none
Gpo para liberar só alguns programas

    Question

  • Pessoal,

    Hoje tenho uma Gpo para bloquear o windows media player, powerpoint, msn mas notei que usuários estão instalando alguns programas diferentes e conseguem acessar videos, músicas e etc...tenho que deixar eles como adminstrador local na máquina e isso dá direito a eles instalar softwares porque se eu deixar como usuário normal eles não conseguem abrir aplicativos internos..porque isso acontece? como faço para deixar eles como users e não como adminstrador local e eles conseguirem abrir esses programas internos? e como faço para bloquear todos programas e liberar só o que eu quero via GPO?


    um exemplo: no windows XP após um usuário novo logar e não ser adminstrador local ele não consegue nem abrir o M. outlook 2003 só abre depois que eu coloco ele como adminstrador local não sei porque isso acontece.

    Fernando Galvão
    Wednesday, February 10, 2010 8:13 PM

Answers

  • Amigão,


    Dá uma olhada nesse artigo:

    http://imasters.uol.com.br/artigo/5078/servidores_windows/bloqueando_um_arquivo_executavel_utilizando_seu_hash/

    É interessante você bloquear o arquivo por hash, e não por nome...


    Abraços,



    Thursday, February 11, 2010 11:37 AM
  • Olá.

    Eu indico que você faça o bloqueio dos softwares utilizando regra de Hash como sugerido pelo Coronel. Para resolver seu problema dos usuários instalarem softwares, você não deve dar permissão de Administrador para eles, dessa forma não instalarão nada. Para que seus sistemas internos funcionem, de permissão nas pastas onde eles estão instalados, como sugerido pelo Diogo.

    Abraço.


    Se útil, classifique. Matheus M. Bertuco – MCT, MCSA, MCTS, MCP.
    Thursday, February 11, 2010 2:20 PM

All replies

  • Olá,


    Para os usuários poderem acessar seus aplicativos interno, é so vc dar permissão na pasta onde esta o aplicativo, só lembrando que alguns aplicativos gravam arquivos na pasta system 32, se esse for o caso tera que da permissão nesse arquivo tbm, assim os usuarios não precisa ser adm local (sabemos que isso é um perigo..rs).
    Em relação a GPO onde vc criou essa politica para bloquear os aplicativos citado, é só vc colocar ao invez de unrestricted colocar disallowed, mais ai terá que da permissão em todos os softwares que os usuarios precisaram usar.
    Diogo Molina MCP, MCSA, MCSE, MCTS. Ajude manter o forum organizado, se util classifique! Http://diogo-molina.spaces.live.com
    Wednesday, February 10, 2010 8:25 PM
  • Cria uma GPO liberando permissão na pasta e chave de registro desses softwares, para que todos consigam acessar sem privilegio administrativo.

    Configuração de computador - Configuração do windows->cnfiguração de segurança->Sistema de arquivo(Aqui você coloca as pastas)

    Configuração de computador - Configuração do windows->configuração de segurança->Registro(Aqui você adiciona a chave do registro, se houver é claro, pois existem muitos softwares que nao usam)

    Ligue essa GPO na OU das estações do dominio, e pronto! Todas os softwares que precisam de privilegio de adm local nao precisaram mais.

    Abraços,
    Wednesday, February 10, 2010 8:52 PM
  • Diogo Molina,

    Disallowed? porque onde fiz o bloqueio não tem isso.

    caminho da GPO que fiz o bloqueio:

    configurações do usuario->Modelos administrativos->system->dont run specified windows applications

    e ai dentro coloco os aplicativos que eu quero que eles não acessem...então vou na opção de cima:

    run only allowed windows applications? 


    vou testar.

    Fernando Galvão
    Wednesday, February 10, 2010 9:49 PM
  • Amigão,


    Dá uma olhada nesse artigo:

    http://imasters.uol.com.br/artigo/5078/servidores_windows/bloqueando_um_arquivo_executavel_utilizando_seu_hash/

    É interessante você bloquear o arquivo por hash, e não por nome...


    Abraços,



    Thursday, February 11, 2010 11:37 AM
  • Olá.

    Eu indico que você faça o bloqueio dos softwares utilizando regra de Hash como sugerido pelo Coronel. Para resolver seu problema dos usuários instalarem softwares, você não deve dar permissão de Administrador para eles, dessa forma não instalarão nada. Para que seus sistemas internos funcionem, de permissão nas pastas onde eles estão instalados, como sugerido pelo Diogo.

    Abraço.


    Se útil, classifique. Matheus M. Bertuco – MCT, MCSA, MCTS, MCP.
    Thursday, February 11, 2010 2:20 PM
  • fiz o seguinte....o usuário precisa de permissão na pasta local do cliente oracle:  c:\oracle  e na pasta do aplicativo que é local mas puxa do servidor oracle as informações : c:\piramide

    usando esse programa como exemplo como vou fazer isso na GPO? colocar o caminho da máquina cliente? outra coisa fiz um teste no TS que tenho esses aplicativos e tenho esse mesmo problema de permissão lembrando que o TS está fora do domínio....dei permissão nessas pastas para o usuário(esse usuário não tem perfil de adminstrador só de usuário e de acesso a área de trabalho remoto), para os usuários autenticados, e usuários da área de trabalho remota e não fiz nenhum bloqueio para ver primeiro o usuário tendo acesso aos programas que necessito mas o erro continua...


    o que pode ser? dei permissão total nas pastas dos programas.

    Fernando Galvão
    Tuesday, February 23, 2010 1:34 PM