Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PC-Anwendung nach bestimmter Uhrzeit für x Stunden sperren

Frage Microsoft Windows Userverwaltung

Mitglied: Tsunami87

Tsunami87 (Level 1) - Jetzt verbinden

20.08.2013 um 14:48 Uhr, 5078 Aufrufe, 43 Kommentare, 7 Danke

Hallo liebe Community,

ich sitz hier schon gefühlte 8Std. an einer Lösung wie ich ein Programm nach einer bestimmten Uhrzeit (16:00) für 5 Std. sperren kann.
Mein Benutzer hat einen Windows 7 Prof 32bit Client und sitzt in einer AD Domäne.

Mein Weg hat mich schon über die Aufgabenplanung (vbs) geführt.
Dieser task führt ab xx:xx Uhr aller 1 Minute für x Stunden die vbs aus.
Finde ich unschön.

01.
Option Explicit 
02.
Dim objWMIService, objProcess, colProcess 
03.
Dim strComputer, strProcessKill 
04.
strComputer = "." 
05.
strProcessKill = "'iexplore.exe'" 
06.
 
07.
Set objWMIService = GetObject("winmgmts:" _ 
08.
& "{impersonationLevel=impersonate}!\\" _ 
09.
& strComputer & "\root\cimv2") 
10.
 
11.
Set colProcess = objWMIService.ExecQuery _ 
12.
("Select * from Win32_Process Where Name = " & strProcessKill ) 
13.
For Each objProcess in colProcess 
14.
objProcess.Terminate() 
15.
Next 
16.
'WSCript.Echo "Just killed process " & strProcessKill _ 
17.
'& " on " & strComputer 
18.
WScript.Quit 
19.
' End of WMI Example of a Kill Process
Kennt Ihr eine Möglichkeite (mit M$-Mitteln) diese Herausforderung zu lösen?

in freudiger Erwartung
Tsunami
43 Antworten
Mitglied: certifiedit.net
20.08.2013 um 14:49 Uhr
Was ist das Ziel? Darf der User gar nichts machen, oder nur nur dieses Programm nicht?
Bitte warten ..
Mitglied: Tsunami87
20.08.2013 um 14:54 Uhr
Hallo,

der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013, aktualisiert um 15:02 Uhr
Zitat von Tsunami87:
Hallo,

der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami

Hallo

Wo liegt das PRG und wie wird es aufgerufen ?
Welcher Kenntnisstand hat der / die Benutzer ?
Welche Berechtigungen haben die Leute ?

MFG Uwe
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 15:13 Uhr
Hi,

du könntest per Aufgabenplanung dem User mit icacls eine Verweigerung für Verzeichnis oder Datei setzen und die nach 5 Stunden wieder aufheben. Da ich aber weder an einem Server noch in einer Domäne arbeite, kann ich das nicht selbst ausprobieren, das ist nur ein Vorschlag.

Gruß
Bitte warten ..
Mitglied: Tsunami87
20.08.2013, aktualisiert um 15:13 Uhr
Hallo at Metzger,

das Programm iexplore liegt standardmäßig unter C:\Program Files\Internet Explorer.

Kenntnisstand des User = PC anschalten, ausschalten, Einträge in Excel und Word vornehmen, Drucken, ...

Berechtigung = Standardbenutzer

Hallo at Eispott,

gute Idee ich versuch mich mal.

Danke.

Mit freundlichen Grüßen
Tsunami
Bitte warten ..
Mitglied: Tsunami87
20.08.2013 um 16:04 Uhr
Hallo,

wenn ich den Befehl wie in cmd beschrieben
01.
icacls file /grant *S-1-1-0:(D,WDAC)
mit meiner SID mit Adminkonto ausführe
01.
icacls "c:\Program Files\Internet Explorer\iexplore.exe" /grant *S-1xxxxxxxx:(N) 
erhalte ich
01.
Ungültiger Parameter: "*S-1xxxxxxxx:(N)"
Wo liegt der Fehler?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
20.08.2013, aktualisiert um 16:29 Uhr
Teste nochmal mit
01.
*S-1-1-0:(D,WDAC)
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013, aktualisiert um 17:12 Uhr
Zitat von 112778:
Hi,

..... icacls eine Verweigerung für Verzeichnis oder Datei setzen ....
Gruß

Das war ursprünglich auch mein Gedanke ... wobei ich nicht unbedingt icacls nehmen würde sondern das einfacherer cacls ... dann muss aber einiges im Vorfeld an der NTFS Schraube gedreht werden, da die Berechtigungen für das Verzeichniss da noch nicht passend sind. Besitz übernehmen und Berechtigungen vergeben und das f. 32 + 64 Bit

c:\programme ..... \ Internet Explorer
c:\programme (x86) ..... \ Internet Explorer

aber machbar.

