18
Mit Gruppenrichtlinie Softwareinstallationen verhindern
Hallo ich benötige mal bitte eure Hilfe, es dreht sich um ein Unternehmen das nun innerhalb eines Jahres ziemlich gewachsen ist. Nun soll dieses Unternehmen eine anständige IT- struktur bekommen womit ich auch schon auf guten Wege bin. Habe die ganze Firma via Docusnap <--- geiles Programm dokumentiert und schriftlich festgehalten.
Habe die vorhanden Server ( 2 Windows 2003 64 Bit & und 1 Windows 2000 ) Repliziert und Berechtigungen auf jeden Ordner gesetzt. Nun wurde aber gefordert die Software installationen einzuschränken. Womit ich auch schon bei meiner Frage bin. Wie würdet ihr vorgehen ?
Also meine überlegung war....
Alle Domänen Benutzer sind Lokale Administratoren...
d.h wenn ich am Server über die mmc mir die Computer rein ziehe könnte ich von Zentraler Position die Lokalen Administratoren entfernen und somit die Software installation unterbinden. Ich habe das heute mal in einer Test umgebung Simuliert und es hat auch geklappt. Die installation wurde verweigert allerdings habe ich dann das Problem gehabt das man auch auf der Festplatte keine Ordner mehr erstellen konnte. Wieso ? KA !
Nun dachte ich mir man könnte es doch auch bestimmt via Gruppenrichtlinie bestimmen, leider habe ich aber noch keine Anleitung gefunden... deswegen wollte ich mal euch fragen ob einer damit schon erfahrung hat ?
Ich meine aber keine Softwareverteilung das ist der nächste Schritt... Also nur Software installationen verweigern...
Danke im vorraus...
Alle Domänen Benutzer sind Lokale Administratoren...
d.h wenn ich am Server über die mmc mir die Computer rein ziehe könnte ich von Zentraler Position die Lokalen Administratoren entfernen und somit die Software installation unterbinden. Ich habe das heute mal in einer Test umgebung Simuliert und es hat auch geklappt. Die installation wurde verweigert allerdings habe ich dann das Problem gehabt das man auch auf der Festplatte keine Ordner mehr erstellen konnte. Wieso ? KA !
Nun dachte ich mir man könnte es doch auch bestimmt via Gruppenrichtlinie bestimmen, leider habe ich aber noch keine Anleitung gefunden... deswegen wollte ich mal euch fragen ob einer damit schon erfahrung hat ?
Ich meine aber keine Softwareverteilung das ist der nächste Schritt... Also nur Software installationen verweigern...
Danke im vorraus...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 118072
Url: https://administrator.de/contentid/118072
Printed on: April 24, 2024 at 04:04 o'clock
18 Comments
Latest comment
Hallo,
du musst m.E. nur die NTFS-Berechtigungen anpassen, damit die User wieder in entsprechenden Verzeichnissen schreiben können.
Ich würde niemals, oder nur wenn es gar nicht anders geht, die User zum Admin machen.
Ich denke das wäre ein schmerzfreier Weg.
Gruß,
TraceHard40
du musst m.E. nur die NTFS-Berechtigungen anpassen, damit die User wieder in entsprechenden Verzeichnissen schreiben können.
Ich würde niemals, oder nur wenn es gar nicht anders geht, die User zum Admin machen.
Ich denke das wäre ein schmerzfreier Weg.
Gruß,
TraceHard40
Warum lokaler Admin?
Wer was will, sollte sich schon an die EDV Abteilung wenden.
Nun gut, manche Programme laufen nur mit lokalen Adminrechten, das bliebe aber zu ergründen und abzuwägen.
Meine Vorgehensweise wäre es auch, alle User auf Hauptbenutzer umzustellen.
Warum soll jemand auf C: was ablegen?
Dafür gibt es Server, die täglich gesichert werden....
Wer was will, sollte sich schon an die EDV Abteilung wenden.
Nun gut, manche Programme laufen nur mit lokalen Adminrechten, das bliebe aber zu ergründen und abzuwägen.
Meine Vorgehensweise wäre es auch, alle User auf Hauptbenutzer umzustellen.
Warum soll jemand auf C: was ablegen?
