43
PC-Anwendung nach bestimmter Uhrzeit für x Stunden sperren
Hallo liebe Community,
ich sitz hier schon gefühlte 8Std. an einer Lösung wie ich ein Programm nach einer bestimmten Uhrzeit (16:00) für 5 Std. sperren kann.
Mein Benutzer hat einen Windows 7 Prof 32bit Client und sitzt in einer AD Domäne.
Mein Weg hat mich schon über die Aufgabenplanung (vbs) geführt.
Dieser task führt ab xx:xx Uhr aller 1 Minute für x Stunden die vbs aus.
Finde ich unschön.
Kennt Ihr eine Möglichkeite (mit M$-Mitteln) diese Herausforderung zu lösen?
in freudiger Erwartung
Tsunami
ich sitz hier schon gefühlte 8Std. an einer Lösung wie ich ein Programm nach einer bestimmten Uhrzeit (16:00) für 5 Std. sperren kann.
Mein Benutzer hat einen Windows 7 Prof 32bit Client und sitzt in einer AD Domäne.
Mein Weg hat mich schon über die Aufgabenplanung (vbs) geführt.
Dieser task führt ab xx:xx Uhr aller 1 Minute für x Stunden die vbs aus.
Finde ich unschön.
Option Explicit
Dim objWMIService, objProcess, colProcess
Dim strComputer, strProcessKill
strComputer = "."
strProcessKill = "'iexplore.exe'"
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colProcess = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = " & strProcessKill )
For Each objProcess in colProcess
objProcess.Terminate()
Next
'WSCript.Echo "Just killed process " & strProcessKill _
'& " on " & strComputer
WScript.Quit
' End of WMI Example of a Kill Process Kennt Ihr eine Möglichkeite (mit M$-Mitteln) diese Herausforderung zu lösen?
in freudiger Erwartung
Tsunami
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214769
Url: https://administrator.de/contentid/214769
Printed on: April 19, 2024 at 15:04 o'clock
43 Comments
Latest comment
Was ist das Ziel? Darf der User gar nichts machen, oder nur nur dieses Programm nicht?
Hallo,
der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami
der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami
Zitat von @Tsunami87:
Hallo,
der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami
Hallo,
der User soll dieses Programm nach 16:00 Uhr für 5stunden nicht mehr ausführen können.
Mit freundlichen Grüßen
Tsunami
Hallo
Wo liegt das PRG und wie wird es aufgerufen ?
Welcher Kenntnisstand hat der / die Benutzer ?
Welche Berechtigungen haben die Leute ?
MFG Uwe
Hi,
du könntest per Aufgabenplanung dem User mit icacls eine Verweigerung für Verzeichnis oder Datei setzen und die nach 5 Stunden wieder aufheben. Da ich aber weder an einem Server noch in einer Domäne arbeite, kann ich das nicht selbst ausprobieren, das ist nur ein Vorschlag.
Gruß
du könntest per Aufgabenplanung dem User mit icacls eine Verweigerung für Verzeichnis oder Datei setzen und die nach 5 Stunden wieder aufheben. Da ich aber weder an einem Server noch in einer Domäne arbeite, kann ich das nicht selbst ausprobieren, das ist nur ein Vorschlag.
Gruß
Hallo at Metzger,
das Programm iexplore liegt standardmäßig unter C:\Program Files\Internet Explorer.
Kenntnisstand des User = PC anschalten, ausschalten, Einträge in Excel und Word vornehmen, Drucken, ...
Berechtigung = Standardbenutzer
Hallo at Eispott,
gute Idee ich versuch mich mal.
Danke.
Mit freundlichen Grüßen
Tsunami
das Programm iexplore liegt standardmäßig unter C:\Program Files\Internet Explorer.
Kenntnisstand des User = PC anschalten, ausschalten, Einträge in Excel und Word vornehmen, Drucken, ...
Berechtigung = Standardbenutzer
Hallo at Eispott,
gute Idee ich versuch mich mal.
Danke.
Mit freundlichen Grüßen
Tsunami
Hallo,
wenn ich den Befehl wie in cmd beschrieben
mit meiner SID mit Adminkonto ausführe
erhalte ich
Wo liegt der Fehler?
Grüße
wenn ich den Befehl wie in cmd beschrieben
icacls file /grant *S-1-1-0:(D,WDAC)icacls "c:\Program Files\Internet Explorer\iexplore.exe" /grant *S-1xxxxxxxx:(N) Ungültiger Parameter: "*S-1xxxxxxxx:(N)" Wo liegt der Fehler?
Grüße
Teste nochmal mit
*S-1-1-0:(D,WDAC)Zitat von @112778:
Hi,
icacls eine Verweigerung für Verzeichnis oder Datei setzen ....