Ich würde das aber alles in einer Batch laufen lassen die als cronjob / Aufgabenplannung ( adminrechte ) die NTFS Struktur ändert und dann den Task pskill killt ( systeminternals ) ach ja die Zuweisung geht auch per GPO ...
Die Batch sollte dann die Uhrzeit abfragen und dann selbiges ausführen.... fehlt nur noch die umgekehrte Funktion ... ebenfalls eine Batch ...

MFG Uwe
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013 um 16:32 Uhr
Wenn es um den IE geht, warum wird dies nicht einfach direkt in der Beschreibung gesagt. Internetsurfen kann auch per UTM/Firewall begrenzt werden. Vorallem problemloser als so. Vielleicht nicht kostengünstiger, aber was passiert, wenn bei dem Skript etwas vergessen wird? Im Extremfall bedeutet dies, dass bei keinem PC im Unternehmen der IE mehr funktioniert.
Bitte warten ..
Mitglied: delirium
20.08.2013 um 16:40 Uhr
Zitat von Tsunami87:
Kennt Ihr eine Möglichkeite (mit M$-Mitteln) diese Herausforderung zu lösen?

Klar - ich glaube nur, mit einem VBS-Skript kommst du hier nicht weit. Es wäre gescheiter einen bspw. C#-Service zu schreiben, der dann einen ProcessMonitor (so wie diesen hier: http://weblogs.asp.net/whaggard/archive/2006/02/11/438006.aspx) verwendet, und im Fall, dass iexplore.exe gestartet wird, diesen killt. Über einen System.Timer.Timer kannst du dir ein Event geben lassen, wenn es 16:00 ist und iexplore killen. Ob du wirklich killst oder nicht kannst du dann über die aktuelle Systemzeit herausfinden.

Einziges benötigtes Tool: Visual Studio (Express).

Ist meiner Meinung nach eine bessere Lösung als die Dateirechte - denn was ist, wenn es gegen 20:00 einen Stromausfall gibt, und der PC dann erst nach dem Stromausfall wieder gestartet wird (da dann der iexplore aber wieder erlaubt ist)? Wie werden dann die Dateirechte wieder entsprechend gesetzt, dass eine Ausführung möglich ist? Was ist, wenn der Benutzer den PC über für diesen Zeitraum einfach herunterfährt? Dein Skript müsste dann sowieso minütlich laufen, um die Dateirechte zu überwachen.
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 16:45 Uhr
Hi,
Zitat von Metzger-MCP:
wobei ich nicht unbedingt icacls nehmen würde sondern das einfacherer cacls

MS schreibt aber dazu
Hinweis: Cacls ist veraltet. Verw. sie Icacls.
Warum auch immer.

da die Berechtigungen für das Verzeichniss da noch nicht passend sind.
Stimmt. Besitzer ist default nur der "Trusted Installer"

Gruß
Bitte warten ..
Mitglied: delirium
20.08.2013 um 16:50 Uhr
Zitat von certifiedit.net:
Internetsurfen kann auch per UTM/Firewall begrenzt werden.
Am localhost? Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keine unbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013 um 16:55 Uhr
Hi delirium,

nun, worauf will er zugreifen? Ich nehme einfach mal an, dass er mit dem IE nicht nur ein locales HTML Dateichen anschauen will respektive dies blockiert haben möchte. I.d.R greift man darüber auf einen Webserver zu. Daher dürfte dies (mehr Infos sind immer gut) der bessere Ansatz sein. Da gerade Systemprogramme und insbesondere der IE es gar nicht gerne mögen, wenn man ihnen die Rechtestruktur unterm A* wegzieht.