Dafür gibt es Server, die täglich gesichert werden....
danke für eure schnellen ratschläge genau wie ihr an diese Sache rangeht bin ich auch rangegangen ich bin seit letzten Jahr September in dieser Firma und der Vorgänger hatte es halt so eingestellt wobei es früher auch noch kein Server gab und es von der Firma auch erwünscht war.
Also ich sehe das genau so, man sollte den Domänden Benutzer die Lokalen Administrator Rechte entziehen und auf Hauptbenutzer umstellen wobei ( können Hauptbenutzer nicht auch Software installieren? ) Glaube ich muss die auf Benutzer stellen oder?
An deeboo von wegen "Warum soll jemand auf C: was ablegen ?"
das genau ist mein Problem wir haben ein Daten Verzeichnis auf dem Server (Netzlaufwerk S
und jeder User ein Persönliches Userdir U:
Ihr habt schon recht es soll aus Datenschutzgründen nix auf C:\ liegen aber was ist mit Programmen die z.b Intern irgendwas auf c: abspeichern ( z.b benutzen die dort so ne eigenständige Datensicherungssoftware für ihre Datenbank die sieh damit erst auf c: speichern und danach auf eine externe Festplatte... usw...)
also zusammenfassung:
Domänen Benutzer die Lokale Administrator Rechte entziehen und sie zu normalen Benutzern machen.
Per Gruppenrichtlinie kann ich Software installation nicht unterbinden oder?
Also ich sehe das genau so, man sollte den Domänden Benutzer die Lokalen Administrator Rechte entziehen und auf Hauptbenutzer umstellen wobei ( können Hauptbenutzer nicht auch Software installieren? ) Glaube ich muss die auf Benutzer stellen oder?
An deeboo von wegen "Warum soll jemand auf C: was ablegen ?"
das genau ist mein Problem wir haben ein Daten Verzeichnis auf dem Server (Netzlaufwerk S
und jeder User ein Persönliches Userdir U:Ihr habt schon recht es soll aus Datenschutzgründen nix auf C:\ liegen aber was ist mit Programmen die z.b Intern irgendwas auf c: abspeichern ( z.b benutzen die dort so ne eigenständige Datensicherungssoftware für ihre Datenbank die sieh damit erst auf c: speichern und danach auf eine externe Festplatte... usw...)
also zusammenfassung:
Domänen Benutzer die Lokale Administrator Rechte entziehen und sie zu normalen Benutzern machen.
Per Gruppenrichtlinie kann ich Software installation nicht unterbinden oder?
Warum soll jemand auf C: was ablegen?
Dafür gibt es Server, die täglich gesichert werden....
Dafür gibt es Server, die täglich gesichert werden....
- Höchstens für Programme, die (temporär) Daten im Programmpfad erzeugen müssen/wollen.
Neue Sicherheitsgruppe erstellen,User in diese Gruppe packen,GPO mit der Richtlinie definieren Computerkonfiguration >Administrative Vorlage > Windows Installer >Disable Windows Installer,Berechtigungen des GPOs bearbeiten für die Sicherheitsgruppe die erstellt wurde mit den Berechtigungen > lesen erlauben,Gruppenrichtlinie Übernehmen erlaube und die GPO mit der OU verknüpfen die alle User innerhalb der Gruppe erfasst und haken bei erzwingen machen,dann sollte das Ziel erreicht sein,damit keiner mehr was installieren kann,der es nicht sollte.
Hightopone, moin!
So wird das nichts. Du kannst Benutzern keine Computerrichtlinie zuweisen. Deine Richtlinie würde nur auf Computerobjekten und somit für alle Nutzer übernommen.
So wird das nichts. Du kannst Benutzern keine Computerrichtlinie zuweisen. Deine Richtlinie würde nur auf Computerobjekten und somit für alle Nutzer übernommen.
An erster Stelle muss stehen, herauszubekommen, an welchen Rechnern Adminrechte benötigt werden, um zu arbeiten, an welchen Adminrechte nach einem Umbau gewisser Konfigurationen nicht mehr erforderlich zum Arbeiten sind und an welchen Du sie sofort entfernen kannst. In keinem Falle sollten diese ohne Wissen der Nutzer entzogen werden.