Gruß
Hi,
icacls eine Verweigerung für Verzeichnis oder Datei setzen ....
Gruß
Das war ursprünglich auch mein Gedanke ... wobei ich nicht unbedingt icacls nehmen würde sondern das einfacherer cacls ... dann muss aber einiges im Vorfeld an der NTFS Schraube gedreht werden, da die Berechtigungen für das Verzeichniss da noch nicht passend sind. Besitz übernehmen und Berechtigungen vergeben und das f. 32 + 64 Bit
c:\programme ..... \ Internet Explorer
c:\programme (x86) ..... \ Internet Explorer
aber machbar.
Ich würde das aber alles in einer Batch laufen lassen die als cronjob / Aufgabenplannung ( adminrechte ) die NTFS Struktur ändert und dann den Task pskill killt ( systeminternals ) ach ja die Zuweisung geht auch per GPO ...
Die Batch sollte dann die Uhrzeit abfragen und dann selbiges ausführen.... fehlt nur noch die umgekehrte Funktion ... ebenfalls eine Batch ...
MFG Uwe
1
Wenn es um den IE geht, warum wird dies nicht einfach direkt in der Beschreibung gesagt. Internetsurfen kann auch per UTM/Firewall begrenzt werden. Vorallem problemloser als so. Vielleicht nicht kostengünstiger, aber was passiert, wenn bei dem Skript etwas vergessen wird? Im Extremfall bedeutet dies, dass bei keinem PC im Unternehmen der IE mehr funktioniert.
2
Klar - ich glaube nur, mit einem VBS-Skript kommst du hier nicht weit. Es wäre gescheiter einen bspw. C#-Service zu schreiben, der dann einen ProcessMonitor (so wie diesen hier: http://weblogs.asp.net/whaggard/archive/2006/02/11/438006.aspx) verwendet, und im Fall, dass iexplore.exe gestartet wird, diesen killt. Über einen System.Timer.Timer kannst du dir ein Event geben lassen, wenn es 16:00 ist und iexplore killen. Ob du wirklich killst oder nicht kannst du dann über die aktuelle Systemzeit herausfinden.
Einziges benötigtes Tool: Visual Studio (Express).
Ist meiner Meinung nach eine bessere Lösung als die Dateirechte - denn was ist, wenn es gegen 20:00 einen Stromausfall gibt, und der PC dann erst nach dem Stromausfall wieder gestartet wird (da dann der iexplore aber wieder erlaubt ist)? Wie werden dann die Dateirechte wieder entsprechend gesetzt, dass eine Ausführung möglich ist? Was ist, wenn der Benutzer den PC über für diesen Zeitraum einfach herunterfährt? Dein Skript müsste dann sowieso minütlich laufen, um die Dateirechte zu überwachen.
Hi,
MS schreibt aber dazu
Gruß
MS schreibt aber dazu
Hinweis: Cacls ist veraltet. Verw. sie Icacls.
Warum auch immer. da die Berechtigungen für das Verzeichniss da noch nicht passend sind.
Stimmt. Besitzer ist default nur der "Trusted Installer"Gruß
1
Am localhost? Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keine unbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.
Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keine unbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.
Hi delirium,
nun, worauf will er zugreifen? Ich nehme einfach mal an, dass er mit dem IE nicht nur ein locales HTML Dateichen anschauen will respektive dies blockiert haben möchte. I.d.R greift man darüber auf einen Webserver zu. Daher dürfte dies (mehr Infos sind immer gut) der bessere Ansatz sein. Da gerade Systemprogramme und insbesondere der IE es gar nicht gerne mögen, wenn man ihnen die Rechtestruktur unterm A* wegzieht.
Daher: UTM/Firewall, die gehört sowieso vors Netz. Wenn man die Arbeitszeit (gefühlte 8 + die seither aufgelaufene Zeit) gegenrechnet ist das bald günstiger, auch für die Zukunft.
Beste Grüße,
Christian
nun, worauf will er zugreifen? Ich nehme einfach mal an, dass er mit dem IE nicht nur ein locales HTML Dateichen anschauen will respektive dies blockiert haben möchte. I.d.R greift man darüber auf einen Webserver zu. Daher dürfte dies (mehr Infos sind immer gut) der bessere Ansatz sein. Da gerade Systemprogramme und insbesondere der IE es gar nicht gerne mögen, wenn man ihnen die Rechtestruktur unterm A* wegzieht.
Daher: UTM/Firewall, die gehört sowieso vors Netz. Wenn man die Arbeitszeit (gefühlte 8 + die seither aufgelaufene Zeit) gegenrechnet ist das bald günstiger, auch für die Zukunft.
