Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Softwareeinschränkungen (White List) per GPO unter Win 2003 und MS Net Frame Work Update

Mitglied: Reiner.Zufall

Reiner.Zufall (Level 1) - Jetzt verbinden

13.04.2011 um 11:30 Uhr, 7488 Aufrufe, 4 Kommentare

Wie bekomme ich Windows Updates (z. B. Net Frame Work), die zur Installation kurz auf C: zugreifen, dazu, sich trotz Softwareeinschränkungen auszuführen, ohne jedes Update per Hand in den GPO zuzulassen?

Hallo,

ich arbeite mit einem Windows 2003 Server und 40 WS, überwiegend Win XP. Ich habe per Gruppenrichtlinien (Softwareeinschränkung) den Usern die Ausführung aller Programme auf den PCs untersagt. Ausnahme die Standartfreigaben ( %Programme% und %Windows%). Auf diese Ordner haben die User aber nur Leserechte. Programmausnahmen habe ich natürlich auch konfiguriert. Soweit läuft das alles prima. Nur wenn ein Windows Update kommt, welches sich temporär auf C: breitmacht, wie z. B. bei dem aktuellen NetframeWork 2 / 3 Update, was gestern rauskam, blockt der PC natürlich diese Ausführung und die Installation des Updates scheitert.

Ich habe jetzt die Möglichkeit, über die GPOs Ausnahmen für die jeweiligen Programme / Dateien zu erstellen, oder ich verschiebe die Clients für 1-2 Tage in eine andere Gruppe ohne Softwareeinschränkung. Beide Möglichkeiten gefallen mir nicht so gut, da ich bei jedem Net Frame Work Update, per Hand eingreifen muss.

Gibt es eine Programm/Pfadfreigabe unter Win 2003, wo ich sagen kann, dass z. B. generell alles, was von Microsoft bzw. von meinem lokalen WSUS-Update-Server kommt zur Ausführung freigegeben ist? Vielleicht über Zertifikate?

Wie handhabt ihr das?
Mitglied: DerSchorsch
13.04.2011 um 11:47 Uhr
Hallo,

eingentlich sollte es reichen, in der Softwareeinschränkungsrichtlinie es so einzustellen, dass sie nicht für "Alle Benutzer" gilt, sondern für "Alle benutzer außer den lokalen Administratoren".
Solange deine Benutzer nur Benutzer sind, ändert es sich für die nichts, aber der Update-Dienst müsste wieder arbeiten können.

Alternativ könntest du eine neue Zertifikatsregel erstellen mit der Signatur von Microsoft. Dazu bei Zusätzliche Regel eine "neue Zertifikatsregel" erstellen und eine signierte Updatedatei auswählen. Deren Zertifikat sollte dann importiert werden. Das ganze dann erlauben. Allerdings dauern Zertifikatsprüfungen deutlich länger als die anderen Prüfungen, daher sind diese zunächst deaktiviert. Du musst also diese also erstmal im Register "Erzwingen" überhaupt einschalten.

Ich würde dir aber zur Option 1 raten.

Gruß
Schorsch
Bitte warten ..
Mitglied: Reiner.Zufall
13.04.2011 um 12:44 Uhr
Ich hab die Richtlinie unter den Computerconfigurationen eingerichtet, damit ich bei Neuanlage von Usern nicht immer drauf achten muss, dass dieser mit bestimmten Gruppenrichtlinen verknüpft werden muss.

Auf welchen lokalen Administrator sollte das Update dann zurückgreifen? Ich dachte immer, das wird mit den Rechten ausgeführt, die der angemeldete User gerade hat, da ich ja beim Anmelden am Netz gerade die aktuelle GPO vom AD mitgeteilt habe.

Gut ich könnte das was ich unter der Computerconfiguration eingetragen habe unter die Benutzerkonfiguration schreiben und das dann nur gültig für die Gruppe Benutzer machen. Aber woher soll das Update dann wissen, wenn der Benutzer "ohne Rechte" angemeldet ist, "hey ich installier mich jetzt mal als lokaler Admin"?

Der Update-Dienst arbeitet wunderbar, weil Windows so schlau ist und alles temporäre in den Ordner Windows entpackt. Dieser ist ja dafür freigegeben. Nur Net Frame Work oder z. B. auch Adobe Flash will bei der Installation mal kurz was auf C: machen und da werden sie natürlich geblockt.
Bitte warten ..
Mitglied: DerSchorsch
13.04.2011 um 18:33 Uhr
Zitat von Reiner.Zufall:
Ich hab die Richtlinie unter den Computerconfigurationen eingerichtet, damit ich bei Neuanlage von Usern nicht immer drauf achten
muss, dass dieser mit bestimmten Gruppenrichtlinen verknüpft werden muss.

ist ok.
Denk aber daran, dass die Computerkonfiguration vom Computer selbst verarbeitet wird und mit den Benutzern rein gar nichts zu tun hat (für den gilt die Benutzerkonfiguration). U.a. dafür wird bei der Aufnahme des Computers in die Domäne ja auch Computerkonto angelegt.

Auf welchen lokalen Administrator sollte das Update dann zurückgreifen?

Na, dann schau mal, unter welchem Konto die Dienste "Automatische Updates" sowie "Windows Installer" laufen?
Diese laufen als "Systemkonto". Und ja, dieses ist lokaler Administrator.

Ich dachte immer, das wird mit den Rechten
ausgeführt, die der angemeldete User gerade hat, da ich ja beim Anmelden am Netz gerade die aktuelle GPO vom AD mitgeteilt
habe.

Richtig, aber wenn das Update nicht von einem Benutzer, sondern einem der genannten Dienste gestartet wird, gelten dessen Rechte.
Es kommt also darauf an, wer das Update startet: Versucht ein Benutzer es manuell zu startet, wird er zu Recht geblockt, hast du aber den Updatedienst so konfiguriert, dass er es automatisch vom WSUS lädt und unabhängig vom Benutzer installiert, wird das eben mit dem Systemkonto durchgeführt.
Muss ja auch, man braucht schließlich Adminrechte für die Installation von Windowsupdates.

[...]
Der Update-Dienst arbeitet wunderbar, weil Windows so schlau ist und alles temporäre in den Ordner Windows entpackt. Dieser
ist ja dafür freigegeben. Nur Net Frame Work oder z. B. auch Adobe Flash will bei der Installation mal kurz was auf C: machen
und da werden sie natürlich geblockt.

Klar, da deine Richtlinie auch auf Admins wirkt.
Der Updatedienst beginnt mit dem Update, entpackt die Dateien in einen Temp-Ordner und starten von hier die eigentliche Setup-Datei. Schränkt deine Richtlinie den Temp-Pfad ein, fällt er auf die Nase.
Daher die Empfehlung, die Richtlinie so einzustellen, dass Admins nicht betroffen sind. Oder aber die (langsame) Zertifikatsregel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: Reiner.Zufall
15.04.2011 um 14:28 Uhr
Schorsch du hast ja soo Recht.

Manchmal hab ich in meiner Denke einen Knoten im Kopf. Danke fürs entknoten! Schönes WE

Für alle die hier mal mit dem gleichen Problem an der Stelle stehen eine kurze Zusammenfassung:

Ich habe mich für Schorschs Version 1 entschieden.

Ich habe alle Einstellungen, die generell für alle PCs im AD gelten in der Gruppenrichtline unter Computerkonfiguration eingetragen. (In meinem Fall sind das die WSUS-Einstellungen, die Firewall-Config und dass die Benutzergruppe "WS-Admin" (normaler Benutzer) Admin-Rechte auf den lokalen PCs bekommt.

Und die Software-White-List (Richtlinien für Softwareeinschränkung) unter Benutzerkonfiguration eingetragen. (Standart=nichts zulassen, Ausnahmen = die Standart-Win-Ausnahmen und unsere individuellen Programme)

Dann habe ich eine neue OU im AD angelegt "Anwender", die Software-White-List aktiviert und meine ganzen Anwendungsuser dorthin geschoben. Alle Administratoren und Gruppen hab ich in der Standart OU User gelassen.
Nun können die Anwender nix installieren, aber jeder Administrator kann das. Und das Windows-Update (welches tatsächlich unter dem "builtin-Admin" läuft ) funktioniert auch.

Wenn ich einen neuen Anwender im AD anlegen muss, mache ich es gleich in dem "Anwender" Ordner und die Gruppenrichtlinie wirkt.
Bitte warten ..
Ähnliche Inhalte
Windows 7
MS Works 8.0 Updates unter Windows 7
gelöst Frage von IT-Dienstleister-BayernWindows 79 Kommentare

Hallo an alle. Bin neu hier, also bitte steinigt mich nicht, falls mein Problem im falschen Thema ist oder ...

Outlook & Mail
GPO Liste der verwalteten Addins
gelöst Frage von KMUlifeOutlook & Mail2 Kommentare

Hallo zusammen Im Einsatz ist Windows 10 mit Office 365. Seit zwei Wochen haben ein paar User im Outlook ...

Windows 7
MS Updates.
Frage von AtoAtoWindows 75 Kommentare

Hallo Leute, ich brauche Unterstützung im Bereich MS Updates. Und hier die Fragen, die ich in zwei Bereichen bewusst ...

Datenbanken
Update einer Tabelle aus Liste?
Frage von RalfHackmannDatenbanken2 Kommentare

Hallo, ich muss in einer Informix SE Datenbank den Artikelstamm aktualisieren. Dazu habe ich vom Anwender eine 2-spaltige Excel ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 6 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 7 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 10 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...