Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Per GPO zugriff auf lokales Verzeichnis sperren

Mitglied: anding

anding (Level 2) - Jetzt verbinden

11.03.2008, aktualisiert 21:08 Uhr, 11990 Aufrufe, 11 Kommentare

Hallo!

Wir haben ein Programm, (dass leider nicht optimal programmiert ist, aber wir brauchen es...) welches fast jeder Rechner im Netzwerk installiert hat (ca. 300)

Nun ist ein Update fällig und das wurde schon 2x unterbrochen weil jemand das Programm geöffnet hat! Serverseitig können wir da nichts sperren, das gibt das Programm nicht her. Es greift auf eine Oracle9-DB auf unseren Unix-Server zu.

Meine Frage: Gibts es eine Möglichkeit den Nutzern per GPO das Recht auf z.B. C:\test zu nehmen (dort liegt das Programm; ein Teil lokal ein Teil serverseitig...)?
Wenn jemand eine andere gut und praktikable Lösung hat, immer her damit!

Danke schon mal!

Gruß
andi
Mitglied: 60730
11.03.2008 um 10:55 Uhr
Moin kann ja verstehen, das du zappelig bist, aber hol mal tief Luft zwischen den Zeilen...

Der Leser und Tippgeber wird dir das danken

Mach folgendes:

In der GPO sagst du, Explorer erst nach erfolgreichem Login starten.
Computer config / Admin Templates / System / Logon / run logon scripts synchronously

Das Updatescript legst du dann ins loginscript, das der User ausführt.
Bitte warten ..
Mitglied: Logan000
11.03.2008 um 11:15 Uhr
Der Weg von Timo sollte funktionieren.

Falls du dennoch die Verzeichnisrechte mit GPO bearbeiten möchtest, schau mal unter

Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Dateisystem / Datei hinzufügen.
Bitte warten ..
Mitglied: 61319
11.03.2008 um 11:34 Uhr
Hi,

Du kannst auch einfach mit taskkill das Programm schliessen und dann den Dateiaustausch durchführen.
So mach ich es bei unserer Softwareverteilung auch

Gruß Niko
Bitte warten ..
Mitglied: 60730
11.03.2008 um 11:35 Uhr
viele Wege führen nach ReadOnlyMemory...

Du kannst den Weg gehen, der dir beschrieben wurde.
Du kannst das Update beim Rechnerstart in der GPO eintragen.
Du kannst vor dem aktualisieren den Link aus dem Startmenü löschen und erst bei vollendeter Aktualisierung wieder einfügen.
Du kannst die oracle Pfade deaktivieren und reaktivieren.
Nur mal der Vollständigkeit halber - owohl es ganz sicher noch einige Trampelpfade nach ROM gibt.
Bitte warten ..
Mitglied: 60730
11.03.2008 um 11:38 Uhr
Hey Niko, ich hab zwar grade alle möglichen Trampelpfade beschrieben, aber einen Task, der "eventuell" gestartet ist oder auch nicht zu beenden - gehört ganz sicher zu den Kriechwegen

Taskkill, wer führt den aus? der User im Leben nicht - außer der hat Adminrechte...

Was passiert in deinem Fall, wenn der User "penetrant" ist und die Anwendung einfach nochmal startet?

Ebent.
Bitte warten ..
Mitglied: 61319
11.03.2008 um 11:42 Uhr
Immer schön einfach halt

Die Frage ist halt, ob man das Script nicht einfach schon in der Computerkonfiguration laufen lässt und so das Kopieren schon vor der Anmeldung durchlaufen wurde!?
Dann ist auch noch kein Programm vom User geöffnet.

Ansonsten ist ein taskkill mit einem sofortigen löschen der Dazei sicher schneller, als ein penetranter Benutzer.

Gruß Niko
Bitte warten ..
Mitglied: manuel-r
11.03.2008 um 11:53 Uhr
Was passiert in deinem Fall, wenn der User "penetrant" ist und die Anwendung einfach nochmal startet?
Einfach per Logonscript ein Script starten, das schnell zyklisch prüft, ob ein entsprechender Prozess oder Task läuft. IF $programläuft THEN KILL $programm Ein passendes Beispielscript findet sich unter ApplicationWatchdog selbst gemacht. Ich lasse damit bzw. mit einer Abwandlung bei uns zum Beispiel alle 2 Minuten prüfen, ob eine nicht erlaubte Anwendung läuft. Und wenn ja schieße ich (bzw. das Script) sie ab. Das ist nämlich ein Nachteil von portable Applications - jeder kann alles mögliche mitbringen und starten.

Manuel
Bitte warten ..
Mitglied: anding
11.03.2008 um 13:39 Uhr
Ui ui ui, so viele Antworten...

Es ist so, dass zuerst ein Update am Server gemacht wird. Öffnet dann ein Benutzer das Programm: *peng* nochmal von vorn. Und die Updates sind leider kein Spaß...

Das Update dann am Client wird über eine eigene Updateroutine automatisch installiert (vom Programm-Hersteller)

Mit Taskkill wird es also nichts... Das müsste ich praktisch in Echtzeit prüfen.

