Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mit Gruppenrichtlinie Softwareinstallationen verhindern

Frage Microsoft Windows Server

Mitglied: Tommy1983

Tommy1983 (Level 2) - Jetzt verbinden

12.06.2009, aktualisiert 16:17 Uhr, 20819 Aufrufe, 18 Kommentare

Hallo ich benötige mal bitte eure Hilfe, es dreht sich um ein Unternehmen das nun innerhalb eines Jahres ziemlich gewachsen ist. Nun soll dieses Unternehmen eine anständige IT- struktur bekommen womit ich auch schon auf guten Wege bin. Habe die ganze Firma via Docusnap <--- geiles Programm dokumentiert und schriftlich festgehalten.
Habe die vorhanden Server ( 2 Windows 2003 64 Bit & und 1 Windows 2000 ) Repliziert und Berechtigungen auf jeden Ordner gesetzt. Nun wurde aber gefordert die Software installationen einzuschränken. Womit ich auch schon bei meiner Frage bin. Wie würdet ihr vorgehen ?

Also meine überlegung war....

Alle Domänen Benutzer sind Lokale Administratoren...
d.h wenn ich am Server über die mmc mir die Computer rein ziehe könnte ich von Zentraler Position die Lokalen Administratoren entfernen und somit die Software installation unterbinden. Ich habe das heute mal in einer Test umgebung Simuliert und es hat auch geklappt. Die installation wurde verweigert allerdings habe ich dann das Problem gehabt das man auch auf der Festplatte keine Ordner mehr erstellen konnte. Wieso ? KA !

Nun dachte ich mir man könnte es doch auch bestimmt via Gruppenrichtlinie bestimmen, leider habe ich aber noch keine Anleitung gefunden... deswegen wollte ich mal euch fragen ob einer damit schon erfahrung hat ?
Ich meine aber keine Softwareverteilung das ist der nächste Schritt... Also nur Software installationen verweigern...


Danke im vorraus...
Mitglied: TraceHard40
12.06.2009 um 16:38 Uhr
Hallo,

du musst m.E. nur die NTFS-Berechtigungen anpassen, damit die User wieder in entsprechenden Verzeichnissen schreiben können.

Ich würde niemals, oder nur wenn es gar nicht anders geht, die User zum Admin machen.

Ich denke das wäre ein schmerzfreier Weg.

Gruß,
TraceHard40
Bitte warten ..
Mitglied: deeboo
12.06.2009 um 16:40 Uhr
Warum lokaler Admin?

Wer was will, sollte sich schon an die EDV Abteilung wenden.
Nun gut, manche Programme laufen nur mit lokalen Adminrechten, das bliebe aber zu ergründen und abzuwägen.

Meine Vorgehensweise wäre es auch, alle User auf Hauptbenutzer umzustellen.

Warum soll jemand auf C: was ablegen?
Dafür gibt es Server, die täglich gesichert werden....
Bitte warten ..
Mitglied: Tommy1983
12.06.2009 um 16:56 Uhr
danke für eure schnellen ratschläge genau wie ihr an diese Sache rangeht bin ich auch rangegangen ich bin seit letzten Jahr September in dieser Firma und der Vorgänger hatte es halt so eingestellt wobei es früher auch noch kein Server gab und es von der Firma auch erwünscht war.
Also ich sehe das genau so, man sollte den Domänden Benutzer die Lokalen Administrator Rechte entziehen und auf Hauptbenutzer umstellen wobei ( können Hauptbenutzer nicht auch Software installieren? ) Glaube ich muss die auf Benutzer stellen oder?

An deeboo von wegen "Warum soll jemand auf C: was ablegen ?"

das genau ist mein Problem wir haben ein Daten Verzeichnis auf dem Server (Netzlaufwerk S und jeder User ein Persönliches Userdir U:

Ihr habt schon recht es soll aus Datenschutzgründen nix auf C:\ liegen aber was ist mit Programmen die z.b Intern irgendwas auf c: abspeichern ( z.b benutzen die dort so ne eigenständige Datensicherungssoftware für ihre Datenbank die sieh damit erst auf c: speichern und danach auf eine externe Festplatte... usw...)

also zusammenfassung:
Domänen Benutzer die Lokale Administrator Rechte entziehen und sie zu normalen Benutzern machen.
Per Gruppenrichtlinie kann ich Software installation nicht unterbinden oder?
Bitte warten ..
Mitglied: TraceHard40
12.06.2009 um 16:57 Uhr
Warum soll jemand auf C: was ablegen?
Dafür gibt es Server, die täglich gesichert werden....