Beste Grüße,
Christian
1Zitat von @delirium:
> Zitat von @falscher-sperrstatus:
> ----
> Internetsurfen kann auch per UTM/Firewall begrenzt werden.
Am localhost? Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keine
unbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.
> Zitat von @falscher-sperrstatus:
> ----
> Internetsurfen kann auch per UTM/Firewall begrenzt werden.
Am localhost?
Bleibt trotzdem noch die Frage, wie man andere Browser verhindert - Firefox oder Chrome sind ja keineunbekannten mehr und können auch ohne Administratorrechte auf den Rechner geschaufelt werden.
Hallo
Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Du kannst natürlich die IE Proxyeinstellungen per GPO verteilen und auch ausblenden ... so kannst du das auch Umgehen ...
MFG Uwe
Zitat von @delirium:
Ist meiner Meinung nach eine bessere Lösung als die Dateirechte - denn was ist, wenn es gegen 20:00 einen Stromausfall gibt,
und der PC dann erst nach dem Stromausfall wieder gestartet wird (da dann der iexplore aber wieder erlaubt ist)? Wie werden dann
die Dateirechte wieder entsprechend gesetzt, dass eine Ausführung möglich ist? Was ist, wenn der Benutzer den PC
über für diesen Zeitraum einfach herunterfährt? Dein Skript müsste dann sowieso minütlich laufen, um die
Dateirechte zu überwachen.
Ist meiner Meinung nach eine bessere Lösung als die Dateirechte - denn was ist, wenn es gegen 20:00 einen Stromausfall gibt,
und der PC dann erst nach dem Stromausfall wieder gestartet wird (da dann der iexplore aber wieder erlaubt ist)? Wie werden dann
die Dateirechte wieder entsprechend gesetzt, dass eine Ausführung möglich ist? Was ist, wenn der Benutzer den PC
über für diesen Zeitraum einfach herunterfährt? Dein Skript müsste dann sowieso minütlich laufen, um die
Dateirechte zu überwachen.
Cronjob beim Starten per GPO mit Abfrage der Uhrzeit ....
Warum denn nun unbedingt 'ne Batch?
Die Besitzübernahme ist doch eine einmalige Angelegenheit. Und wenn du unbedingt cacls verwenden möchtest, geht das mit
und das Aufheben mit
Das Gleich natürlich, falls Bedarf besteht, für Program Files(x86).
Es handelt sich um genau die Befehle, die MS in FixIts oder Workaround-Empfehlungen selbst immer benutzt, nur mit der Gruppe Jeder bzw. Everlyone. Aber das wollen wir hier ja wohl nicht.
In der Aufgabenplanung würde ich das als SYSTEM laufen lassen, soferntdas nur für einen Nutzer gelten sollte, und zwar ohne, dass der angemeldet sein muss.
Für's Killen benötigt man auch im Fall des Falles kein externes Tool, sondern kann tskill Programmname verwenden, das gehört zum System.
Gruß
Die Besitzübernahme ist doch eine einmalige Angelegenheit. Und wenn du unbedingt cacls verwenden möchtest, geht das mit
Echo y| cacls "C:\Program Files\Internet Explorer\IExplore.exe" /E /P {Name der Gruppe oder des Benuters}:N und das Aufheben mit
cacls "C:\Program Files\Internet Explorer\IExplore.exe" /E /R {Name der Gruppe oder des Benuters} Das Gleich natürlich, falls Bedarf besteht, für Program Files(x86).
Es handelt sich um genau die Befehle, die MS in FixIts oder Workaround-Empfehlungen selbst immer benutzt, nur mit der Gruppe Jeder bzw. Everlyone. Aber das wollen wir hier ja wohl nicht.
In der Aufgabenplanung würde ich das als SYSTEM laufen lassen, soferntdas nur für einen Nutzer gelten sollte, und zwar ohne, dass der angemeldet sein muss.
Für's Killen benötigt man auch im Fall des Falles kein externes Tool, sondern kann tskill Programmname verwenden, das gehört zum System.
Gruß
Hi certifiedit,
klar - generell hast du Recht. Ich schätze aber mal, dass der TE einen bestimmten Grund hat, warum er diese Vorgehensweise möchte (auch, wenn sie mir nicht wirklich einleuchtet). Wir kennen auch beide nicht die Software auf dem Client, es kann schon sein, dass da irgendeine lokale Webapp läuft (sowas solls geben).
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.