Daher: UTM/Firewall, die gehört sowieso vors Netz. Wenn man die Arbeitszeit (gefühlte 8 + die seither aufgelaufene Zeit) gegenrechnet ist das bald günstiger, auch für die Zukunft.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013, aktualisiert um 17:07 Uhr
Zitat von delirium:
> Zitat von certifiedit.net:
> ----
> Internetsurfen kann auch per UTM/Firewall begrenzt werden.
Am localhost? Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keine
unbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.

Hallo

Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Du kannst natürlich die IE Proxyeinstellungen per GPO verteilen und auch ausblenden ... so kannst du das auch Umgehen ...

MFG Uwe
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013, aktualisiert um 17:04 Uhr
Zitat von delirium:
Ist meiner Meinung nach eine bessere Lösung als die Dateirechte - denn was ist, wenn es gegen 20:00 einen Stromausfall gibt,
und der PC dann erst nach dem Stromausfall wieder gestartet wird (da dann der iexplore aber wieder erlaubt ist)? Wie werden dann
die Dateirechte wieder entsprechend gesetzt, dass eine Ausführung möglich ist? Was ist, wenn der Benutzer den PC
über für diesen Zeitraum einfach herunterfährt? Dein Skript müsste dann sowieso minütlich laufen, um die
Dateirechte zu überwachen.

Cronjob beim Starten per GPO mit Abfrage der Uhrzeit ....
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 17:16 Uhr
Warum denn nun unbedingt 'ne Batch?

Die Besitzübernahme ist doch eine einmalige Angelegenheit. Und wenn du unbedingt cacls verwenden möchtest, geht das mit
01.
Echo y| cacls "C:\Program Files\Internet Explorer\IExplore.exe" /E /P {Name der Gruppe oder des Benuters}:N

und das Aufheben mit
01.
cacls "C:\Program Files\Internet Explorer\IExplore.exe" /E /R {Name der Gruppe oder des Benuters}


Das Gleich natürlich, falls Bedarf besteht, für Program Files(x86).
Es handelt sich um genau die Befehle, die MS in FixIts oder Workaround-Empfehlungen selbst immer benutzt, nur mit der Gruppe Jeder bzw. Everlyone. Aber das wollen wir hier ja wohl nicht.

In der Aufgabenplanung würde ich das als SYSTEM laufen lassen, soferntdas nur für einen Nutzer gelten sollte, und zwar ohne, dass der angemeldet sein muss.

Für's Killen benötigt man auch im Fall des Falles kein externes Tool, sondern kann tskill Programmname verwenden, das gehört zum System.

Gruß
Bitte warten ..
Mitglied: delirium
20.08.2013 um 17:14 Uhr
Hi certifiedit,

klar - generell hast du Recht. Ich schätze aber mal, dass der TE einen bestimmten Grund hat, warum er diese Vorgehensweise möchte (auch, wenn sie mir nicht wirklich einleuchtet). Wir kennen auch beide nicht die Software auf dem Client, es kann schon sein, dass da irgendeine lokale Webapp läuft (sowas solls geben).

Zitat von Metzger-MCP:
Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.

Das einzig wirklich zuverlässig Weg, Prozesse am Öffenen zu hindern, ist der, wie ihn bspw. Salfeld mit der Kindersicherung gegangen ist - reinhooken in die Prozesserstellung und verbotene Prozesse an der Erstellung hindern. Ist aber alles andere als Trivial und wenn man nen Fehler macht, kanns sein das nichts mehr startet oder man einen wunderschönen Bluescreen-Generator hat. Wie ich aus eigener Erfahrung weiß ist aber auch das nicht zu 100% zuverlässig, ich hab bis jetzt immer Wege gefunden, das Teil zu umgehen (u.A. in dem ich ein Programm geschrieben habe, was sich selbst da reingehookt hat und den Hook von der KiSi entfernt hat).
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013 um 17:17 Uhr
Hi delirium,

das ist eben die Frage, die Aussagen hier sind auch eher als unzuverlässig und vorallem unvollständig auf diese eine Lösung festgefahren zu bezeichnen. Selbst bei einer lokalen Webapp wäre es dann sinnvoller diese nicht starten zu lassen (getimed), als den IE zu blocken. hier wäre eine Umfassende Zieldefinition gefragt.

