
-Dienste aktivieren, die manuell gestartet und beendet werden können.
-Hauptbenutzer können sich nicht selbst der Gruppe "Administratoren" hinzufügen. Darüber hinaus haben sie keinen Zugriff auf die Daten anderer Benutzer

ok, so genau hab ich das nich gewusst... aber dadurch würde sich ja mein problem auch nicht ändern, das dann wenn ich die anderen user in die hauptbenutzer reinbringem das die wieder in der benutzerverwaltung rumfuschen...



nur mal so nebenbei...: wie kann ich einer selbst erstellten gruppe rechte zuteilen bzw wo geht das?

Also Systemrechte definiertst Du via der Lokale Sicherheitsrichtlinie.

einfach beim Ausführen das eingeben:
secpol.msc /s

aber achtung, dort kann man sich das ganze System verstellen.

Dateiberechtigung via NTFS-Berechtigungen also Register Sicherheit (aber einfache Dateifreigabe muss deaktiviert sein)

Mit gpedit.msc kannst Du nur für alle Benutzer Administrative Einstellungen vornehmen - Sachen ausbleden etc..

sorry aber das alles war jetzt nix neues für mich, sozusagen is die secpol.msc /s die einzigste möglichkeit gruppenrechte zu verteilen?

und außerdem will ich ja primär wissen wie ich das mit der benutzerverwaltung hinbekomme...

Vergieb doch einfach deinen herumschraubenden Benutzern nur Benutzerrechte anstatt Adminrechte und dein Problem ist gelöst.

das nützt mir aber auch nix, denn dann können die keine software installieren, und das soll ihnen möglich sein

Gegenfrage: Warum muss den auf einem gut laufenden und konfiguriertem System immer wider neue Software aufgesetzt werden?

wenn die leute meinetwegen irgendwas interessantes im internet oder auf einer cd finden was sie mal ausprobieren wollen, dann muss ich erst dorthin um es zu installieren oder muss ihnen adminrechte geben... oder mein pass für meinen acc...
das würde dann alles aber auch nix bringen...

Wie wärs dann mit Benutzerschulung. Erkläre ihnen einfach was unsachgemässe Manipulation an einem Gerät auslösen könnte.