Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Nur folgende Programme ausführen - Aero Oberfläche wird bei neuen Profilen nicht geladen

Frage Microsoft Windows Server

Mitglied: fanello

fanello (Level 1) - Jetzt verbinden

13.08.2013 um 10:46 Uhr, 2621 Aufrufe, 22 Kommentare, 4 Danke

Hi,

sobald ich die GPO "Nur zugelassene Programme ausführen" aktiviere, wird bei neuen Profilen die Aeoro Oberfläche auf meinem Terminalserver (2008r2) nicht mehr geladen. Ich habe wohl eine exe gesperrt, die benötigt wird, damit die Aero Oberfläche geladen werden kann. Habt ihr eine Ahnung, welches Programm das sein könnte?

Grüße Benny
Mitglied: colinardo
13.08.2013 um 10:50 Uhr
Hallo Benny,
der Prozess heißt dwm.exe und liegt in C:\windows\system32.

Grüße Uwe
Bitte warten ..
Mitglied: fanello
13.08.2013 um 10:59 Uhr
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.

Grüße Benny
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 11:34 Uhr
Bitte zuerst mal diesen Artikel lesen: http://technet.microsoft.com/en-us/library/bb457006.aspx
Danke.

Grüße Uwe
Bitte warten ..
Mitglied: colinardo
13.08.2013 um 11:31 Uhr
Zitat von fanello:
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Standardmäßig bekommen die User wenn ich mich nicht irre, auf einem Terminal-Server ein Windows-Basis Design zugeteilt. Versuch mal dies mit Desktop>Anpassen auf ein Aero-Design umzustellen.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:15 Uhr
Danke für Deine Hilfe. Ich werde mir den Artikel mal zu Gemüte führen.
Das umstellen des Designs funktioniert, es wird standardmäßig auch das Aero Design geladen, erst wenn ich meine Regel aktiviere, in der nur ein paar Programme stehen, die ausgeführt werden dürfen, wird das Aero Design nicht mehr geladen.
Das Problem tritt nur auf, wenn sich ein Nutzer das erste mal einloggt, d.h. wenn das Nutzerprofil erstellt wird. Wenn sich ein Nutzer einmal eingeloggt hat und das Profil erstellt wurde, wird im nachhinein immer das Aero Design geladen. Wenn ein Nutzer das Design umstellt, wird beim nächsten Login auch das Aero Design geladen. Ich nehme an, dass es eine exe gibt, die beim erstellen eines Profils aufgerufen wird, um das Aero Design standardmäßig zu laden.

Momentan habe ich folgende Programme vom nicht ausführen ausgenommen:

dwm.exe
explorer.exe
c:\win*
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:18 Uhr
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 12:30 Uhr
Zitat von fanello:
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Mach daraus eine Ordnerausnahme mit folgendem Pfad C:\Windows\ -> "Nicht eingeschränkt" und C:\Windows\system32 -> "Nicht eingeschränkt" . Und den Server neu starten nicht vergessen WICHTIG!!, sonst wirken die Änderungen nicht.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:32 Uhr
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 12:36 Uhr
Zitat von fanello:
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...

3a2bcc239a8b554551c64f4997247a71 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 12:44 Uhr
Moin allerseits.

Fanello nutzt Benutzerkonfig - Administrative Vorlagen - System - Nur zugelassenen Windows-Anwendungen auführen
colinardo spricht also von einer anderen GPO.

Fanello, Du solltest nachdenken, die von colinardo zu nutzen, da Deine nicht als Ausführungsschutz gedacht ist und mühelos übergangen werden kann, wie auch aus der Erläuterung zur Policy hervorgeht.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 12:54 Uhr
Danke, ich denke du hast Recht, ich bin noch etwas unerfahren

Was sollte ich denn für den Computer und was für Benutzer konfigurieren. Nicht dass sich meine Regeln nachher gegenseitig blockieren?
Bitte warten ..
Mitglied: colinardo
13.08.2013 um 12:56 Uhr
Das sollte die passende GPO für dich sein, um ein Theme festzulegen:
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anpassung > "Bestimmten visuellen Stil oder "WIndows - klassisch" erzwingen"
Dort folgenden Pfad eintragen:
%windir%\Resources\Themes\Aero\aero.msstyles
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 12:57 Uhr
Befass Dich mit applocker (ich sehe gerade, es geht um 2008 R2, da gibt es schon applocker, das ist die Weiterentwicklung von Colinardos). Deine Policy gar nicht mehr benutzen.