Grüße
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 17:29 Uhr
Die Frage lautete: Eine PC_Anwendung .....

Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich zufüllig um den IE handelt, ist zweitrangig.
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013 um 17:26 Uhr
Zitat von 112778:
Warum denn nun unbedingt 'ne Batch?

Die Besitzübernahme ist doch eine einmalige Angelegenheit.

sicher dafür müsste man keine Batch haben ...

Aber mit einer Batch hast du nur einmal die Taskplanung und kannst mehrere Funktionen hinternanderwech abarbeiten sonst schreibste x Aufgabenplannungnen ...

  • verbiegen von IE / FF / ...... / opera
  • Killen der Browsertask's
  • zentralle Steuerung der Inhalte durch Verteilung der Datei ....

Und wenn du unbedingt cacls verwenden möchtest,

ist nur einfacher und funktioniert genauso gut ... empfehlung der Erweiterungen bedeutet auch nur das die anderen mehr können ...
Bitte warten ..
Mitglied: delirium
20.08.2013 um 17:32 Uhr
Zitat von 112778:
Die Frage lautete: Eine PC_Anwendung .....

Ihr solltet vielleicht nicht mutmaßen oder schätzten, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.

Hab' ich doch: http://www.administrator.de/forum/pc-anwendung-nach-bestimmter-uhrzeit- ...
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013 um 17:38 Uhr
Zitat von 112778:
Die Frage lautete: Eine PC_Anwendung .....

Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.

Darauf wurde eingegangen. Wenn du es von deiner Unternehmenshierarchie gewohnt bist Lösungen nur im Fuhrwasser des Chefs anzunehmen und dich allem anderen inkl. effizienterer Ansätze vehement zu verweigern bist du hier falsch.
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 17:41 Uhr
Zitat von Metzger-MCP:
Aber mit einer Batch hast du nur einmal die Taskplanung und kannst mehrere Funktionen hinternanderwech abarbeiten sonst schreibste
x Aufgabenplannungnen ...

Schon ok. ABER: Wenn nur x86 vorhanden sein sollte, brauchst du nur eine Zeile. Die Browsertasks zu killen habe ich nicht bedacht, zugegeben. Nur in dem Moment, in dem der IE einen neuen Tab offnen möchte, ist Feierabend, dann kommt ein Ätsch! Also könnte man evtl. auf das Killen verzichten.
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 17:46 Uhr
Zitat von certifiedit.net:
Darauf wurde eingegangen.

Das ist ja ok und reicht auch. Aber wenn du ständig darauf rumreitest, was man doch alles machen müsste und anschaffen könnte, anstatt dich zunächst einmal mit der konkret gestellten Frage zu beschäftigen, bist du hier imo auch falsch.
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013, aktualisiert um 17:49 Uhr
Nein, ist es nicht, denn es ist eben nicht zufällig der IE. Es wäre zufällig ein Programm, wenn es lokal zu einem lokalen Zweck ausgeführt werden würde. Ein IE ist aber ein Programm, welches anders effizienter beschränkt werden kann. Hier ist es eben kein herumreiten auf einer Sache mehr, sondern ein sachdienliches Hinterfragen der Zieldefinition um die beste Lösung zu finden, ohne dass der Lösungsweg einen ganzen Ratten### an potentiellen Problemen mit sich bringt.
Bitte warten ..
Mitglied: 112778
20.08.2013, aktualisiert um 17:57 Uhr
Schon klar. Der einzige Lösungsweg, der in Frage kommt, ist nätürlich deiner aufgrund deiner Mutmaßungen und Schätzungen.
Wenn ich das richtig verstanden habe, geht es hier um EINEN User und nicht um die Zerstlörung einer Unternehmensstruktur.

Vielleicht lässt du das einfach erst mal den TO entscheiden, ob ihm deine Lösungsmöglichkeit zusagt, ehe du hier weitere Mutmaßungen anstellst.

