Zugriff auf Software nur für Benutzer in definierter Sicherheitsgruppe erlauben

Alle Antworten

• 

  

  0

  Anmelden

  Hallo,

  Bei den Gruppenrichtlinien kann ich Softwareeinschränkungen hinzufügen, wie kann ich es aber so gestalten dass die Einschränkungen nur für die Benutzer gilt die nicht in der Sicherheitsgruppe sind?

  Reden wir von Server 2008 R2?
  Dann würde ich AppLocker verwenden anstatt Software Restriction Policies.

  http://technet.microsoft.com/en-us/library/dd723678%28v=ws.10%29.aspx

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 14. März 2013 10:25

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hi,

  Am 14.03.2013 09:56, schrieb IT-Service SuP:

  ich stehe vor dem Problem dass wir den Zugriff auf eine Software,
  welche auf Terminalservern installiert ist, nur für eine bestimmte
  Benutzergruppe freischalten sollen.

  Was spricht gegen NTFS Berechtigungen?
  http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/

  Bei den Gruppenrichtlinien kann ich Softwareeinschränkungen
  hinzufügen, wie kann ich es aber so gestalten dass die
  Einschränkungen nur für die Benutzer gilt die nicht in der
  Sicherheitsgruppe sind?

  In dem du auf APPLOCKER umstellst :-)

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:       www.gruppenrichtlinien.de - deutsch
  GPO Tool:       www.reg2xml.com - Registry Export File Converter
  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

  Donnerstag, 14. März 2013 10:41

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich habe nun etwas mit AppLocker getestet. Allerdings finde ich keine Lösung wie ich dies damit umsetzen kann.

  Ich habe mit AppLocker zwar die Möglichkeit Gruppenbasiert die Rechte zu vergeben oder zu verweigern, allerdings möchte ich dass auf derm Terminalserver alle Benutzer die Programme benutzen können bis auf dieses eine. Dieses eine Programm soll allerdings eine definierte Gruppe von Benutzern auf diesem Terminalserver zusätzlich nutzen können.

  Ich habe in AppLocker eine Regel erstellt das zunächst jeder alles ausführen darf. Dann die Standardregeln die automatisch erstellt werden. Anschließend gibt es eine Regel in der eingestellt ist dass aus dem Programmverzeichnis (sind mehrere Exe-Dateien enthalten) niemand eine Exe starten kann. Als letztes existiert die Regel dass die Sicherheitsgruppe genau aus diesem Programmverzeichnis Dateien starten darf.

  Wenn ich es nun teste (und mein Benutzer in der Gruppe ist) kommt trotzdem dass das Programm über Gruppenrichtlinien deaktiviert ist.

  Was mache ich denn falsch?

  Donnerstag, 14. März 2013 15:20

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Am 14.03.2013 16:20, schrieb IT-Service SuP:

  Dann die Standardregeln die automatisch erstellt werden.

  Du hast den Anwendungsidentitätsdienst gestartet?

  Du kannst eine explizite Whitelist bauen.

  Gruppe A darf programfiles + windir
  Gruppe B darf windir + programA, programb, programc, programd

  oder als Deny, wobei Deny gewinnt.
  Gruppe A darf "alles"
  Gruppe B darf programa nicht

  Understanding AppLocker Allow and Deny Actions on Rules
  http://technet.microsoft.com/de-de/library/ee460955(v=ws.10).aspx

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:       www.gruppenrichtlinien.de - deutsch
  GPO Tool:       www.reg2xml.com - Registry Export File Converter
  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

  Donnerstag, 14. März 2013 16:02

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 14.03.2013 16:20, schrieb IT-Service SuP:

  > Als letztes existiert die Regel dass die Sicherheitsgruppe genau aus

  > diesem Programmverzeichnis Dateien starten darf.

   

  Das wird nichts werden - siehe Marks Antwort: Deny hat Vorrang vor Alow.

  Mit NTFS ACLs kommst Du vmtl. schneller zum Ziel...

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Freitag, 15. März 2013 08:13

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hallo,

  bist Du hier inzwischen weitergekommen?

  Gruss,
  Raul

  ---

  Raul Talmaciu, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Montag, 18. März 2013 11:02

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo,

  sorry für die späte Antwort, ich war im Urlaub.

  Problem konnte ich lösen. Ich habe die Standardfreigaben behalten (Zulassen) und in einer davon eine Ausnahme eingetragen für einen bestimmten Pfad.

  Anschließend habe ich für genau diesen Pfad eine Zulassenregel erstellt, die allerdings nur für eine bestimmte Gruppe gilt.

  Anschließend habe ich die anderen Pfade für Software noch zugelassen.

  • Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 27. März 2013 09:46

  Mittwoch, 27. März 2013 09:43

  Antworten

  |

  Zitieren