Applocker gibt es nur in der Computerkonfig.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 13:35 Uhr
Applocker sieht sehr gut aus. Ich möchte allerdings das ausführen von bestimmten Programmen nach Organisationseinheiten bestimmen. Geht das mit Applocker auch irgendwie, oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?

Was ist denn hier die beste Vorgehensweise?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 14:05 Uhr
oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?
Genau so.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:13 Uhr
Jetzt hab ich nur das Problem, dass die ganzen Einstellungen, die ich in Applocker treffe nicht übernommen werden. Die Ereignisanzeige auf dem Terminalserver ist bei Applocker auch komplett leer, dort steht nicht ein einziges Ereignis.

Computer habe ich natürlich 100 mal neu gestartet.
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013 um 14:17 Uhr
Hast Du den in jeder Anleitung genannten Dienst aktiviert? Ohne den läuft nichts.
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:25 Uhr
Danke, den Dienst habe ich aktiviert, das hier hat mir geholfen: http://www.grouppolicy.biz/2013/04/how-to-troubleshoot-applocker/

gpupdate, danach ging es auf einmal, der PC hat die Einstellungen beim starten aus irgendeinem Grund nicht abgerufen...
Bitte warten ..
Mitglied: fanello
13.08.2013 um 14:46 Uhr
Danke für eure Hilfe und vielen Dank für den Hinweis auf Applocker, das ist genau das was ich gesucht habe, jetzt funktioniert endlich alles so wie es soll

Edit: Wie gehe ich denn jetzt am geschicktesten vor, damit ich die ganzen Programme, wie Server Manager, die Powershell und die ganzen Verwaltungsprogramme, die im Windows Verzeichnis liegen für die Benutzer sperre?
Ich nehme mal an, dass ich mit der Benutzergruppe "Jeder" eher nicht arbeiten sollte, da dies auch Administratoren beinhaltet. Wenn ich nun den Zugriff für "Jeden" auf ein Verzeichnis sperre, dann sperre ich wohl auch den Admin aus, obwohl es eine Regel gibt "Admins alles genehmigen". Stimmt das so?
Bitte warten ..
Mitglied: DerWoWusste
13.08.2013, aktualisiert um 15:00 Uhr
Arbeite mit einer Whitelist und nicht mit Sperren.
Erlaube den Admins alles bzw. nutze die Gruppe applockeradmins (hieß die, wenn ich mich nicht täusche). Den Nutzergruppen nur das Nötige, wie Du schon angesagt hattest. Per se ist alles in program files und unterhalb von c:\windows für alle offen, da Windows davon ausgeht, dass dort nur vom Admin gewollte Programme liegen (denn nur der Admin darf dorthin schreiben/dorthin installieren).
Willst Du die dortigen Programme jedoch nicht generell freigeben, musst Du die Defaultregeln ändern.

PS: die genannten "Server Manager, die Powershell und die ganzen Verwaltungsprogramme" können in den Händen von Usern eh keinen Schaden anrichten, ihnen fehlen die Rechte.
Bitte warten ..
Mitglied: Ausserwoeger
13.08.2013 um 15:17 Uhr
Hi

Sollten dich die an der startleiste gepinten Servermanager & powershell icons stören kannst du diese mit einem einfachen VBS script automatisch entfernen lassen.
Einfach über eine GPO für die entsprechenden User ausführen lassen.

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path


'Server-Manager
If objFSO.FileExists(strAllUsersProgramsPath & "\Administrative Tools\Server Manager.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Administrative Tools")
Set objFolderItem = objFolder.ParseName("Server Manager.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If


'Windows PowerShell
If objFSO.FileExists(strAllUsersProgramsPath & "\Accessories\Windows PowerShell\Windows PowerShell.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories\Windows PowerShell")
Set objFolderItem = objFolder.ParseName("Windows PowerShell.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If

PS: Solltest du Zb. Outlook an die Taskleiste pinnen wollen geht das auch für alle User per Script:

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path



'Outlook
If objFSO.FileExists(strAllUsersProgramsPath & "\Microsoft Office\Microsoft Outlook 2010.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Microsoft Office")
Set objFolderItem = objFolder.ParseName("Microsoft Outlook 2010.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next
End If

LG Andy
Bitte warten ..
Mitglied: fanello
13.08.2013 um 15:21 Uhr
Hi Andi,

vielen Dank, du kannst meine Gedanken lesen. Danke Danke Danke

Grüße Benny
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...