EOD
Bitte warten ..
Mitglied: certifiedit.net
20.08.2013 um 17:59 Uhr
Der Unterschied ist: Ich sage "hier fehlen Informationen", mit einem Angebot einer besseren Lösung. Aber evtl fehlen dir die Erfahrungen mit dem Rechte umbiegen in Systemnahen Programmen. Diese Auswirkungen wurden oben schon teilweise von anderen beschrieben. Dennoch bleibe ich bei der Nachfrage nach mehr Informationen seitens des Fragestellers, dem Hinweis auf eine UM/FW Blockade in betreffendem Zeitraum, falls es sich nicht um eine lokale WebApp handelt wie angemerkt und hoffe darauf, dass die Ferien bald vorbei sind, damit du wieder sinnvolles zu tun hast ;)

Schönen Gruß
Bitte warten ..
Mitglied: delirium
20.08.2013, aktualisiert um 18:35 Uhr
Jetzt kommt bitte erstmal alle wieder auf den Boden...

Tragen wir doch einmal zusammen, was wir von der Aufgabenstellung wissen.
- Es soll ein Programm programm.exe zuverlässig zwischen 16:00 und 21:00 geschlossen und dessen Startvorgang unterdrückt werden.
- Ein minütliches laufen per Taskplanung ist nicht erwünscht.
- Der PC-Benutzer, der eingeschränkt sein soll, hat mittleres Anwender-Know-How, ob er weiß, wie man Berechtigungen editiert, ist unbekannt.
- Der PC sitzt in einem ActiveDirectory.

Nachdem der TE nicht nach einer Lösung per Batch gefragt hat, sondern nur, wie man das mit MS-Tools lösen kann, hier eine Zusammenfassung der Lösungsmöglichkeiten:
Per Batch und Taskplanung, Prozess killen:
Plus
  • kann leicht angepasst werden
  • kann per GPO leicht verteilt werden
    Minus
  • Muss ständig laufen, um zu überprüfen, ob der Prozess läuft.
  • Blindzeit, in der der Prozess läuft, ohne erkannt zu werden

Per Batch und Taskplanung, Dateizugriff verhindern:
Plus
  • kann leicht angepasst werden
  • kann leicht per GPO verteilt werden,
    Minus
  • Erfordert weitere Skripte und GPOs, um Ausführbarkeit nach Herunterfahren, Ruhezustand, etc. wieder Herzustellen
  • Muss ständig laufen, um Blindzeit zu überbrücken (Ab-/Anmelden, Standby, Ruhezustand, ...) oder Benutzer muss das Anmelden in der Zeit verboten werden
  • Falls iexplore.exe: Kann sehr unangenehme Nebeneffekte haben (man ahnt oft nicht, wo der IE überall gebraucht wird - ich musste das schmerzlich lernen)

Per selbstprogrammierten Service:
Plus
  • relativ leichte Anpassung, aber immer rekompilierung notwendig
  • Programm überwacht autark ob Programm läuft, und terminiert es im Fall des Falles nahezu in Nullzeit
    Minus
  • Aufwand ist höher als bei einer Batch-Lösung
  • muss programmiert werden
  • Verteilung nicht ganz so einfach wie mit Skript.

Per Hook in der Prozesserstellung:
Plus
  • Programm kann gar nicht starten, falls verboten.
  • Nur, wer deine Implementation kennt / diese reverse-engineered kann das Tool umgehen.
    Minus
  • Sehr kompliziert, will man keinen Bluescreengenerator
  • Verteilung nicht ganz so einfach wie mit Skript

Falls es um die Verhinderung von IE geht - Firewall, Proxy per Richtlinie setzen:
Plus
  • einfache Verteilung per GPO
    Minus
  • Proxy kann deaktiviert werden, lokale Seiten können dann aufgerufen werden

Wenn ich was vergessen hab, einfach schreien. In Richtung Umsetzung der Punkte muss man ja nur weiter oben Nachlesen.
Bitte warten ..
Mitglied: Metzger-MCP
20.08.2013, aktualisiert um 18:38 Uhr
Zitat von delirium:
> Zitat von Metzger-MCP:
> Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen
hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn
das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.