Sag dem Chef, was Du vorhast und warum und lass ihn die Sache gutheißen und dann die Mitarb. informieren. Geschieht das nicht, kann Ärger ins Haus stehen.
Hauptbenutzer sind nur bedingt ein guter Weg, denn Windows lässt zu, dass sich diese selbst zu Admins machen, siehe Mark Russinovichs Artikel dazu.
Wenn bei Euch wie beschrieben nach Entzug der Adminrechte keine Ordner mehr erstellt werden können (wo eigentlich?), dann solltest Du evtl. die NTFS-Rechte auf Installationsstandard zurücksetzen bzw. zumindest die vorhandenen analysieren, siehe http://technet.microsoft.com/de-de/library/cc784993(WS.10).aspx
Sag dem Chef, was Du vorhast und warum und lass ihn die Sache gutheißen und dann die Mitarb. informieren. Geschieht das nicht, kann Ärger ins Haus stehen.
Hauptbenutzer sind nur bedingt ein guter Weg, denn Windows lässt zu, dass sich diese selbst zu Admins machen, siehe Mark Russinovichs Artikel dazu.
Wenn bei Euch wie beschrieben nach Entzug der Adminrechte keine Ordner mehr erstellt werden können (wo eigentlich?), dann solltest Du evtl. die NTFS-Rechte auf Installationsstandard zurücksetzen bzw. zumindest die vorhandenen analysieren, siehe http://technet.microsoft.com/de-de/library/cc784993(WS.10).aspx
danke soweit erstmal !
An DerWoWusste ( geiler Name :> )
Ich weiss an welchen Rechnern ich die Adminrechte entziehen darf, alles mit der Geschäftsleitung abgesprochen !
Aber als ich das getan habe und den Benutzern "Hauptbenutzer" Rechte gegeben habe konnten sie nur unter c:\Programme Ordner erstellen... ausserdem bin ich der Meinung als Hauptbenutzer können Sie weiterhin Software installieren oder Irre ich mich da?
An DerWoWusste ( geiler Name :> )
Ich weiss an welchen Rechnern ich die Adminrechte entziehen darf, alles mit der Geschäftsleitung abgesprochen !
Aber als ich das getan habe und den Benutzern "Hauptbenutzer" Rechte gegeben habe konnten sie nur unter c:\Programme Ordner erstellen... ausserdem bin ich der Meinung als Hauptbenutzer können Sie weiterhin Software installieren oder Irre ich mich da?
Als Hauptbenutzer können Sie sich ja sogar zum Admin machen, wenn sie nur wissen, wie. Manche Software prüft, ob Admin - diese werden sie nicht installieren können. Wenn nicht geprüft wird, können sie teilweise installieren, sie verfügen über Schreibrechte in einigen Ordnern, an die Benutzer nicht rankommen, unter anderem c:\programme
das bedeutet also am bestern als normaler benutzer einstufen oder?
Was schlagt ihr denn nun genau vor ?
Es soll so sein das die Benutzer nix installieren können und auch nicht auf der Lokalen Festplatte speichern ( gerade von Geschäftsleitung erfahren ! ) solln
Was schlagt ihr denn nun genau vor ?
Es soll so sein das die Benutzer nix installieren können und auch nicht auf der Lokalen Festplatte speichern ( gerade von Geschäftsleitung erfahren ! ) solln
Moin,
hast recht derwowusste,aber wie er im letzten Post schreibt,sollen die nichts mehr installieren dürfen und auch nichts speichern dürfen.
Das mit dem nicht installieren,kann man soviel ich weiss über zwei Wege Regeln,pauschal den Windows Installer verbieten oder über die Richtlinie für Softwareeinschränkung nutzen.
Wobei mir fällt gerade auf,dass es ja noch die Richtlinie gibt "Benutzerinstallation nicht zulassen",welche auch das Ziel erreichen würde.In beiden fällen aber würde es immer auf die Computerobjekte zutreffen,bzw. greifen,weil es zwar der Benutzer nicht soll,aber die Richtlinie ist für ein Computerobjekt zu erstellen,da es keine andere Möglichkeit gibt,zumindest nach gründlicher Durchsicht der Richtlinien und da der User ja nichts auf den Computer installieren soll,muss es eine Richtlinie für ein Computerobjekt sein.