- Höchstens für Programme, die (temporär) Daten im Programmpfad erzeugen müssen/wollen.
Bitte warten ..
Mitglied: HightopOne
12.06.2009 um 17:34 Uhr
Neue Sicherheitsgruppe erstellen,User in diese Gruppe packen,GPO mit der Richtlinie definieren Computerkonfiguration >Administrative Vorlage > Windows Installer >Disable Windows Installer,Berechtigungen des GPOs bearbeiten für die Sicherheitsgruppe die erstellt wurde mit den Berechtigungen > lesen erlauben,Gruppenrichtlinie Übernehmen erlaube und die GPO mit der OU verknüpfen die alle User innerhalb der Gruppe erfasst und haken bei erzwingen machen,dann sollte das Ziel erreicht sein,damit keiner mehr was installieren kann,der es nicht sollte.
Bitte warten ..
Mitglied: DerWoWusste
14.06.2009 um 23:47 Uhr
Hightopone, moin!
So wird das nichts. Du kannst Benutzern keine Computerrichtlinie zuweisen. Deine Richtlinie würde nur auf Computerobjekten und somit für alle Nutzer übernommen.
Bitte warten ..
Mitglied: DerWoWusste
15.06.2009 um 00:02 Uhr
An erster Stelle muss stehen, herauszubekommen, an welchen Rechnern Adminrechte benötigt werden, um zu arbeiten, an welchen Adminrechte nach einem Umbau gewisser Konfigurationen nicht mehr erforderlich zum Arbeiten sind und an welchen Du sie sofort entfernen kannst. In keinem Falle sollten diese ohne Wissen der Nutzer entzogen werden.
Sag dem Chef, was Du vorhast und warum und lass ihn die Sache gutheißen und dann die Mitarb. informieren. Geschieht das nicht, kann Ärger ins Haus stehen.
Hauptbenutzer sind nur bedingt ein guter Weg, denn Windows lässt zu, dass sich diese selbst zu Admins machen, siehe Mark Russinovichs Artikel dazu.

Wenn bei Euch wie beschrieben nach Entzug der Adminrechte keine Ordner mehr erstellt werden können (wo eigentlich?), dann solltest Du evtl. die NTFS-Rechte auf Installationsstandard zurücksetzen bzw. zumindest die vorhandenen analysieren, siehe http://technet.microsoft.com/de-de/library/cc784993(WS.10).aspx
Bitte warten ..
Mitglied: Tommy1983
15.06.2009 um 07:35 Uhr
danke soweit erstmal !
An DerWoWusste ( geiler Name :> )

Ich weiss an welchen Rechnern ich die Adminrechte entziehen darf, alles mit der Geschäftsleitung abgesprochen !

Aber als ich das getan habe und den Benutzern "Hauptbenutzer" Rechte gegeben habe konnten sie nur unter c:\Programme Ordner erstellen... ausserdem bin ich der Meinung als Hauptbenutzer können Sie weiterhin Software installieren oder Irre ich mich da?
Bitte warten ..
Mitglied: DerWoWusste
15.06.2009 um 08:26 Uhr
Als Hauptbenutzer können Sie sich ja sogar zum Admin machen, wenn sie nur wissen, wie. Manche Software prüft, ob Admin - diese werden sie nicht installieren können. Wenn nicht geprüft wird, können sie teilweise installieren, sie verfügen über Schreibrechte in einigen Ordnern, an die Benutzer nicht rankommen, unter anderem c:\programme
Bitte warten ..
Mitglied: Tommy1983
15.06.2009 um 09:51 Uhr
das bedeutet also am bestern als normaler benutzer einstufen oder?

Was schlagt ihr denn nun genau vor ?
Es soll so sein das die Benutzer nix installieren können und auch nicht auf der Lokalen Festplatte speichern ( gerade von Geschäftsleitung erfahren ! ) solln
Bitte warten ..
Mitglied: HightopOne
15.06.2009 um 10:30 Uhr
Moin,
hast recht derwowusste,aber wie er im letzten Post schreibt,sollen die nichts mehr installieren dürfen und auch nichts speichern dürfen.

Das mit dem nicht installieren,kann man soviel ich weiss über zwei Wege Regeln,pauschal den Windows Installer verbieten oder über die Richtlinie für Softwareeinschränkung nutzen.

Wobei mir fällt gerade auf,dass es ja noch die Richtlinie gibt "Benutzerinstallation nicht zulassen",welche auch das Ziel erreichen würde.In beiden fällen aber würde es immer auf die Computerobjekte zutreffen,bzw. greifen,weil es zwar der Benutzer nicht soll,aber die Richtlinie ist für ein Computerobjekt zu erstellen,da es keine andere Möglichkeit gibt,zumindest nach gründlicher Durchsicht der Richtlinien und da der User ja nichts auf den Computer installieren soll,muss es eine Richtlinie für ein Computerobjekt sein.

Bei der zweiten Anforderung wirds schon ein wenig komplizierter,wenn es eine zweite Partition gibt,dann würde ich Ihnen die entsprechenden NTFS Rechte entziehen und notfalls mit Negativ Berechtigungen arbeiten.

