axipas 10 Report post Posted May 22, 2006 Hallo zusammen! Ich habe ein kleines Problem betreffend den "Software Restriction Policies". Ich kann zwar eine Pfad-Regel erstellen und diese auf disallowed setzen und dies funktioniert auch perfekt. Allerdings gilt dann diese Regel ebenfalls für den Administrator. Wo muss ich dies einstellen? Ist ein W2k3 Server. Ich verwalte es über die "Default Domain Security Settings". Danke für eure Hilfe, Pascal Quote Share this post Link to post
SaschaG 10 Report post Posted May 22, 2006 Mach eine separate Policy und setze dem Admin die Berechtigungen auf Deny - Fertig :) Gruß Quote Share this post Link to post
IThome 10 Report post Posted May 22, 2006 Du kannst doch bestimmen, für wen das gelten soll (unter "Erzwingen" kannst Du einstellen, ob es für alle Benutzer oder alle Benutzer ausser den lokalen Administratoren gültig sein soll) Quote Share this post Link to post
axipas 10 Report post Posted May 22, 2006 @IThome: Ja, das ist möglich... allerdings nur für den lokalen Administrator. Ich müsste dort einige User eintragen. Das muss doch irgendwie möglich sein ;) @IThome: Ich habe versucht über den "Group Policy Object Editor" eine neue Gruppenrichtlinie zu erstellen. Allerdings sehe ich dann nirgends die Settings für die "software restriction policies"... was mach ich falsch? Kann ich die irgendwie hinzufügen? Ich muss nur für den einen Server (SDC) eine Software restriction erstellen. Das heisst, die Regel darf nur für diesen Server und nicht für die Domain gelten. danke für eure Hilfe... Pascal Quote Share this post Link to post
IThome 10 Report post Posted May 22, 2006 Dann erzeuge eine OU, verschiebe den Server dort hinein und erstelle ein entsprechendes GPO, welche Du dann in diese OU linkst. Was für eine Art Server ist das ? Ein Terminalserver ? In welchem Teil des GPOs hast Du die Restriction Policy angelegt, in der Computer- oder der Benutzerkonfiguration ? Erzähl mal bitte, was Du erreichen möchtest ... :) Quote Share this post Link to post
axipas 10 Report post Posted May 23, 2006 Ich habe eine Domäne in der 4 Server sind. Je zwei virtuelle Server einem physikalischen Gerät. Nun möchte ich auf dem Secondary domain controller nur MS Project und den IE erlauben. Allerdings sollte es möglich sein, als Administrator (mindestens Domänenadministrator), alle Programme aufzurufen. Ist es nun verständlicher? Quote Share this post Link to post
IThome 10 Report post Posted May 23, 2006 Dann erzeuge Dir ein GPO, welches die Softwarerichtlinie in der Computerkonfiguration vornimmt, unter "Erzwingen" konfigurierst Du, dass alle Benutzer ausser lokalen Administratoren durch die Pfadregel eingeschränkt werden. In der Sicherheitsfilterung konfigurierst Du, dass nur dieser eine Domänencontroller die Gruppenrichtlinie übernehmen soll (Authentifizierte Benutzer raus, Computerkonto des DCs rein ; Lesen und Gruppenrichtlinie übernehmen). Dann linkst Du das GPO indie entsprechende OU und setzt es nach ganz oben ... Es gibt noch eine weitere Möglichkeit mit Hilfe der Loopbackverarbeitung, aber bevor wir es zu kompliziert machen, teste das oben genannte erstmal aus ... Quote Share this post Link to post