Ich denke das ist nicht das Problem und die wenigen calls beim Systemstart sollte ein System aushalten dann kommen ja keine mehr ... also kein zuspammen

Max 3 Jobs Systemstart / 16 Uhr / 21 Uhr

Task 0
Beim Systemstart Batch 1 ( Erlaubenbatch ) ausführen -> Rechte werden restauriert und arbeiten möglich
liegt die Startzeit innerhalb der Surfverbotzeit -> Batch 2 ( Verbietenbatch ) ausführen -> Rechte entziehen und Prozesse Killen

Task 1
16 Uhr Batch 2 ( Verbietenbatch ) ausführen -> Rechte entziehen und Prozesse Killen

Task 2
21 Uhr Batch 1 ( Erlaubenbatch ) ausführen -> Rechte werden restauriert und arbeiten möglich

Wenn die Rechte entzogen sind brauch man nicht prüfen da der User die Rechte nicht ändern kann.

MFG Uwe
Bitte warten ..
Mitglied: delirium
20.08.2013, aktualisiert um 18:35 Uhr
Nein, sind vier. Ruhezustand kommt noch dazu, sonst kann man das damit sehr einfach umgehen. Es sei denn, der ist deaktiviert, aber das sagt der TE ja nicht.
Bitte warten ..
Mitglied: Tsunami87
21.08.2013 um 06:56 Uhr
Guten Morgen an alle,

erst einmal vielen Dank für die Masse an Denkanstößen und eure investierte Zeit!

Problematik liegt hier:
In unserem UN gibt es eine Zentrale, diese ist bis 16:00 Uhr besetzt.
Nach 16:00 Uhr setzt sich der Wachschutz an diesen PC.
Da der Wachschutz auch verschiedene Aufgaben an diesen PC erledigen muss wollte ich den IE sperren.
Wollte aber hier nicht den Weg über neues Benutzerkonto gehen.
(Nun weiß ich, dass dies eine der schnellsten Varianten gewesen wäre.)


In meinem "jugendlichen" Leichtsinn dachte ich erst einmal daran, dies über Batch, vbs, Powershell zu lösen.
Man will ja immer was dazu lernen.
Nun, da es doch ausufert (an Arbeitszeit, Fehlerquellen, ... ).
Werde ich doch den Weg über die Firewall prüfen.
Falls dieses aus irgendwelchen Gründen nicht möglich sein sollte, werde ich kurzer Hand ein neues Benutzerkonto anlegen und diesen das Recht auf den IE Sperren.

Vielleicht hilft aber auch schon ein persönliches Gespräch.


Mit freundlichen Grüßen
Tsunami
Bitte warten ..
Mitglied: Bitboy
21.08.2013 um 08:37 Uhr
Hi,

heisst das die Mitarbeiter eurer Zentraler und der Wachschutz haben mit demselben User-Account gearbeitet? *grusel*

In dem Fall wäre schon Sicherheitstechnisch ein eigenes Benutzerkonto vorzuziehen. Und dann Gehts einfach GPO: "Internet Forbid" -> Applocker -> iexplorer und fertig.
Bitte warten ..
Mitglied: certifiedit.net
21.08.2013 um 08:46 Uhr
Schließe mich hier an: Einen neuen User "Wachschutz" und von 4-9 abends die Firewall fürs Surfen von den betreffenden PCs dicht gemacht. Sonst brauchst du ja fast kein AD.

Grüße
Bitte warten ..
Mitglied: Metzger-MCP
21.08.2013, aktualisiert um 10:38 Uhr
Moin
SOOOOOOOOOOVIEL denkaufwand für den POPO, naja anderseitz so quer zu denken schult den Findungssinn für Lösungen .... da sieht man wieder, was zuwenige Informationen anstellen können. Ich für meinen Teil dachte an Mitarbeiter und nicht an sowas triviales ... ohne Worte. Manchmal sind die altbewerten Dinge doch die Besten ;) .

Lokalen Admin User erstellen und die Proxyeinstellungen auf Mond verschieben, dann per Registryhack die USB Anschlüsse sperren ( USBSTICK -> Portable Software ), im Anschluss dem User die Rechte entziehen und der Drops ist gelutscht. Kleinster Aufwand, große Wirkung und vor allem Schutz des kompletten Netzes ..... !!!!!!!

MFG Uwe
Bitte warten ..
Mitglied: 112778
21.08.2013, aktualisiert um 13:50 Uhr
Mit Dem Entfernen des Gateways der Netzwerkkarte gibt es auch kein Internet, vorausgesetzt, das Firmennetz benötigt keine externe Route..
Bitte warten ..
Mitglied: Metzger-MCP
21.08.2013 um 14:11 Uhr
Zitat von 112778:
Mit Dem Entfernen des Gateways der Netzwerkkarte gibt es auch kein Internet, vorausgesetzt, das Firmennetz benötigt keine
externe Route..