Bei der Systempartition wäre ich im Moment auch ein wenig überfordert,vielleicht mit einem Fixen Profil arbeiten und NTFS Rechten im zusammenspiel,vielleicht auch eigene Dateien auf ein Share legen.
Bitte warten ..
Mitglied: DerWoWusste
16.06.2009 um 00:19 Uhr
Als normale Benutzer können sie nahezu nichts machen. Schreibrechte auf der ganzen Platte einzuschränken geht nicht, da temporär geschrieben werden muss sowie in den Profilordner - somit können sie wenn sie wollten immer irgendwo lokal schreiben. Leite die eigenen Dateien auf den Server um, dass hilft schon eine Menge, da der Standardspeicherordner der meisten Programme dort hin weist.
Bitte warten ..
Mitglied: Tommy1983
16.06.2009 um 09:42 Uhr
hmm das musst du mir erklären, ich weiss zwar wie ich das einstellen kann allerdings was bringt mir das?
Ich habe für die Domänen Benutzer ein Netzlaufwerk u: eingerichtet wo sie drauf zu Speichern haben, was wiederum mit Backup Exec und Storagecraft <--- Kann ich nur empfehlen täglich bzw 2 Stundenweise gesichert wird.
Ich will doch eigentlich nur die Software installation verhindern das kann doch nicht so schwer sein arrgg ^^

Via Gruppenrichtlinen "Benutzerinstallation nicht zulassen" und "den Windows Installer verbieten" langt das denn nicht aus? Ich werde das mal in einer Testumgebung testen.
Sollte dieses nicht klappen dann werde ich die Lokalen Administratoren Rechte entziehen ( was ich glaube ich sowieso mache ) und den Hauptbenutzern zuweise !

Also mein Ansatz ist richtig nech?
Bitte warten ..
Mitglied: DerWoWusste
16.06.2009 um 11:55 Uhr
Verbiete es ruhig per Richtlinie, aber Admin-oder Hauptbenutzerrechte würde ich dennoch abschaffen.
Die Umleitung des Pfades bringt, wie oben geschrieben, mit sich, dass die Benutzer dazu verleitet werden auf das umgeleitete Laufwerk zu schreiben, da die meisten Programme diesem Pfad (unterhalb von eigene Dateien) nutzen.
Bitte warten ..
Mitglied: Tommy1983
17.06.2009 um 20:40 Uhr
also irgendwie hat das alles nix gebracht ich habe den benutzern die lokalen administrator rechte entzogen und sie als ganz normale benutzer gemacht sie können auf der gesamten c: platte schreiben und winzip konnte ich auch installieren....
die systemzeit konnte ich aber zb nicht anzeigen lassen !
Bitte warten ..
Mitglied: DerWoWusste
17.06.2009 um 21:03 Uhr
Deine NTFS-Rechte sind verstellt bzw. Du machst widersprüchliche Auskünfte:
jetzt:
sie können auf der gesamten c: platte schreiben
vorher:
...das Problem gehabt das man auch auf der Festplatte keine Ordner mehr erstellen konnte
Entscheide Dich mal für eins
Einen Reset der Berechtigungen habe ich bereits beschrieben.
Bitte warten ..
Mitglied: Tommy1983
18.06.2009 um 07:36 Uhr
betrachte mal das obere als nicht relevant da habe ich ein ganz altes notebook in die domäne eingebunden wo schon meine kollegen mit rumprobiert haben....

also stand der dinge ist das ich einen testbenutzer angelegt habe ein neues notebook in die domäne eingebunden habe und den domänenbenutzern nur benutzer rechte zugewiesen haben also keine lokalen administrator rechte !
Sie konnte denoch Programme installieren und auch auf der Festplatte schreiben.
Was genau meint ihr mit NTFS Rechte? Die der Festplatte?
Bitte warten ..
Mitglied: DerWoWusste
18.06.2009 um 09:38 Uhr
Benutzer können Programme installieren, sofern diese
a) keine Abfrage der Gruppenzugehörigkeit machen (ist durchaus üblich)
b) keine dll-Dateien/andere Hilfskomponenten in das System32-Verzeichnis schreiben müssen
c) nicht in das Programmverzeichnis, sondern unterhalb des Profilordners installiert werden.

Das alles, a, b und c, gegeben ist, hast Du äußerst selten. Jedenfalls kann ein Benutzer mit Benutzerrechten nicht
a) andere Benutzer des Rechners (unter anderem durch Installationen) beeinflussen
b) den Rechner durch Installationen schrotten
--

Auf der Platte schreiben könne Sie selbstverständlich. Informier Dich bitte über die Standard-NTFS-Rechte hier:
http://support.microsoft.com/kb/244600/de
Bei xp sind diese Rechte ein wenig verschärft, leider finde ich kein Dokument zu xp, sondern nur zu 2000.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (4)

Frage von micha055 zum Thema Windows 10 ...

Windows 10
gelöst Net Framework über Gruppenrichtlinie aktivieren (10)

Frage von DarkScabs zum Thema Windows 10 ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...