none
Zákazy ve WIN 7 prosím moc o pomoc, spěchá RRS feed

  • Dotaz

  • Zdravíčko všem

    Prosím Vás sem pracovník v IT a nemám letou praxi i když pár let mám ale neumím s tímto.

    Ve firmě v oblasti zhruba cca 30ti PC potřebuji zavést aby nikdo nemohl instalovat žádný software.
    Na každém PC jsem odemkl Admin profil a pak je tam profil zaměstnance.
    Na admin se nedostanou, maj jen pouze svůj a z důvodu bezp. politiky musím udělat, aby každý zaměstnanec nemohl instalovat žádný soft. Pouze pověřené osoby. Jak se to udělá prosím Vás?! Moc žádám o pomoc, musím to do pár dnů udělat.

    Už se mi i něco podařilo, jenže je tam zas problém že když to vše zakážu, neaktualizují se jim Antivirové programy od MCAfee. A to zas také nemůže být, a nenašlel jsem žádné vyjímky nebo tak něco na to co smějí v jejich profilu probíhat za instalace. Proto můj dotaz směřuje, zda je nějak soft nebo nejlépe ve Win jak toto nastavit? Případně i na Win XP, děkuji moc

    neděle 26. února 2012 20:07

Odpovědi

  • Ahoj,

    nedávej prosím duplicitní dotazy.

    Uživatel nemůže instalovat software, pokud je ve skupině Users. Ale může si třeba nainstalovat Chrome, atd. Prakticky nemá práva pro spuštění EXE souborů.

    Máte doménu? Pokud ne a musíš to dělat ručně, tak na Windows XP bych ti doporučil program TrustNoExe, který zabrání spouštění EXE souborů z nedůvěryhodných umístění.

    U Windows 7 je situace mírně složitější. Tam TrustNoExe není. Jaké máte verze? Pokud Enterprise a Ultimate, tak se dá využít technologie AppLocker. Pokud ne, tak bych viděl řešení v Parenatal Security. Tam se dají nastavit práva pro "děti", aby nemohli spouštět různé programy atd. Tak to se dá využít velmi efektivně.

    Pak jsou zde ještě samozřejmě Software restriction policies (doména prakticky nutná):

    http://technet.microsoft.com/en-us/library/bb457006.aspx


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    neděle 26. února 2012 20:26
  • Asi bych v tomto pripade sel opacnym smerem: pres GPO jim povol jen vyjmenovane aplikace.

    MP

    neděle 26. února 2012 21:14
    Moderátor
  • Jakube,
    Pri vsi ucte ... Technet je forum pro profesionaly. Profesional by MEL vedet, co je GPO.

    GPO = Group Policy. Pouzij policy "Run only Allowed Windows Applications". Doporucuji zadavat UPLNE CESTY !!!

    MP

    neděle 26. února 2012 21:24
    Moderátor

Všechny reakce

  • Jsou pocitace v domene?

    MP

    neděle 26. února 2012 20:25
    Moderátor
  • Ahoj,

    nedávej prosím duplicitní dotazy.

    Uživatel nemůže instalovat software, pokud je ve skupině Users. Ale může si třeba nainstalovat Chrome, atd. Prakticky nemá práva pro spuštění EXE souborů.

    Máte doménu? Pokud ne a musíš to dělat ručně, tak na Windows XP bych ti doporučil program TrustNoExe, který zabrání spouštění EXE souborů z nedůvěryhodných umístění.

    U Windows 7 je situace mírně složitější. Tam TrustNoExe není. Jaké máte verze? Pokud Enterprise a Ultimate, tak se dá využít technologie AppLocker. Pokud ne, tak bych viděl řešení v Parenatal Security. Tam se dají nastavit práva pro "děti", aby nemohli spouštět různé programy atd. Tak to se dá využít velmi efektivně.

    Pak jsou zde ještě samozřejmě Software restriction policies (doména prakticky nutná):

    http://technet.microsoft.com/en-us/library/bb457006.aspx


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    neděle 26. února 2012 20:26
  • Ano PC jsou v doméně.

    Win XP - verze jsou všude Professional - zhruba 75procent PC

    Win 7 - verze jsou také professional

    Klidně může být software jak si poslal ale potřebuji freeware? To jsou ?
    Jinak děkuji za ochotu, musím to vážně udělat a stále nevím jak přesně

    neděle 26. února 2012 21:04
  • TrustNoExe je free.