Ich werd mal ein bisschen eure Vorschläge testen und dann geb ich bescheid...!
Bitte warten ..
Mitglied: manuel-r
11.03.2008 um 18:19 Uhr
Du könntest ja auch einfach das Verzeichnis oder die ausführbare Datei umbenennen. Dann läßt sich auch nichts mehr starten. Wenn du dazu ein kleines Script mit PSExec schreibst hast du die Umbenennung auf allen Rechnern mit einem Doppelklick und etwas Wartezeit erledigt. Danach solltest du in aller Ruhe deine Updates machen können. Im Anschluss daran auf dem gleichen Weg alles wieder in den Ausgangszustand versetzen. Fertig.

Manuel
Bitte warten ..
Mitglied: 60730
11.03.2008 um 19:14 Uhr
Hi,
mit den Infos - die wir jetzt haben - ist wohl keiner der bisher beschriebenen Wege sinnvoll...

Überlege mal, ob dir dieser Weg gefallen kann....

Den Link, mit dem die User die Anwendung starten, versteckst du und stelllst ihnen stattdessen folgende Batch zur Verfügung:

01.
:check4update 
02.
@cls 
03.
@color fc 
04.
@if exist \\softwareserver\update.ini >nul echo "Bitte einen Augenblick Geduld - die Anwendung wird gerade aktualisiert" 
05.
@if exist \\softwareserver\update.ini >nul goto check4update 
06.
@if not exist \\softwareserver\update.ini >nul "c:\meineanwendung\start.lnk 
07.
 
08.
exit

Jetzt mußt du nur dafür sorgen dass diese "update.ini" immer dann in der Freigabe vorhanden ist, wenn das Update gerade läuft und diese Batch anstelle des Links ins Startmenü kopieren.

@ Manuel: naja das Verzeichnis umbenennen, wird komplifiziert, denn die Updateroutine muß in der zwischenzeit laufen und an die Möglichkeit, dass sich jemand schon / noch angemeldet hat, bevor das Update gestartet ist - müßte man[n] auch noch denken.....


Ps: Mittlerweile sind wir Meilenweit von der Überschrift entfernt - kommen aber der Lösung immer näher
Bitte warten ..
Mitglied: manuel-r
11.03.2008 um 21:08 Uhr
Ich hatte das so verstanden, dass der Client lokal liegt (der OP schrieb ja als Beispiel c:\test). Was sollte also dagegen sprechen für die Dauer des Updates das Verzeichnis in c:\test_update umzubenennen. Meinetwegen könnte man es gleichzeitig auch noch verstecken, damit nicht ein findiger User auf die Idee kommt die EXE von dort zu starten. Jegliche Verknüpfungen zum Client laufen dann ins Leere und produzieren eine Fehlermeldung. Wenn es schöner sein soll könnte auch einfach die EXE umbenannt werden in programm_update.exe und temporär durch eine anderes File ersetzt werden. Dieses bringt dann einen entsprechenden Hinweis auf den Bildschirm.
Ob schon ein User angemeldet ist, ist für das umbenennen des Verzeichnisse bzw. der Datei ja unerheblich. Es muss lediglich sichergestellt sein, dass weder das Verzeichnis noch die Dateien darin gerade im Zugriff sind. Das wiederum sollte man über remotes beenden der Anwendung per Script in den Griff bekommen können - alles eine Frage der Reihenfolge. Per Script mit PSExec
  • laufendes Programm per Script beenden
  • Programm-Datei umbenennen und durch Fake ersetzen
  • Update am Server ausführen
  • Fake löschen und Programm-Datei zurück umbenennen
  • Programm starten um Client-Update anzustoßen
Ich bin absolut der Meinung, dass das funktioniert.

Manuel
Bitte warten ..
Ähnliche Inhalte
Windows 7

Zugriff auf net.exe nicht möglich - Welche lokale GPO?

Frage von praxxzzWindows 74 Kommentare

Hallo zusammen, ich bin gerade dabei einen Windows 7 PC für unsere Produktion zu konfigurieren. Dabei habe ich schon ...

IDE & Editoren

Lokales Verzeichnis wird in Netbeans nicht angezeigt

Frage von diwaffmIDE & Editoren

Hi Leute, ich habe ein php-Projekt in Netbeans, das mittels SVN zwischen verschiedenen Rechnern aktuell gehalten wird. Auf einem ...

Windows 8

GPO Wechselmedien sperre wieder deaktiviern

gelöst Frage von michi-ffmWindows 812 Kommentare

Hallo Zusammen, ich verstehe es einfach nicht und bin mit den Nerven so langsam am Ende. Ich habe im ...

Windows Server

Öffentlicher Ordner - Wie kann ich den Zugriff sperren?

Frage von NeuerOFRWindows Server9 Kommentare

Hallo, bei uns gibt es Spezialisten die ihre Dateien gerne mal im Öffentlichen Profil (Public-Folder) unter Dokumente / Bilder ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 9 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 15 StundenWindows 101 Kommentar

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail15 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless22 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall20 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server19 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...