Wolke2k4 11 Posted August 8, 2006 Report Posted August 8, 2006 Hallo, ich durfte neulich mal wieder feststellen, dass wenn Nutzer zu viel Zeit haben, sie ihr Gehirn abschalten und wild durch die Gegend surfen, dann Google Earth herunterladen und in Ihrer TS Session installieren! :shock: :mad: 1. Wie kann es sein, dass ein normaler Domain Nutzer eine Anwendung wie Google Earth installieren kann, dazu noch auf einem TS? War bisher immer der Meinung, dass sowas nur mit erhöhten Rechten möglich ist... 2. Kann man die wild gewordenen Nutzern per GPO so weit einschränken, dass solche Späße nicht möglich sind? Ich habe schon mal in den GPOs gesucht und einige Optionen gefunden, allerdings sind diese Optionen wohl nur für den Windows Installer gedacht. Quote
Ritchie 10 Posted August 8, 2006 Report Posted August 8, 2006 Hallo, ich durfte neulich mal wieder feststellen, dass wenn Nutzer zu viel Zeit haben, sie ihr Gehirn abschalten und wild durch die Gegend surfen, dann Google Earth herunterladen und in Ihrer TS Session installieren! :shock: :mad: Hallo ja leider muss ich das auch immer wieder feststellen und habe mich auch immer gewundert wieso das geht. Mit dem Application Manager von Appsense könnte man das verhindern. Ist jedoch teuer. Gruss Ritchie Quote
Wolke2k4 11 Posted August 8, 2006 Author Report Posted August 8, 2006 Dürfte schwierig werden, dass dem Kunden zu verkaufen. :suspect: Quote
Loki-123 10 Posted August 8, 2006 Report Posted August 8, 2006 Hi, Hab mal irgendwo gelesen (ich glaube sogar ein offizieller MS-Artikel), dass man sowas über die lokalen Sicherheitsrichtlinien einstellen muß / kann. Dort gibt es die Richtilinie für "Softwareeinschränkungen". Unter "Zusätzliche Regeln" lassen sich dann Dateiendungen, Hashwerte usw. eintragen mit denen man dann nicht nur eine Installation sondern auch das Ausführen bestimmter Progs verhindern kann. Soll aber sehr umständlich zu Pflegen sein, daher hab ich´s nie getestet... Gruß, Thomas Quote
Ritchie 10 Posted August 8, 2006 Report Posted August 8, 2006 Das glaube ich Dir gerne. Darum haben wir es auch nicht im Einsatz.:D Aber manchmal ist es billiger, ein solches Tool anzuschaffen als dauernd die Software zu löschen und die dadurch verursachten Probleme zu lösen. Aber für eine andere Lösung bin ich auch ganz Ohr.:) Gruss Ritchie Quote
zahni 566 Posted August 8, 2006 Report Posted August 8, 2006 Das geht schon. Beschäftigt Euch mal mit "Richtlinien zu Softwareeinschränkung". Einfach Die Verzeichnisse festlegen, aus denen Programme gestartet werden dürfen. Dortdürfen die User dann kein Schreibrecht haben. -Zahni Quote
Ritchie 10 Posted August 8, 2006 Report Posted August 8, 2006 Das geht schon. Beschäftigt Euch mal mit "Richtlinien zu Softwareeinschränkung". Einfach Die Verzeichnisse festlegen, aus denen Programme gestartet werden dürfen. Dortdürfen die User dann kein Schreibrecht haben. -Zahni Aber die Benutzer haben auf dem ganzen Server NUR Leserechte :confused: Werde dies aber mal testen wenn ich Zeit habe. Gruss Ritchie Quote
zahni 566 Posted August 8, 2006 Report Posted August 8, 2006 Aber sicher doch in Ihrem Profil und Ihrem Homelaufwerk. -Zahni Quote
Wolke2k4 11 Posted August 8, 2006 Author Report Posted August 8, 2006 Aber sicher doch in Ihrem Profil und Ihrem Homelaufwerk. -Zahni Und in das Profil installiert sich bspw. GE... Ich schau mir die Geschichten mal an. Danke erstmal für die Antworten! Quote
Ritchie 10 Posted August 8, 2006 Report Posted August 8, 2006 Aber sicher doch in Ihrem Profil und Ihrem Homelaufwerk. -Zahni Ja, das ist klar. Trotzdem hatte ich schon, dass unter Program Files ein neuer Ordner angelegt wurde. Gruss Ritchie Quote
Wolke2k4 11 Posted August 8, 2006 Author Report Posted August 8, 2006 Ok, halten wir fest: 1. per Default ist die Sicherheitsstufe auf nicht eingeschränkt 2. Wenn ich unter zusätzliche Regeln eine Pfadregel mit den Eigenschaften Pfad: c:\dokumente und einstellungen\%username% --> nicht erlaubt erstelle kann bspw. GE nicht installiert werden. Die Frage ist, was mit dieser Einstellung noch alles Beschränkt wird... Zusätzlich ist es so, dass wenn ein Nutzer die zu installierende Datei bspw. in ein Netzlaufwerk verschiebt, sie von dort aus weiterhin installiert werden kann. Man kann die Laufwerke sicher mit in die Richtlinie mit aufnehmen, aber eine Ideallösung ist es nicht. Ich verstehe nicht, warum ein einfacher Nutzer überhaupt in einer TS Session das Recht besitzt etwas zu installieren... aber wie ich MS kenne ist das "by design"... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.