Bei der zweiten Anforderung wirds schon ein wenig komplizierter,wenn es eine zweite Partition gibt,dann würde ich Ihnen die entsprechenden NTFS Rechte entziehen und notfalls mit Negativ Berechtigungen arbeiten.
Bei der Systempartition wäre ich im Moment auch ein wenig überfordert,vielleicht mit einem Fixen Profil arbeiten und NTFS Rechten im zusammenspiel,vielleicht auch eigene Dateien auf ein Share legen.
hast recht derwowusste,aber wie er im letzten Post schreibt,sollen die nichts mehr installieren dürfen und auch nichts speichern dürfen.
Das mit dem nicht installieren,kann man soviel ich weiss über zwei Wege Regeln,pauschal den Windows Installer verbieten oder über die Richtlinie für Softwareeinschränkung nutzen.
Wobei mir fällt gerade auf,dass es ja noch die Richtlinie gibt "Benutzerinstallation nicht zulassen",welche auch das Ziel erreichen würde.In beiden fällen aber würde es immer auf die Computerobjekte zutreffen,bzw. greifen,weil es zwar der Benutzer nicht soll,aber die Richtlinie ist für ein Computerobjekt zu erstellen,da es keine andere Möglichkeit gibt,zumindest nach gründlicher Durchsicht der Richtlinien und da der User ja nichts auf den Computer installieren soll,muss es eine Richtlinie für ein Computerobjekt sein.
Bei der zweiten Anforderung wirds schon ein wenig komplizierter,wenn es eine zweite Partition gibt,dann würde ich Ihnen die entsprechenden NTFS Rechte entziehen und notfalls mit Negativ Berechtigungen arbeiten.
Bei der Systempartition wäre ich im Moment auch ein wenig überfordert,vielleicht mit einem Fixen Profil arbeiten und NTFS Rechten im zusammenspiel,vielleicht auch eigene Dateien auf ein Share legen.
Als normale Benutzer können sie nahezu nichts machen. Schreibrechte auf der ganzen Platte einzuschränken geht nicht, da temporär geschrieben werden muss sowie in den Profilordner - somit können sie wenn sie wollten immer irgendwo lokal schreiben. Leite die eigenen Dateien auf den Server um, dass hilft schon eine Menge, da der Standardspeicherordner der meisten Programme dort hin weist.
hmm das musst du mir erklären, ich weiss zwar wie ich das einstellen kann allerdings was bringt mir das?
Ich habe für die Domänen Benutzer ein Netzlaufwerk u: eingerichtet wo sie drauf zu Speichern haben, was wiederum mit Backup Exec und Storagecraft <--- Kann ich nur empfehlen täglich bzw 2 Stundenweise gesichert wird.
Ich will doch eigentlich nur die Software installation verhindern das kann doch nicht so schwer sein arrgg ^^
Via Gruppenrichtlinen "Benutzerinstallation nicht zulassen" und "den Windows Installer verbieten" langt das denn nicht aus? Ich werde das mal in einer Testumgebung testen.
Sollte dieses nicht klappen dann werde ich die Lokalen Administratoren Rechte entziehen ( was ich glaube ich sowieso mache ) und den Hauptbenutzern zuweise !
Also mein Ansatz ist richtig nech?
Ich habe für die Domänen Benutzer ein Netzlaufwerk u: eingerichtet wo sie drauf zu Speichern haben, was wiederum mit Backup Exec und Storagecraft <--- Kann ich nur empfehlen täglich bzw 2 Stundenweise gesichert wird.
Ich will doch eigentlich nur die Software installation verhindern das kann doch nicht so schwer sein arrgg ^^
Via Gruppenrichtlinen "Benutzerinstallation nicht zulassen" und "den Windows Installer verbieten" langt das denn nicht aus? Ich werde das mal in einer Testumgebung testen.
Sollte dieses nicht klappen dann werde ich die Lokalen Administratoren Rechte entziehen ( was ich glaube ich sowieso mache ) und den Hauptbenutzern zuweise !
Also mein Ansatz ist richtig nech?