    Ale ty Software Restrictions jsou určitě lepší/systémovější cesta...


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    neděle 26. února 2012 21:06
  • TrustNoExe - diky moc, stahnu a kouknu na to

    A ty Software Restrictions - uz sem se tim snažil prokousat ale moc mi přímo to neřeklo co mám kde zakázat aby to fungovalo. Rikam ze mi jde jen o to aby mi nemohli nic instalovat což se mi podařilo přes GPedit.msc   tam sem v záložce zakazal pro PC používat instalator Windows - coz funguje, chce to heslo admina - máme to takhle i ve škole - jenže mi tam jde jen o to aby prošly aktualizace MCAfee antiviraco tam je od jiného oddělení naší firmy

    neděle 26. února 2012 21:13
  • Asi bych v tomto pripade sel opacnym smerem: pres GPO jim povol jen vyjmenovane aplikace.

    MP

    neděle 26. února 2012 21:14
    Moderátor
  • No to mě také napadlo ze musí byt cesta ze se udělá něco jakože nesmějí nic spustit, že vše bude zakázané jen udělám vyjímky třeba pro deset softwarů, jenže jak se to dělá? Co je GPO ? děkuji moc a omluvte mou špatnou výslovnost nebo občasnou neznalost

    neděle 26. února 2012 21:16
  • Jakube,
    Pri vsi ucte ... Technet je forum pro profesionaly. Profesional by MEL vedet, co je GPO.

    GPO = Group Policy. Pouzij policy "Run only Allowed Windows Applications". Doporucuji zadavat UPLNE CESTY !!!

    MP

    neděle 26. února 2012 21:24
    Moderátor
  • Neříkám že jsem začátečník, profi sem, ale přiznám se, jsem mladý a né ve všem jsem profesionál, pár děr mám a potřebuji si je doplnit. Děkuji za pochopení.
    GPO - řiká mi to něco, vím ale spíš bych potřeboval konkrétní kroky co mám udělat. Nebo prostředí kde se toto dělá. Děkuji
    neděle 26. února 2012 21:52
  • Dle verze to udelej v DSA.msc nebo v GPMC.msc. Vytvor a nalinkuj GPO na prislusnou OU

    MP

    neděle 26. února 2012 21:56
    Moderátor
  • No a teď přijde otázka co je to OU.

    :-)

    .

    To Jakub Skála: Doporučuji ti absolvovat nějaké školení na správu domény.


    JCH

    pondělí 27. února 2012 7:22
  • Já semsi přišel pro dotaz, je to oficiální microsoft forum, takze dokazováním vašeho ega mi neodpoví, nepomůže a nic se tim nedcílí, a jestli Vám to dělá dobře, bežte na školení o vztazích mezi lidmi

    Každý sme jednou byly mladší a začínaly, a každý chtěl po věcech jít a ptát se

    Takže asi takto, kdyby se nemluvilo ve zkratkach a řeklo třeba například hned - Group Policy, vím o co jde a znám to. Takže stále jsem u tohoto dotazu, jak přesněji mohu zakázat právo instalovat a udělat vyjímku pro antivir. To je jediné, nebo jinak - zakázat vše a povolit jen co se může spouštět.

    Jinak děkuji za ochotu, zkoušel jsem to, a stále se nedaří, jen částečně

    pondělí 27. února 2012 20:22
  • Jeste jednou:toto je oficialni MS forum pro profesionaly. Vse potrebne mas napsano v reakcich vyse.

    MP

    pondělí 27. února 2012 20:26
    Moderátor
  • Ahoj,

    můžeš sem poslat sestavu toho, co máš nastavené v doméně. Otevřeš si Správa zásad skupiny a klikneš pravým tlačítkem na ty určité zásady a zvolíš Uložit sestavu.

    Nastavil už jsi něco? Jinak můžeš trochu více popsat ty aktualizace toho Antiviru? To se jedná o nové verze? Pokud ano, tak by s tím neměl být problém - nastavíš, aby se ty pravidla neaplikovala na Administrátory a oni to budou instalovat pod účtem Administrátora, ne?


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    pondělí 27. února 2012 21:38