Ikke99 10 Geschrieben 20. Juli 2005 Melden Teilen Geschrieben 20. Juli 2005 Hallo zusammen, ich versuche gerade herauszubekommen, wie ich in unserer Dömane eine Softwareinstallationssperre per GPO etablieren kann. Ziel: Kein Client darf Software auf seinen Rechner installieren können (ggf. Admins ja). Mittel: GPOs System: W2KServ & XP-Pro Client. Bin in einer Testumgebung und alles ist neu aufgesetzt! Mein Problem: Ich erstelle eine OU in der ADS und verschiebe dort einen User hinein. Hier erstelle ich jetzt eine GPO. Unter Computerconfiguration - Administartive Vorlagen - Windows Komponenten - Windows Installer - aktiviere ich die Richtlinie "Windows Installer deaktivieren". User neu anmelden. --> Doch es kann weiterhin auf dem Client fröhlich installiert werden Auch nachdem ich beide Rechner neu gestartet habe. Testhalbe habe ich mal eine andere Richtlinie aktiviert um zu sehen, ob die GPOs überhaupt vom Client angenommen werden. Ja, sie wurde durchgesetzt. Dabei sagt doch die Beschreibung der Richtlinie ganz klar, das diese Richtlinie verhindert, dass Benutzer Software auf dem Computer installieren kann. Ich komme hier nicht weiter... Kann mir vielleicht jemand, der sich mit diesem Thema bereits auseinandergsetzt hat, die Möglichkeiten schildern und wie+wo man welche Einstellungen machen muss. Das wäre sehr nett - danke. Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 20. Juli 2005 Melden Teilen Geschrieben 20. Juli 2005 Computerconfiguration = Computer (nicht der User) muss in die OU verschoben werden. Normalerweise genügt es, wenn auf allen lokalen HD's per GPO das Schreibrecht dem User entzogen wird. Ber GPO nur die Verzeichnisse oder Dateien explizit zulassen, wo er schreiben muss. Das Schreibrecht im userprofil regelt XP alleine (zumindest bei servergespeicherten Profilen). Über die Softwareeinschränkungen, die auch für User möglich sind, kann man noch gemeinere Dinge machen ;) Z.B. die Ausführung von EXE'en nur von C:\Windows und C:\Programme erlauben. Da der User dort ab kein Schreibrecht hat... -Zahni Zitieren Link zu diesem Kommentar
Ikke99 10 Geschrieben 20. Juli 2005 Autor Melden Teilen Geschrieben 20. Juli 2005 Hallo, das wäre aber so nicht denkbar. Der User soll in jedem Fall alle Schreibrechte behalten. Ich möchte lediglich den Effekt erzielen, das die User an den Clients keine Programme mehr installieren können. Alles andere soll und muß unberührt bleiben! Gibt es da nicht eine einfach und wirksame Methode? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Juli 2005 Melden Teilen Geschrieben 20. Juli 2005 Hallo, ein Userr, der lokal nur der Gruppe der Benutzer oder in der Domäne nur der Gruppe der Domänenbenutzer angehört, kann in der Registry beim Installieren normalerweise nicht in HKEY_Local_Machine schreiben. Damit dürften kaum noch Installationen möglich sein. Habe ich etwas übersehen, überlesen? Gruß Edgar Zitieren Link zu diesem Kommentar
Ikke99 10 Geschrieben 21. Juli 2005 Autor Melden Teilen Geschrieben 21. Juli 2005 Ok, aber was wenn die User lokal mit Admin-Rechten arbeiten können? In der Domäne haben Sie ein normales Benutzerkonto, lokal haben sie Admin-Rechte. Was nu?? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Ich sage es mal so, bei mir hat ein User keine lokalen Adminrechte und er bekommt sie auch nicht. Punkt, fertig. :D Ich weiss, es gibt Situationen, Anwendungen, da ist es (anscheinend) nötig. Welche sind das? Beispiel STEP7 oder Lexware Financial Office (Einzelplatzversion auf einem Domänenrechner). Da müsste aber auch die Zugehörigkeit zur Gruppe der Hauptbenutzer reichen. Die Zuordnung kann man auch über Gruppenrichtlinien, Eingeschränkte Gruppen vornehmen. Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Ok, aber was wenn die User lokal mit Admin-Rechten arbeiten können?In der Domäne haben Sie ein normales Benutzerkonto, lokal haben sie Admin-Rechte. Was nu?? hi! du solltest evtl dein gesamtes konzept überdenken ;) ein user mit adminrechten ist irgendwie widersprüchlich :suspect: gruss saracs Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Dann hast Du halt Pech. Nochmaliger Hinweis: Computerrichtlinien greifen nur, wenn das betreffende Computerkonto in die OU verschoben wird, in der sie definiert wurde. Allerdings klappt es, wenn überhaupt, nur mit MSI-Paketen (es soll auch andere Installer geben). Ausserdem kann der User bei Bedarf alle Richlinien aus HKEY_Local_Machine löschen. Also mit lokalen Admin-Rechten wird das nix. -Zahni Zitieren Link zu diesem Kommentar
Xiantropist 10 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Also "Da hast Du Pech gehabt" finde ich nicht besonders verbindlich... Unter Windows 2003 gibt es eine Policy unter Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Software. Dort kannst Du Rechte detailliert festlegen. Allerdings weiß ich nicht - konntes aus auch nicht simulieren - ob es diese Policy auch schon unter Windows 2000 gibt. Cheers! Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Jo, da ich lokaler Admin bin, lösche ich dann einfach HKEY_LOCAL_MACHINE\SOFTWARE\Policies . -Zahni Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 da ich lokaler Admin bin, lösche ich dann einfach HKEY_LOCAL_MACHINE\SOFTWARE\Policies . Das verstehe ich nicht. Warum löschen? Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Weil dort die Comupterrichlinien hingeschrieben werden. Wenn die glöscht sind, sind sie bis zu nächsten GPO-Update nicht mehr da und können von den betreffenden Anwendungen nicht abgefragt werden. -Zahni Zitieren Link zu diesem Kommentar
Ice--Tee 10 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 hi! du solltest evtl dein gesamtes konzept überdenken ;) ein user mit adminrechten ist irgendwie widersprüchlich :suspect: gruss saracs Wieso?? Die Adminrechte bestehen nur lokal - sonst laufen bestimmt Aplikationen nicht (AS400 etc.) In der Domäne gibt es nur die üblichen Dömänen-Benutzer-Rechte. Das habe ich schon oft gesehen (auch, wenns nicht das gelb vom Ei ist). Die Praxis sieht leider so oft anders aus. Das der Computer (nicht der User) erst in die OU verschoben werden muß, hatte ich schon probiert. Immer ohne Erfolg. Ich war fast am verzweifeln. Dann habe ich zufällig gelesen, das die Richtlinien der Computerkonfiguration erst wirksam werden, wenn der Rechner neu gestartet wird. Bei der Benutzerkonfiguration reicht ein ab/anmelden. Ich habe die ganze Zeit versucht, mit: gpupdate /target:computer /force /wait:0 gpupdate /target:user /force /wait:0 zu arbeiten. Na toll! Hätte mir das nicht jemand mal früher sagen können? Jetzt funzt alles. Obwohl der User lokal Adminrechte hat, wirden Installationen unterbinden - supi. Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Das mit dem "AS/400"-Programm bekommt man bestimmt raus. Wozu gibt es regmon und filemon ;) -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.