Verbiete es ruhig per Richtlinie, aber Admin-oder Hauptbenutzerrechte würde ich dennoch abschaffen.
Die Umleitung des Pfades bringt, wie oben geschrieben, mit sich, dass die Benutzer dazu verleitet werden auf das umgeleitete Laufwerk zu schreiben, da die meisten Programme diesem Pfad (unterhalb von eigene Dateien) nutzen.
Die Umleitung des Pfades bringt, wie oben geschrieben, mit sich, dass die Benutzer dazu verleitet werden auf das umgeleitete Laufwerk zu schreiben, da die meisten Programme diesem Pfad (unterhalb von eigene Dateien) nutzen.
also irgendwie hat das alles nix gebracht ich habe den benutzern die lokalen administrator rechte entzogen und sie als ganz normale benutzer gemacht sie können auf der gesamten c: platte schreiben und winzip konnte ich auch installieren....
die systemzeit konnte ich aber zb nicht anzeigen lassen !
die systemzeit konnte ich aber zb nicht anzeigen lassen !
Deine NTFS-Rechte sind verstellt bzw. Du machst widersprüchliche Auskünfte:
jetzt:
Einen Reset der Berechtigungen habe ich bereits beschrieben.
jetzt:
sie können auf der gesamten c: platte schreiben
vorher:...das Problem gehabt das man auch auf der Festplatte keine Ordner mehr erstellen konnte
Entscheide Dich mal für eins Einen Reset der Berechtigungen habe ich bereits beschrieben.
betrachte mal das obere als nicht relevant da habe ich ein ganz altes notebook in die domäne eingebunden wo schon meine kollegen mit rumprobiert haben....
also stand der dinge ist das ich einen testbenutzer angelegt habe ein neues notebook in die domäne eingebunden habe und den domänenbenutzern nur benutzer rechte zugewiesen haben also keine lokalen administrator rechte !
Sie konnte denoch Programme installieren und auch auf der Festplatte schreiben.
Was genau meint ihr mit NTFS Rechte? Die der Festplatte?
also stand der dinge ist das ich einen testbenutzer angelegt habe ein neues notebook in die domäne eingebunden habe und den domänenbenutzern nur benutzer rechte zugewiesen haben also keine lokalen administrator rechte !
Sie konnte denoch Programme installieren und auch auf der Festplatte schreiben.
Was genau meint ihr mit NTFS Rechte? Die der Festplatte?
Benutzer können Programme installieren, sofern diese
a) keine Abfrage der Gruppenzugehörigkeit machen (ist durchaus üblich)
b) keine dll-Dateien/andere Hilfskomponenten in das System32-Verzeichnis schreiben müssen
c) nicht in das Programmverzeichnis, sondern unterhalb des Profilordners installiert werden.
Das alles, a, b und c, gegeben ist, hast Du äußerst selten. Jedenfalls kann ein Benutzer mit Benutzerrechten nicht
a) andere Benutzer des Rechners (unter anderem durch Installationen) beeinflussen
b) den Rechner durch Installationen schrotten
--
Auf der Platte schreiben könne Sie selbstverständlich. Informier Dich bitte über die Standard-NTFS-Rechte hier:
http://support.microsoft.com/kb/244600/de
Bei xp sind diese Rechte ein wenig verschärft, leider finde ich kein Dokument zu xp, sondern nur zu 2000.
a) keine Abfrage der Gruppenzugehörigkeit machen (ist durchaus üblich)
b) keine dll-Dateien/andere Hilfskomponenten in das System32-Verzeichnis schreiben müssen
c) nicht in das Programmverzeichnis, sondern unterhalb des Profilordners installiert werden.
Das alles, a, b und c, gegeben ist, hast Du äußerst selten. Jedenfalls kann ein Benutzer mit Benutzerrechten nicht
a) andere Benutzer des Rechners (unter anderem durch Installationen) beeinflussen
b) den Rechner durch Installationen schrotten
--
Auf der Platte schreiben könne Sie selbstverständlich. Informier Dich bitte über die Standard-NTFS-Rechte hier:
http://support.microsoft.com/kb/244600/de
Bei xp sind diese Rechte ein wenig verschärft, leider finde ich kein Dokument zu xp, sondern nur zu 2000.
