per Gruppenrichtlinien das ausführen von Programmen steuern

[Thyral 10]

Hallo,

 

ich habe in der Firma folgendes Problem, meine User machen fast was Sie wollen in der AD, meines erachtens nach kann ich das bis ins kleinste über Gruppenrichtlinien steuern.

 

Ich kenne mich so schon ganz gut aus damit, was mir fehlt ist, was ist besser eine POSTIV - LISTE oder eine NEGATIV-Liste zum steuern welche Programme gestartet werden dürfen oder nicht ?

 

Einige Anwender müssen nur den IE und WORD starten können, da wäre es doch ratsam die beiden zu erlauben. Andere User sollen z.B. garnicht Word oder Excel starten dürfen, da wäre es doch besser das zu verbieten ?

 

Kann mir jemand eine Praxisgerechte lösung nenen, wie man am besten sowas realisiert ?

 

Und ich würde gern den Zugriff auf die lokalen Laufwerke steuern, was muss ich in der GPO ändern, um z.B. die USB Schnittstelle zu sperren, natürlich an den Clients ?

 

THX

[Tschiki 10]

Benutzereinstellungen\Windows Einstellungen\Sicherheitseinstellungen\Softwareeinschränkung

 

glaub ich zumindest oder so ähnlich - dort kannst du Richtlinien bzgl Einschränkungen angeben. Sollte davor aber ausreichend Testen.

[lefg 276]

ich habe in der Firma folgendes Problem, meine User machen fast was Sie wollen in der AD, meines erachtens nach kann ich das bis ins kleinste über Gruppenrichtlinien steuern.

Hallo,

 

Was machen die Benutzer denn im AD?

 

Was User machen können hängt von deren Berechtigungen ab. Gehört ein User den Gruppen der Administratoren und Domänen-Admins an haben sie die Berchtigung von diesen.

 

Zum Einschränken der User nimmt man sie aus diesen Gruppen raus, lässt sie nur in der Gruppe der Domänenbenutzer. Dann ist es i.d.R. gut.

[lefg 276]

Einige Anwender müssen nur den IE und WORD starten können, da wäre es doch ratsam die beiden zu erlauben. Andere User sollen z.B. garnicht Word oder Excel starten dürfen, da wäre es doch besser das zu verbieten ?

Warum, wozu?

[lefg 276]

Und ich würde gern den Zugriff auf die lokalen Laufwerke steuern, ......

Das ist bei NTFS mit Berechtigungen (Sicherheit) für Gruppen und Benutzer zu einzustellen.

[Thyral 10]

@all

 

Dake für die schnellen Antworten.

 

ich dachte, dass ich es über Gruppenrichtlinien regeln kann !! Denn die Berechtigungen anzupassen ist mehr aufwand denke ich.

[Thyral 10]

@all

 

denn wenn die Benutzer von Betreibsablauf Software installieren müssen, dann würde ich gern regeln, was sie davon starten dürfen.

Ein Beispiel aus der Vergangenheit : Moorhuhn, keiner sollte es starten können, wenn ich jetzt die Berechtigung erteiel, dann muss ich ja immer aufpassen, das Sie es nicht wieder anders installieren.

 

Eine Gruppenrichtlinie, es darf Programm a,b,c gestartet werden, würde dieses Problem umgehen.

 

Gibt es sowas ? mit dieser Möglichkeit ?

[carlito 10]

Eine Gruppenrichtlinie, es darf Programm a,b,c gestartet werden, würde dieses Problem umgehen.

 

Gibt es sowas ? mit dieser Möglichkeit ?

 

Ja. Du kannst z.B. eine GPO erstellen, die es verbietet, bestimmte Programme zu starten. Die Identifizierung kannst du über den Dateinamen, Pfad, Hashwert etc machen. Dies ist als Positiv- sowie Negativ-Liste möglich.

[klausk 10]

...Kann mir jemand eine Praxisgerechte lösung nenen, wie man am besten sowas realisiert ?...

 

Geht mit dem Application Manager von Appsense auf einfache Art und Weise. Der Vorteil gegenüber Gruppenrichtlinien ist u.a., dass der administrative Aufwand wesentlich geringer ist.