Softwareinstallation verhindern

[RPeach 10]

Hallo Leute

 

Mit welcher Gruppenrichtlinie kann ich auf einem W2K Server dafür sorgen, dass auf den XP Client´s keine Programme installiert werden können?

 

Ich suche allerdings nicht eine Richtlinie für den Computer sondern den Benutzer.

 

Besten Dank

RPeach

[cosmic2222 10]

würde einfach ne weiter ou schaffen, in der keine Softwareverteilung abläuft..

da dann die user rein, die nicht mit software versorgt werden sollen..

damit hat man dann nen besseren überblick finde ich..

oder meinst du die installation am client selber???

dann musst du in die Installer richtlinie rein und die aktivieren... die beschreibung der richtlinien ist ganz gut....

weiss nicht mehr genau welche das ist, aber glaube wenn du "immer mit erhöhten rechten installieren" aktivierst, kann der user nicht mehr installieren und muss den admin zu hilfe holen..

[bukem01 10]

Hi,

 

in dem du die user keine rechte zum installieren gibt z.B alle mitglieder der gruppe benutzer haben kein recht software zu installieren.

 

in einer domäne sind alle domänen/benutzer automatisch in der gruppe benutzer auf den clients drin

 

du kannt per gp die rechtestrucktur vom verzeichnissen ändern und so verhindern das benuter dateien löschen oder ändern oder eigene gruppen mit in die rechtestrucktur eintragen . auch die rechte was eine gruppe darf kannst du über die gp einrichten z.b als diesnt anmelden, locale anmeldung die beziehen sich immer auf eine benutzer oder besser auf eine sicherheits gruppe. die standard grupper sind aber meistens ausreichend.

 

die user die sich in der gruppe befinden haben dann die rechte.

 

der user kann zwar das setup starten aber er kann dann keine dateien erstellen oder setztn und das setup bricht ab.

 

"immer mit erhöhten rechten installieren" ist ein sicherheitsriseko damit verhindert du nicht ob software installiert wird oder nicht sondern ( ist auch nur interresannt bei msi packeten ) es erlaubt wenn ein msi packet installiert wird den benutzer auch wenn er keine rechte für ein bestimmtes verzeichiss hat dort zu instalieren.

 

wenn diese einstellung aktiviert ist kann ein user diese auch misbrauchen er hat dann erweiterte rechte die er eigendlich nicht habe dürfte.

 

z.b ein user der grupper benutzer hat keien schreibrechte in system32, programme,

wenn die einstellung aktiviert ist erhält er bei der installtion von msi packeten die rechte doch dort änderungen vorzunehmen.

 

Nja ist auf jeden fall mit vorsicht zu benutzen.

 

 

alex

[RPeach 10]

Guten Abend zusammen

 

Vielen Dank für eure Antworten.

 

@bukem01: Was würdest du denn nun alles aktivieren, damit die Wahrscheinlichkeit einer Installation durch den Benutzer möglichst gering ist?

 

Vielen Dank schon mal

RPeach

[lefg 276]

Mit welcher Gruppenrichtlinie kann ich auf einem W2K Server dafür sorgen, dass auf den XP Client´s keine Programme installiert werden können?

Hallo,

 

ich verstehe anscheinend die Problematik nicht richtig. Deshalb michte ich erstmal fragen, handelt es sich um eine Arbeitsgruppe oder um eine Domän`?

 

In einer Domäne hat ein Domänenbenutzer doch nicht das Recht zum Installieren von Software, die auf HKLM der Registry greift. Als Beispiel sei die Installation von MS-Office genannt.

 

Eine weitere Einschränkung ist wohl durch Änderung der Berechtigungen auf den Schlüssel HKU mit Regedt32 möglich.

 

Gruß

Edgar

[bukem01 10]

hi,

 

so wie @lefg es gesagt hat in einer domäne oder arbeitsgruppe hat die gruppe benutzer keine rechte software zu installieren. in der hilfe von win 2000 / xp "Standardsicherheitseinstellungen" bzw. auf der hp sind die standard gruppen berechtigungen nachzulesen.

 

in bereichen in denen einfache sicherheit ausreicht langt es eigendlich schon das alle benutzer in der gruppe benuzter sind. ( ohne ad ) wie gesagt einfache sicherheit!

 

So wie @lefg in seinen beitrag mit zusätzlichen rechten in der Registry schon erwähnt hat, damit kannst du die sicherheit noch weiter erhöhen bzw. anpassen.

 

die rechte kannst du auch im dateisystem setzen und die standard berechtigungen ändern oder eigene gruppen erstellen und eintragen.

 

das ganze kannst du mit regedit oder per gruppenrichtlinie in der ad einrichten.

schau dir dazu http://www.gruppenrichtlinien.de/ unter Praxis Szenarien an.

diese bieten verschiedene einstellungen und möglichkeiten.

 

geht nur in einer domäne mit dem zuweisen der rechte über die ad.

 

aber bevor du die rechte ersetzt und änderungen vornimmst soltest du dir eine sicherheitsrichtlinie ausarbeiten.

- welche user brauchen welche rechte

- welche software braucht welche rechte

 

es wird oft gesagt das software nicht mehr richtig lauft wenn der user nur benutzer ist ( er kann dann z.b nicht mehr in %systemroot%\programme schreiben einige programme speichern aber genau dort einstellungen ( dumme software ), genau so wie in der Registry.

 

du musst also erst dir eine übersicht machen über die rechte die gebraucht werden diese dann einrichten und testen sonst kann es dir passieren das einige programm nicht mehr oder nicht richtig laufen.

dabei können die tools netmon und filemon helfen http://www.sysinternals.com

 

 

ps:

wichtig ist dabei das der user noch arbeiten kann. nicht alle user wollen immer software installieren. wenn du die installation der pc automatisiert. den user standard rechte gibts, den zugriff über share auf einen server mit zugriffs rechten erlaubts kannst du wenn der user den pc " kaputt installiert hat "ihn einfach und schnell wieder herstellen. das vereinfacht die administration. denn jede installation zu verhindert ist fast nicht möglich wenn es zum beispiel sich nur um eine exe handelt.

 

"Ich suche allerdings nicht eine Richtlinie für den Computer sondern den Benutzer."

 

für den benutzer gibt es so was nicht du gibts einem benutzerkonte oder gruppe bestimmte rechte.

( zuweisen von benutzerechten ) die gruppen kannst du in ordner / dateien, drucker oder andere objekte "anhängen" damit regelst du dann den zugriff auf diese objekte.

 

 

alex