Hm Nachteil betrifft alle User nicht nur ein User ...
MFG Uwe
Bitte warten ..
Mitglied: 112778
21.08.2013, aktualisiert um 14:45 Uhr
Nachteil betrifft alle User nicht nur ein User
Wieso das? Der Rechner steht doch doch am Arbeitsplatz des Wachschutzes und hat eine eigene Netzwerkkarte. Übersehe ich da was?
Oder meinst du, der Wachmann geht durch sämtliche Räume und probiert an allen PCs aus, ob er ins Internet kommt?
Bitte warten ..
Mitglied: certifiedit.net
21.08.2013 um 14:47 Uhr
Ja, der Wachschutz nutzt die PCs der Mitarbeiter mit. Momentan in der Hinsicht, dass es nichtmal unterschiedliche Konten für unterschiedliche MA Gruppen gibt (Std, Wachschutz). Du übersiehst etwas.
Bitte warten ..
Der Kommentar von 112778 wurde vom Moderator kontext am 21.08.13 ausgeblendet!
Der Kommentar von certifiedit.net wurde vom Moderator kontext am 21.08.13 ausgeblendet!
Der Kommentar von 112778 wurde vom Moderator kontext am 21.08.13 ausgeblendet!
Mitglied: Metzger-MCP
21.08.2013, aktualisiert um 15:17 Uhr
Mahlzeit

Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @Moddies ;)


Zitat von 112778:
> Nachteil betrifft alle User nicht nur ein User
Wieso das? Der Rechner steht doch doch am Arbeitsplatz des Wachschutzes und hat eine eigene Netzwerkkarte. Übersehe ich da
was?

Hm wenn der TO nur einzig für den Wachschutz den PC hätte, könnte man davon ausgehen, das er kein 'Netzwerkkabel" anschliest und ... eventuell noch ein Drucker dazustellt. Da in der Regel aber der Wachschutz am EMPFANG angesiedelt ist und da Tagsüber gearbeitet wird ... würdest du somit den PC für alle ohne Standartgateway Konfigurieren und somit wären alle USER betroffen .... Irgendwo hab ich das oben gelesen Zeitwechsel 16:00

Oder meinst du, der Wachmann geht durch sämtliche Räume

könnte seine Aufgabe sein

und probiert an allen PCs aus, ob er ins Internet kommt?

wenn er sein Arbeitsaufgabenbereich vernachlässigt und einen Firmenzugang hat ...

Egal ... Es gibt viele Wege zur Lösung und wir haben schon einige hier gelesen... alle haben ihre Vorteil und Nachteile

MFG Uwe
Bitte warten ..
Mitglied: 112778
21.08.2013 um 15:19 Uhr
Mahlzeit
Moin!

@ Metzger-MCP

Ob du nun für die betreffenden PCs oder den speziellen PC die Firewall aktivierst für den Zeitraum von 16.00 Uhr bis 21.00 Uhr oder das Gateway wegnnimmst, bleibt sich doch wohl gleich. In beiden Fällen wären die User der oder des PCs betroffen.

Egal

Der Worte sind genug gewechselt, lasst mich auch endlich Taten sehen

Gruß
Bitte warten ..
Mitglied: kontext
21.08.2013 um 15:20 Uhr
Zitat von Metzger-MCP:
Mahlzeit

Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN
Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @Moddies ;)
Habe die "unnötigen" Kommentare entfernt ...
... Wer damit ein Problem hat kann sich gerne bei mir melden

Gruß
kontext (Mod)
Bitte warten ..
Mitglied: Tsunami87
21.08.2013 um 15:50 Uhr
Hallo,

Rückmeldung:

Habe nun die Firewall unseres UN so eingestellt, dass der User nach xx:xx Uhr nicht mehr ins Internet kommt.

Danke an alle.

Grüße
Tsunami
Bitte warten ..
Mitglied: certifiedit.net
21.08.2013 um 15:52 Uhr
Super, dann haben wir endlich eine Lösung.

Grüße,
Christian
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...