none
Softwareinstallation per GPO für Benutzer ohne Admin-Rechte sperren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Community,

    habe eine besonderes Problem. Ich betreue ein kleines Netzwerk mit einem DC (Windows 2008R2) und 10 Clients. Die Benutzer sind ganz normale Standardbenutzer und können somit keine Programme installieren.

    Ausnahme bilden hier aber Programme, die keinen Zugriff auf Systemdateien benötigen: Firefox, Google Chrome. Diese fragen bei Installation zwar nach Administratoranmeldung, wenn diese aber verweigert wird, installieren sie sich munter weiter in c:\users\(username)\appdata\Local.

    Gibt es eine Möglichkeit, die Installation in das Benutzerverzeichnis grundsätzlich zu sperren?

    Ich habe noch keinen Weg gefunden, außer paar Workarounds mit den Berechtigungen, die aber sehr schnell umgangen werden können oder andere Programme in der Funktion behindern.

    Ich bin für jede Hilfe dankbar

    • Bearbeitet IMaurer Sonntag, 14. Oktober 2012 08:37
    Sonntag, 14. Oktober 2012 08:36
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 14.10.2012 10:36, schrieb IMaurer:
    > Gibt es eine Möglichkeit, die Installation in das Benutzerverzeichnis
    > grundsätzlich zu sperren?
     
    Ja.
    Mit Applocker in der Enterprise Version und einer konsequenten reinen
    Whitelist, der zur Ausführung erlaubten Dateien.
    Sonst nicht. Zur Not entpacke ich Software im %temp%, das kannst du
    garnicht mit Berechtigungen absichern, sonst läuft das System nicht.
    Im "Angebots" Ordner im Netzwerk werde ich auch schreiben dürfen und
    diversen anderen Pfaden ...
     
    Aus gleichen Grund, warum du es nicht als Recht vergeben kannst, kannst
    du es auch nicht verbieten.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Sonntag, 14. Oktober 2012 14:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark, 

    Danke für die Antwort, ist also alles wie ich mir es gedacht habe, man kann schlichtweg Firefox und Konsorten nicht wirklich an der Installation ohne Weiteres hindern. Und Windows ist leider auch nur in der Pro-Version vorhanden. 

    Na ja, dann muss ich wohl dem Kiosk-Modus-ähnlichen Zustand einrichten und darauf hoffen, dass die Benutzer es leid sind, die Programme jedes mal neu zu installieren :-) 

    Vielen Dank nochmal für deine Hilfe und ich denke, das Thema ist damit erledigt und kann zu.

    Sonntag, 14. Oktober 2012 15:15
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 14.10.2012 schrieb IMaurer:

    Danke für die Antwort, ist also alles wie ich mir es gedacht habe, man kann schlichtweg Firefox und Konsorten nicht wirklich an der Installation ohne Weiteres hindern. Und Windows ist leider auch nur in der Pro-Version vorhanden. 

    Doch, es gibt einen weiteren Weg. Sieh dir SAFER an:
    http://schneegans.de/computer/safer/ So kannst Du die Anwender daran
    hindern, ausführbare Programme außerhalb von %programfiles% und
    %windir% zu starten. Nur der Admin darf Programme installieren. Am
    besten mit einem Testclient ausführlich testen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Sonntag, 14. Oktober 2012 16:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke noch einmal, das dürfte genau das Richtige sein. Hätte nicht gedacht, dass es so was gibt.

    Ich probiere mal die Funktion mal aus, komme allerdings erst nächstes Wochenende dazu und dann gibt natürlich auch Feedback von mir.

    Am sonsten noch einmal besten Dank und ein schönes Restwochenende.

     

    Sonntag, 14. Oktober 2012 17:00
    |
  • Question
    Anmelden
    0
    Anmelden
    IMaurer wrote:
     
    > Na ja, dann muss ich wohl dem Kiosk-Modus-ähnlichen Zustand einrichten und darauf hoffen, dass die Benutzer es
    > leid sind, die Programme jedes mal neu zu installieren :-)
     
    Was sind das für Benutzer die sich durch eine schriftliche Vereinbarung als
    Zusatz zum Arbeitsvertrag (und den mit einem Verstoß verbundenen
    Konsequesnzen wie Abmahnung und Kündigung) nicht davon abhalten lassen
    Software zu installieren?
     
    Merke: Nicht jedes Problem ist durch technische Vorkehrungen zu lösen!
     
    thomas
     
    Montag, 15. Oktober 2012 06:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Thomas,

    das sind zum größten Teil externe Dienstleister oder Außendienstmitarbeiter, die sich gelegentlich dort einloggen, daher auch ein eigener Server und ein eigenes Netzwerk. Der vertragliche Aspekt wurde auch schon mehrmals angesprochen, ich kann aber nicht mehr als eine Empfehlung aussprechen (bin ja schließlich auch nur ein Dienstleister), daher muss ich die Rechte der Benutzer so restriktiv wie möglich gestalten. Da aber (wie immmer) das IT-Budget sehr knapp ist, muss es, so weit wie möglich, mit vorhandenen Mitteln umgesetzt werden.

    Gruß

    Igor

    Montag, 15. Oktober 2012 08:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Igor,

    könntest Du bitte auch die Antworten markieren, die Dir geholfen haben?

    So dass auch andere davon profitieren können.

    Danke und Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 15. Oktober 2012 14:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    habe den SAFER heute in der Testumgebung kurz ausprobiert und konnte schon mal erste Erfolge verbuchen (habe testweise den vorgefertigten Reg-File für Chrome eingespielt und Installation bzw. der Start vom Installer wurde geblockt) Vielen Dank noch mal an alle, die mir geholfen haben.

    @Raul Talmaciu: Vielen Dank für den Hinweis, habe den Beitrag von Winfried Sonntag als hilfreich markiert und der Thread kann dann somit als erledigt markiert werden.

    Gruss

    Igor

    Montag, 15. Oktober 2012 20:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 15.10.2012 schrieb IMaurer:

    habe den SAFER heute in der Testumgebung kurz ausprobiert und konnte schon mal erste Erfolge verbuchen (habe testweise den vorgefertigten Reg-File für Chrome eingespielt und Installation bzw. der Start vom Installer wurde geblockt) Vielen Dank noch mal an alle, die mir geholfen haben.

    Freut mich für Dich und Danke für die Rückmeldung. ;)

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 15. Oktober 2012 21:10
    |