Jump to content
Sign in to follow this  
huwsig

Netzwerkanmeldung via Gruppenrichtlinien verbieten

Recommended Posts

Hallo zusammen,

 

vielleicht könnt ihr mir helfen.

Gibt es die Möglichkeit in einem Active Directory die Netzwerkanmeldung diverser Clients, die zum Beispiel keinen Virenscanner installiert haben via Gruppenrichtlinien zu verbieten?

Share this post


Link to post
Share on other sites

Hallo huwsig und herzlich Willkommen im Board.

 

Was meinst Du mit diverser Clients? VPN User?

In einem NW sollte eigentlich meiner Meinung nach per Rollback jeder Client AV haben.

 

Stoni

Share this post


Link to post
Share on other sites

Hallo und willkommen im Board :)

 

Das fällt in den Bereich "NAP (Network Access Protection)" und das wird es erst mit 2008 und Vista bzw. XP SP3 geben.

 

Im Moment gibt es das für 2003 als mächtige Skript- und Bastellösung für RAS und VPN-Einwahl und nennt sich Quarantänesteuerung.

 

grizzly999

Share this post


Link to post
Share on other sites

Ich meinte eigentlich keine VPN Clients, sondern eher Rechner die im Firmennetz sind und auf unergründliche Weise den Virenscanner deinstalliert haben. Diese sollen sich dann nicht am Netzwerk anmelden dürfen...

Share this post


Link to post
Share on other sites

als loginscript die silent installation des AV mit der domain oder der site verlinkt...

dann kann sich trotzdem jeder anmelden und hat so auch automatisch den AV installiert.

wär das keine lösung?

 

greetz

Share this post


Link to post
Share on other sites
Ich meinte eigentlich keine VPN Clients, sondern eher Rechner die im Firmennetz sind und auf unergründliche Weise den Virenscanner deinstalliert haben. Diese sollen sich dann nicht am Netzwerk anmelden dürfen...

 

Aus welchem Grund sollten Clients/User den Virenscanner deinstallieren können? Eigentlich nur wenn fälschlicherweise Adminrechte vergeben worden sind. Adminrechte entziehen und schon dürfte das wohl kein Thema mehr sein.

Share this post


Link to post
Share on other sites

Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?

Share this post


Link to post
Share on other sites
Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden.

 

Du kannst auch ganz einfach das Passwort für den lokalen Admin per Startupscript verändern und natürlich solltest Du die Adminrechte auf den Clients schleunigst entfernen. Oder hat es bestimmte Gründe für die höheren Rechte?

 

Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?

 

Dafür gibts von den meisten Anbietern für AV-Scanner die passenden Konsolen. Da sieht man gleich den Stand der einzelnen Clients. Und eine entsprechende Neuinstallation eines Clients kann man dabei auch Remote vornehmen. Der User kann bzw. soll sich dagegen ja nicht wehren können.

Share this post


Link to post
Share on other sites
Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?
Wie soll denn das Entziehen von "Adminrechten" per GPO gehen? Auch die Möglichkeit des Überprüfens der Installation von AV per GPO sehe ich nicht. Was ist mit Silentinstalltion gemeint, eine per Skript gestartete oder per MSI-Datei?

Share this post


Link to post
Share on other sites

Ich habe so etwas zu einen anderen Zweck mal gemacht: Im Benutzerkontext wurde ein Startskript ausgeführt, geprüft auf OU-Zugehörigkeit der Rechner und die Gruppenmitgliedschaft der Benutzer. Falls die Bedingung nicht stimmte, dann wurde der Benutzer wieder abgemeldet. Sinn war, Angehörige einer bestimmten Gruppe sollten sich nur an für diese vorgesehenen Rechnern anmelden, nicht an anderen.

 

Letztendlich wurde die gewünschte Wirkung erzielt, die Kids versuchten es nicht mehr an anderen. In Wirklichkeit war ja aber der Bedingung geschummelt, die Anmeldung funktionierte ja noch, das Startskript lief, es wurde geprüft und entsprechend reagiert. Wäre es einem klugen Kopf möglich gewesen , das Ausführen des Skriptes zu verhindern. Nun, die Klientel waren nicht von der Art.

 

Falls es nun primär um den Virenschutz geht, bei mir wird der zentral installiert per AntiVirusKonsole und kein Benutzer kann das ding auf den Clients manipulieren geschweige denn deaktivieren oder deinstallieren.

 

Nun gibt es manchmal ganz spezielle Situationen und besondere User, einflussreiche User. Man könnte versuchen die auszutricksen. Per Startskript in der Computerkonfiguration die Funktionsfähigkeit, das Vorhandensein, den Start des Dienstes für das Antivirus prüfen und den Rechner runterfahren und ausschalten. Dabei noch die Meldung eines bekannten Virus oder sowas Ähnliches den User grüssen lassen.

 

Ich habe sowas bei Bedarf schon gemacht, es aber nur sehr vorsichtig angewandt. Falls kollegiale Gespräche nichts fruchteten, habe ich Vorgänge protokolliert und gemeldet an Leute mit dem grossen Hut auf. Ich habe schon Leute unter Schmerzen lernen oder sie dumm sterben lassen. Letzte Woche suchte ein User ganz verzweifelt die aktuelle Kostenaufstellung.xls, ich habe ihn mehrmals dringend geraten, die Datei auf dem Server im Verzeichnes des Projektes zu speichern, damit diese mit gesichert werde. Er hat es mal wieder nicht gemacht. Ich werde ihn wohl noch ein paar Tage schmoren lassen müssen, ich bin im Moment mit anderen Dingen befasst. Eventuell finde ich die Datei ja später noch auf seiner Workstation.

Share this post


Link to post
Share on other sites
Wie soll denn das Entziehen von "Adminrechten" per GPO gehen?

 

Eigentlich auf dem gleichen Weg wie das setzen. Eingeschränkte Gruppen

Auszug:

So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

 

Komplizierter Satz, einfaches Beispiel.

 

Ich mache Asterix und Obelix zu Lokalen Administratoren über die Funktion der Eingeschränkten Gruppe. Jetzt passiert folgendes, alle ehemaligen Mitglieder der Lokalen Administratoren werden aus dieser Gruppen entfernt und nur noch Asterix und Obelix sind lokale Admins … in diesem Moment haben wir gerade den Domänen-Administrator zu einem einfachen „Benutzer“ an den Workstations degradiert.

 

Man sollte also darauf achten, daß dir original vorhandenen Einstellungen erhalten bleiben und in der obigen Konfiguration nicht nur Asterix und Obelix hinzugefügt werden, sondern auch Administratoren.

Share this post


Link to post
Share on other sites

Von der Seite habe ich das noch nie betrachtet.

 

Wäre das aber wirklich geeignet zum Lösen des Problems des Treadowners? Was ist dessen eigentliches Problem, die unberechtigte, ungewollte Deinstallation des AV oder das Umsetzen eines Projektes per Gruppenrichtlinie?

 

Wollen mal abwarten, was der TO antwortet.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...