nufan 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Hallo Zusammen Gibt es eine Möglichkeit (am besten per Policy) das ausführen von bestimmten Dateien auf Member Servern zu verhindern? Es geht darum zu verhindern, dass z.b dcpromo auf einem Member Server ausgeführt werden kann. Dias auch wenn der Account, unter welchem der entsprechende Befehl ausgeführt wird, über lokale Administratorenrechte auf dem System verfügt. Danke Grüsse
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Du könntest dies über ein GPO mit entspr. Softwareeinschränkungen lösen. Wäre m.E. aber ein schlechter Weg, da der andere (böse) Admin die Einschränkung wieder zurücknehmen kann, so er fit genug ist.
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Die Richtlinie: "Angegebene Windows-Anwendungen nicht ausführen", sie ist zu finden in der Benutzerkonfiguration, Adminstrative Vorlagen, System.
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Die Richtlinie: "Angegebene Windows-Anwendungen nicht ausführen", sie ist zu finden in der Benutzerkonfiguration, Adminstrative Vorlagen, System. Er wollte die Anwendung 'maschinenabhängig' blocken.
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 Danke für die Antwort. Das Richtige wäre natürlich, wenn nur leute mit genügend "knowhow" admin accounts erhalten würden... dass lassen wir jetzt mal aussen vor... sieht sonst jemand eine möglichkeit wie man dies am idealsten lösen könnte?
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 die antwort von lefg ist auch noch interessant... so könnte man z.b eine filter policy auf die entsprechende AD Gruppe setzen welche die entsprechenden accounts enthält und dort die anpassungen vornehmen... mal testen ob dies so wirklich verhält...
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Es gibt ja keine Admin-Accounts für User, diese können aber Gruppen der Administratoren oder Domänen-Admins angehören. Nun, "eigentlich" sollte eine Aufnahme von Unqualifizierten oder nicht wirklich mit solchen administrativen Aufgaben Betrauten vermieden werden. Manchmal erscheint das aber nicht möglich, es erscheint meist aber nur so. Vielfach gibt es andere Möglichkeiten das Notwendige zu regeln. Interessant wäre jetzt zu wissen, warum andere in die Gruppen aufgenommen werden (müssen?), ob diese Leute tatsächlich administrative Aufgaben zu erledigen haben oder ob es aus Gründen des Ausführen einer Anwendung scheinbar notwendig ist.
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 ja korrekt, es gibt keine eigentlichen administrator accounts. es geht hier um useraccounts, welche auf den entsprechenden systemen in der lokalen administratoren gruppe eingetragen sind da sie halt einfach diese rechte benötigen. ich möchte hier jetzt nicht näher darauf eingehen. leider kann ein jeder, der auf einem member server administrator ist, diesen auch promoten. zwar nicht in eine bestehenden domain, da er ja nicht zwingend diese rechte besitzt, aber er kann z.b eine neue domain erstellen... bitte keine weiteren fragen über sinn/unsinn darüber ;-) es geht einfach darum die ausführung von dcpromo zu vermeiden. leider geht dies aber nicht mit "Angegebene Windows-Anwendungen nicht ausführen". Diese einstellung verindert nur das starten von entsprechenden anwendungen über den explorer. über eine cmd box lassen sich die anwendungen dann doch wieder starten....
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 ...über eine cmd box lassen sich die anwendungen dann doch wieder starten....Bist Du da sicher?
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 ja bin ich, habs getestet. steht auch in der description der policy setting das dies so ist... kannst z.b notpad.exe in der liste der "blockierten" programme eintragen. Danach kannst du notepad nicht mehr über start ausführen, oder über aufruf aus dem menu starten. öffnetst du aber eine cmd box und rufst notepad.exe auf, so startet die applikation wieder...
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Dann probier doch mal eine Blockade über die Computerrichtlinie. Funktioniert dann zwar für Niemanden mehr an der Maschine, aber Du weißt ja wie das Programm wieder freizuschalten ist. Über eine entspr. OU verteilt lässt es sich sogar von den lok. Admins nicht umgehen.
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Richtlinien anwenden: Menüeintrag "Ausführen" aus dem Startmenü entfernen Zugriff auf die Eingabeaufforderung verhindern
Stephan Betken 43 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Richtlinien anwenden: Menüeintrag "Ausführen" aus dem Startmenü entfernen Zugriff auf die Eingabeaufforderung verhindern Und dann eine Batch, die DCPROMO ausführt!?
Stephan Betken 43 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Du könntest dies über ein GPO mit entspr. Softwareeinschränkungen lösen. Wäre m.E. aber ein schlechter Weg, da der andere (böse) Admin die Einschränkung wieder zurücknehmen kann, so er fit genug ist. Dies scheint aber dennoch die beste Wahl zu sein, da derjenige doch ein wenig "basteln" müsste. Zumindest verhindert man, dass der Server "mal eben" hochgestuft wird.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden