Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Nur folgende Programme ausführen - Aero Oberfläche wird bei neuen Profilen nicht geladen

Frage Microsoft Windows Server

Mitglied: fanello

fanello (Level 1) - Jetzt verbinden

13.08.2013 um 10:46 Uhr, 2697 Aufrufe, 22 Kommentare, 4 Danke

Hi,

sobald ich die GPO "Nur zugelassene Programme ausführen" aktiviere, wird bei neuen Profilen die Aeoro Oberfläche auf meinem Terminalserver (2008r2) nicht mehr geladen. Ich habe wohl eine exe gesperrt, die benötigt wird, damit die Aero Oberfläche geladen werden kann. Habt ihr eine Ahnung, welches Programm das sein könnte?

Grüße Benny
Mitglied: colinardo
13.08.2013 um 10:50 Uhr
Hallo Benny,
der Prozess heißt dwm.exe und liegt in C:\windows\system32.

Grüße Uwe
Bitte warten ..
Mitglied: fanello
13.08.2013 um 10:59 Uhr
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.

Grüße Benny
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 11:34 Uhr
Bitte zuerst mal diesen Artikel lesen: http://technet.microsoft.com/en-us/library/bb457006.aspx
Danke.

Grüße Uwe
Bitte warten ..
Mitglied: colinardo
13.08.2013 um 11:31 Uhr
Zitat von fanello:
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Standardmäßig bekommen die User wenn ich mich nicht irre, auf einem Terminal-Server ein Windows-Basis Design zugeteilt. Versuch mal dies mit Desktop>Anpassen auf ein Aero-Design umzustellen.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:15 Uhr
Danke für Deine Hilfe. Ich werde mir den Artikel mal zu Gemüte führen.
Das umstellen des Designs funktioniert, es wird standardmäßig auch das Aero Design geladen, erst wenn ich meine Regel aktiviere, in der nur ein paar Programme stehen, die ausgeführt werden dürfen, wird das Aero Design nicht mehr geladen.
Das Problem tritt nur auf, wenn sich ein Nutzer das erste mal einloggt, d.h. wenn das Nutzerprofil erstellt wird. Wenn sich ein Nutzer einmal eingeloggt hat und das Profil erstellt wurde, wird im nachhinein immer das Aero Design geladen. Wenn ein Nutzer das Design umstellt, wird beim nächsten Login auch das Aero Design geladen. Ich nehme an, dass es eine exe gibt, die beim erstellen eines Profils aufgerufen wird, um das Aero Design standardmäßig zu laden.

Momentan habe ich folgende Programme vom nicht ausführen ausgenommen:

dwm.exe
explorer.exe
c:\win*
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:18 Uhr
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 12:30 Uhr
Zitat von fanello:
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Mach daraus eine Ordnerausnahme mit folgendem Pfad C:\Windows\ -> "Nicht eingeschränkt" und C:\Windows\system32 -> "Nicht eingeschränkt" . Und den Server neu starten nicht vergessen WICHTIG!!, sonst wirken die Änderungen nicht.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:32 Uhr
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 12:36 Uhr
Zitat von fanello:
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...

3a2bcc239a8b554551c64f4997247a71 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 12:44 Uhr
Moin allerseits.

Fanello nutzt Benutzerkonfig - Administrative Vorlagen - System - Nur zugelassenen Windows-Anwendungen auführen
colinardo spricht also von einer anderen GPO.

Fanello, Du solltest nachdenken, die von colinardo zu nutzen, da Deine nicht als Ausführungsschutz gedacht ist und mühelos übergangen werden kann, wie auch aus der Erläuterung zur Policy hervorgeht.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:54 Uhr
Danke, ich denke du hast Recht, ich bin noch etwas unerfahren

Was sollte ich denn für den Computer und was für Benutzer konfigurieren. Nicht dass sich meine Regeln nachher gegenseitig blockieren?
Bitte warten ..
Mitglied: colinardo
13.08.2013 um 12:56 Uhr
Das sollte die passende GPO für dich sein, um ein Theme festzulegen:
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anpassung > "Bestimmten visuellen Stil oder "WIndows - klassisch" erzwingen"
Dort folgenden Pfad eintragen:
%windir%\Resources\Themes\Aero\aero.msstyles
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 12:57 Uhr
Befass Dich mit applocker (ich sehe gerade, es geht um 2008 R2, da gibt es schon applocker, das ist die Weiterentwicklung von Colinardos). Deine Policy gar nicht mehr benutzen.

Applocker gibt es nur in der Computerkonfig.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 13:35 Uhr
Applocker sieht sehr gut aus. Ich möchte allerdings das ausführen von bestimmten Programmen nach Organisationseinheiten bestimmen. Geht das mit Applocker auch irgendwie, oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?

Was ist denn hier die beste Vorgehensweise?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 14:05 Uhr
oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?
Genau so.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:13 Uhr
Jetzt hab ich nur das Problem, dass die ganzen Einstellungen, die ich in Applocker treffe nicht übernommen werden. Die Ereignisanzeige auf dem Terminalserver ist bei Applocker auch komplett leer, dort steht nicht ein einziges Ereignis.

Computer habe ich natürlich 100 mal neu gestartet.
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 14:17 Uhr
Hast Du den in jeder Anleitung genannten Dienst aktiviert? Ohne den läuft nichts.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:25 Uhr
Danke, den Dienst habe ich aktiviert, das hier hat mir geholfen: http://www.grouppolicy.biz/2013/04/how-to-troubleshoot-applocker/

gpupdate, danach ging es auf einmal, der PC hat die Einstellungen beim starten aus irgendeinem Grund nicht abgerufen...
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:46 Uhr
Danke für eure Hilfe und vielen Dank für den Hinweis auf Applocker, das ist genau das was ich gesucht habe, jetzt funktioniert endlich alles so wie es soll

Edit: Wie gehe ich denn jetzt am geschicktesten vor, damit ich die ganzen Programme, wie Server Manager, die Powershell und die ganzen Verwaltungsprogramme, die im Windows Verzeichnis liegen für die Benutzer sperre?
Ich nehme mal an, dass ich mit der Benutzergruppe "Jeder" eher nicht arbeiten sollte, da dies auch Administratoren beinhaltet. Wenn ich nun den Zugriff für "Jeden" auf ein Verzeichnis sperre, dann sperre ich wohl auch den Admin aus, obwohl es eine Regel gibt "Admins alles genehmigen". Stimmt das so?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013, aktualisiert um 15:00 Uhr
Arbeite mit einer Whitelist und nicht mit Sperren.
Erlaube den Admins alles bzw. nutze die Gruppe applockeradmins (hieß die, wenn ich mich nicht täusche). Den Nutzergruppen nur das Nötige, wie Du schon angesagt hattest. Per se ist alles in program files und unterhalb von c:\windows für alle offen, da Windows davon ausgeht, dass dort nur vom Admin gewollte Programme liegen (denn nur der Admin darf dorthin schreiben/dorthin installieren).
Willst Du die dortigen Programme jedoch nicht generell freigeben, musst Du die Defaultregeln ändern.

PS: die genannten "Server Manager, die Powershell und die ganzen Verwaltungsprogramme" können in den Händen von Usern eh keinen Schaden anrichten, ihnen fehlen die Rechte.
Bitte warten ..
Mitglied: Ausserwoeger
13.08.2013 um 15:17 Uhr
Hi

Sollten dich die an der startleiste gepinten Servermanager & powershell icons stören kannst du diese mit einem einfachen VBS script automatisch entfernen lassen.
Einfach über eine GPO für die entsprechenden User ausführen lassen.

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path


'Server-Manager
If objFSO.FileExists(strAllUsersProgramsPath & "\Administrative Tools\Server Manager.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Administrative Tools")
Set objFolderItem = objFolder.ParseName("Server Manager.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If


'Windows PowerShell
If objFSO.FileExists(strAllUsersProgramsPath & "\Accessories\Windows PowerShell\Windows PowerShell.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories\Windows PowerShell")
Set objFolderItem = objFolder.ParseName("Windows PowerShell.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If

PS: Solltest du Zb. Outlook an die Taskleiste pinnen wollen geht das auch für alle User per Script:

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path



'Outlook
If objFSO.FileExists(strAllUsersProgramsPath & "\Microsoft Office\Microsoft Outlook 2010.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Microsoft Office")
Set objFolderItem = objFolder.ParseName("Microsoft Outlook 2010.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next
End If

LG Andy
Bitte warten ..
Mitglied: fanello
13.08.2013 um 15:21 Uhr
Hi Andi,

vielen Dank, du kannst meine Gedanken lesen. Danke Danke Danke

Grüße Benny
Bitte warten ..
Ähnliche Inhalte
Windows 7
GPO Diese Programme bei der Benutzeranmeldung ausführen Programm startet nicht
gelöst Frage von ShallowainWindows 77 Kommentare

Hallo zusammen, wie im Titel erwähnt habe ich ein kleines Problem mit dem GPO "Diese Programme bei der Benutzeranmeldung ...

Windows 10
Serverseitiges Profil wird nicht geladen
gelöst Frage von MorslupatusWindows 1010 Kommentare

Hallo zusammen, Ich habe folgendes Problem: Mein Surface Pro 4 (win 10) lädt keine Profile. Heißt zb.: Der eingerichtete ...

Windows 7
Benutzerprofildienst kann nicht geladen werden bei servergespeichertem Profil
gelöst Frage von Aixx1337Windows 73 Kommentare

Nabend ! Ich habe ein Problem in einer 2008R2 Domäne bzgl. einem servergespeichertem Profil. Folgende Situation : Die Domäne ...

Windows Server
Roaming Profile wird auf manchen Servern nicht geladen.
gelöst Frage von EmptymanWindows Server4 Kommentare

Hallo zusammen, ich habe eine Citrix-Serverfarm mit 13 Servern (Server 2008 R2, Xen APP 6.5). Auf drei meiner Server ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 4 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 4 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 6 StundenAdministrator.de Feedback6 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 11 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...