Alle Einstellungen die mit dem Gruppenrichtlinen-Snap-In (gpedit.msc) getroffen werden speichert Windows in der Datei registry.pol ab. Wenn sich jetzt ein Benutzer am System anmeldet werden die Informationen aus der Datei in die Registry geschrieben. Und jetzt kommts diese Datei existiert zweimal einmal unter c:\windows\system32\grouppolicy\machine und unter c:\windows\system32\grouppolicy\user.
Im ersten Ordner (machine) sind alle Informationen aus dem Bereich Computerkonfiguration und im Ordner user alle Informationen aus dem Bereich Benutzerkonfiguration gespeichert.
Wenn keine Einstellungen über gpedit.msc vorgenommen wurden existieren diese Dateien natürlich nicht. Da du ja schon etwas geändert hast kannst du ja gleich mal nachschauen ob diese vorhanden sind.
Und nun zu deinem Problem und der Lösung…
Wie schon erwähnt es existieren 2 registry.pol Dateien. Die im Ordner machine (Computerkonfiguration) gilt natürlich immer für alle Benutzer. Die im Ordner user allerdings nicht!
Jedes mal wenn sich ein Benutzer anmeldet wird die registry.pol aus dem user Ordner in seine eigene Registry eingetragen. Jetzt wird vielleicht schon klar wie es funktioniert…du mußt einfach nur für jeden Benutzer eine eigene registry.pol generieren.
Oder in deinem Fall wenn du nur einen Account so beschränken willst natürlich nur eine und im Prinzip eine ohne Beschränkungen für den Administrator…
Auch wenn du es ja schon mal gemacht hast nochmal die allgemeine Vorgehensweise…
1. anmelden als Administrator
2. Die gewünschten Beschränkungen im gruppenrichtlinien-snap-in für den Benutzer vornehmen. Wenn du fertig bist und für noch mehr Benutzer Beschränkungen vornehmen willst, dann mußt du die registry.pol aus dem Ordner User an eine andere Stelle kopieren…am sinnvollsten ist wohl einfach einen Ordner mit dem Benutzer (bei dir Kiosk) erstellen und dann dorthin.
3. Jetzt könntest du beliebig viele weitere registry.pol Dateien mit den unterschiedlichsten Inhalten anlegen und ebenfalls seperat abspeichern.
4. Jetzt kopierst du die registry.pol Datei die du einem Benutzer zuweisen willst in den User Ordner.
5. Abmelden und den Benutzer anmelden dem du die Einschränkungen zuteil werden lassen willst. Was jetzt passiert ist klar – die Informationen aus der registry.pol werden dem Benutzer in die Registry eingetragen.
6. Abmelden und wieder als Administrator anmelden und wenn benötigt die nächste registry.pol in den User Ordner kopieren. Dann muß sich natürlich wie unter 5. der entsprechende Benutzer wieder anmelden.
7. Wenn alle Benutzer mit den Einstellungen versorgt sind dann wieder als Administrator anmelden und alle Einschränkungen die du als Administrator nicht willst entfernen.
8. Start -> Ausführen “gpupdate /Force” – jetzt werden die letzten Änderungen für dieses Konto wirksam gemacht und wieder in die Registry geschrieben.
Achtung jetzt könnte es sein, dass Windows den Computer neu starten will. Aber jetzt bitte noch nicht!!! Denn wir erinnern uns: die Datei registry.pol im Ordner User existiert ja noch mit den Einstellungen für den Administrator. Folge wenn du dich nach dem Start z.B. als User Kiosk anmeldest werden eben diese Einstellungen wieder in die Registry geschrieben und die eigentlichen Einstellungen wären wieder futsch – also erst die Datei aus dem Ordner user löschen! Da diese Datei dann nicht mehr vorhanden ist werden der Registry keine Werte hinzugefügt aber auch nicht entfernt. Die Änderungen bleiben also dauerhaft und für jeden Benutzer unterschiedlich.