Jump to content
Sign in to follow this  
schlauby

Programminstallationen verhindern

Recommended Posts

Hallo Leute,

 

ich habe hier ein Schulnetzwerk mit ca. 70 Clients und 2 W2k Servern.

Die Schüler sind so gut wie in allen Funktionen über Gruppenrichtlinien eingeschränkt worden.

Bis auf das was Sie auch wirklich brauchen.

So weit funktioniert das auch problemlos.

Nur da die Schüler nun alle lokale Admins sind,(weil sonst viele Funktionen und Programme nicht funktionieren) können die nun irgendwelche Programme aus dem Internet runterladen bzw. ausführern und lokal installieren.

 

Über die Gruppenrichtlinien kann ich aber nur Windows installer Pakete blokieren, aber keine anderen.

Jetzt stellt sich die Frage, wie könnte ich das installieren von Programmen noch verhindern.??

Kann ich vielleicht am ISA Server das Downloaden von .exe Files verhindern.??

Besser noch z.B. für einen bestimmten IP Adressbereich.??

 

Bin für jeden Tip dankbar.

 

Gruß

Share this post


Link to post
Share on other sites

Ich denke es ist möglich am Proxyserver (sollte vorhanden sein)

dem Schulnetz (bestimmter Netzbereich z.B. 192.168.2.100 - 200) das Downloaden von

*.exe dateien zu untersagen. Allerdings bedenke, das viele EXE - Dateien gepackt sind...

Das heißt du müsstest dann auch *.zip, *.rar, etc. verbieten.

 

Tieferes wissen kann ich leider nicht vorweisen,

das ist jetzt das beste was mir eingefallen ist. ;)

 

Hoffe es hilft wenigstens ein bisschen.

 

mfg

Share this post


Link to post
Share on other sites

Nur da die Schüler nun alle lokale Admins sind,(weil sonst viele Funktionen und Programme nicht funktionieren)...

Hallo,

 

ich muss zugeben, dass dein Ansatz äußerst ungünstig ist. Es ist nach meinen bisherigen Erfahrungen nicht notwendig, dass ein User als Admin arbeitet (eigentlich ist es sogar fahrlässig). Jedes halbwegs aktuelle Programm kann auch als "Normal-Benutzer" dazu bewegt werden, mit entsprechenden NTFS-Rechten ordnungsgemäß zu funktionieren.

 

Welche Proggis sollen denn unter einem Benutzer-Account nicht funktionierren, vielleicht können wir dir da Tips geben?

 

Grüße

Olaf

Share this post


Link to post
Share on other sites
Hallo,

 

ich muss zugeben, dass dein Ansatz äußerst ungünstig ist. Es ist nach meinen bisherigen Erfahrungen nicht notwendig, dass ein User als Admin arbeitet (eigentlich ist es sogar fahrlässig). Jedes halbwegs aktuelle Programm kann auch als "Normal-Benutzer" dazu bewegt werden, mit entsprechenden NTFS-Rechten ordnungsgemäß zu funktionieren.

 

Welche Proggis sollen denn unter einem Benutzer-Account nicht funktionierren, vielleicht können wir dir da Tips geben?

Hallo,

also wir haben oft Probleme mit Progammen wenn man nicht lokaler Admin ist.

Div. Schulprogramme, auch mit Office2000 hatten wir schon Probs.

Da die Schüler sich an der Domäne anmelden und die entsprechenden Richtlinien laden, haben wir diesbezüglich keine Probleme.

 

Man muß doch irgendwie das generelle installieren von Programmen sperren können.??

 

Gruß

Share this post


Link to post
Share on other sites

Man bekommt mit Tricks wirklich fast jedes Programm ohne Adminrechte zum laufen. Allerdings muß man schon rausfinden, warum ein Programm ohne Adminrechte nicht funktioniert. Hilfreich sind dabei http://www.sysinternals.com/utilities/filemon.html

und http://www.sysinternals.com/utilities/regmon.html . Oft genügt es dem User nur auf bestimmte Regkeys oder bestimmte (INI-)Dateien Schreibrecht zu geben. Auch das geht per GPO alles zentral.

 

-Zahni

Share this post


Link to post
Share on other sites

Hallo,

ich denke du solltest dich lieber damit beschäftigen wie du es schaffst, dass deine programme laufen auch wenn die schüler nur Benutzerrechte haben. Da muss ich Schlauby schon recht geben wenn du bedenkst dass es riesige firmen gibt die mit komplexeren programmen arbeiten und dennoch haben nicht alle admin rechte. Die Schüler heutzutage sind auch nicht auf dem Kopf gefallen wenn du ein hast der sich etwas auskennt der kann dir dein ganzes netzwerk strubelig machen denk mal drüber nach.

Share this post


Link to post
Share on other sites
Kann ich vielleicht am ISA Server das Downloaden von .exe Files verhindern.??

Besser noch z.B. für einen bestimmten IP Adressbereich.??

 

Bin für jeden Tip dankbar.

 

Gruß

Was für'n ISA 2004? Ja, da geht das wunderbar, kannst fast alles damit blockieren, was du möchtest

 

grizzly999

Share this post


Link to post
Share on other sites

Um mal die Dimensionen klar zu stellen.

Ich habe hier ca. 800 Schüler und 300 verschiedene Programme.

 

Das ist nicht so einfach alle Benutzer und Programmkombinationen auszutesten.

Ich muß euch recht geben das es nicht grad optimal ist, das die User lokale Admins sind.

Aber das ist die einzige Möglichkeit das es vernünftig funktioniert.

Alles andere hat teilweise unmengen von Fehlern verursacht.

 

Es hat seit ca. 3 Jahren auch keine Nennenswerte Vorfälle gegeben.

Auch diese Programm installationsgeschichte ist eher lästig als problematisch.

Was für'n ISA 2004? Ja, da geht das wunderbar, kannst fast alles damit blockieren, was du möchtest

Nein, ist ein ISA 2000.

 

Gruß

Share this post


Link to post
Share on other sites

Bei ISA 2004 kann über Site- und Inhaltsregeln (vor allem Zeriteres) auch Inhalte verbieten. Dazu gibt es schon vordefinierte INhaltsregeln, diese lassen sich auch erweitern.

Einfach mal mit dem ISA auseinandersetzen und die Online Hilfe studieren ;)

 

grizzly999

Share this post


Link to post
Share on other sites

Also wir betreuen ein Schulnetz mit 1200 Schülern und es läuft auch alles ohne lokale Adminrechte...

 

Also das ist schon möglich und auch von der Zeit kein großer Aufwand............

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...