Das einzig wirklich zuverlässig Weg, Prozesse am Öffenen zu hindern, ist der, wie ihn bspw. Salfeld mit der Kindersicherung gegangen ist - reinhooken in die Prozesserstellung und verbotene Prozesse an der Erstellung hindern. Ist aber alles andere als Trivial und wenn man nen Fehler macht, kanns sein das nichts mehr startet oder man einen wunderschönen Bluescreen-Generator hat. Wie ich aus eigener Erfahrung weiß ist aber auch das nicht zu 100% zuverlässig, ich hab bis jetzt immer Wege gefunden, das Teil zu umgehen (u.A. in dem ich ein Programm geschrieben habe, was sich selbst da reingehookt hat und den Hook von der KiSi entfernt hat).
klar - generell hast du Recht. Ich schätze aber mal, dass der TE einen bestimmten Grund hat, warum er diese Vorgehensweise möchte (auch, wenn sie mir nicht wirklich einleuchtet). Wir kennen auch beide nicht die Software auf dem Client, es kann schon sein, dass da irgendeine lokale Webapp läuft (sowas solls geben).
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.
Das einzig wirklich zuverlässig Weg, Prozesse am Öffenen zu hindern, ist der, wie ihn bspw. Salfeld mit der Kindersicherung gegangen ist - reinhooken in die Prozesserstellung und verbotene Prozesse an der Erstellung hindern. Ist aber alles andere als Trivial und wenn man nen Fehler macht, kanns sein das nichts mehr startet oder man einen wunderschönen Bluescreen-Generator hat. Wie ich aus eigener Erfahrung weiß ist aber auch das nicht zu 100% zuverlässig, ich hab bis jetzt immer Wege gefunden, das Teil zu umgehen (u.A. in dem ich ein Programm geschrieben habe, was sich selbst da reingehookt hat und den Hook von der KiSi entfernt hat).
Hi delirium,
das ist eben die Frage, die Aussagen hier sind auch eher als unzuverlässig und vorallem unvollständig auf diese eine Lösung festgefahren zu bezeichnen. Selbst bei einer lokalen Webapp wäre es dann sinnvoller diese nicht starten zu lassen (getimed), als den IE zu blocken. hier wäre eine Umfassende Zieldefinition gefragt.
Grüße
das ist eben die Frage, die Aussagen hier sind auch eher als unzuverlässig und vorallem unvollständig auf diese eine Lösung festgefahren zu bezeichnen. Selbst bei einer lokalen Webapp wäre es dann sinnvoller diese nicht starten zu lassen (getimed), als den IE zu blocken. hier wäre eine Umfassende Zieldefinition gefragt.
Grüße
1
Die Frage lautete: Eine PC_Anwendung .....
Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich zufüllig um den IE handelt, ist zweitrangig.
Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich zufüllig um den IE handelt, ist zweitrangig.
1Zitat von @112778:
Warum denn nun unbedingt 'ne Batch?
Die Besitzübernahme ist doch eine einmalige Angelegenheit.
Warum denn nun unbedingt 'ne Batch?
Die Besitzübernahme ist doch eine einmalige Angelegenheit.
sicher dafür müsste man keine Batch haben ...
Aber mit einer Batch hast du nur einmal die Taskplanung und kannst mehrere Funktionen hinternanderwech abarbeiten sonst schreibste x Aufgabenplannungnen ...
- verbiegen von IE / FF / ...... / opera
- Killen der Browsertask's
- zentralle Steuerung der Inhalte durch Verteilung der Datei ....
Und wenn du unbedingt cacls verwenden möchtest,
ist nur einfacher und funktioniert genauso gut ... empfehlung der Erweiterungen bedeutet auch nur das die anderen mehr können ...
Zitat von @112778:
Die Frage lautete: Eine PC_Anwendung .....
Ihr solltet vielleicht nicht mutmaßen oder schätzten, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.
Die Frage lautete: Eine PC_Anwendung .....
Ihr solltet vielleicht nicht mutmaßen oder schätzten, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.
Hab' ich doch: PC-Anwendung nach bestimmter Uhrzeit für x Stunden sperren
Zitat von @112778:
Die Frage lautete: Eine PC_Anwendung .....
Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.
Die Frage lautete: Eine PC_Anwendung .....
Ihr solltet vielleicht nicht mutmaßen oder schätzen, sondern einfach auf die gestellte Frage eingehen. Dass es sich
zufüllig um den IE handelt, ist zweitrangig.
Darauf wurde eingegangen. Wenn du es von deiner Unternehmenshierarchie gewohnt bist Lösungen nur im Fuhrwasser des Chefs anzunehmen und dich allem anderen inkl. effizienterer Ansätze vehement zu verweigern bist du hier falsch.
1Zitat von @Metzger-MCP:
Aber mit einer Batch hast du nur einmal die Taskplanung und kannst mehrere Funktionen hinternanderwech abarbeiten sonst schreibste
x Aufgabenplannungnen ...
Aber mit einer Batch hast du nur einmal die Taskplanung und kannst mehrere Funktionen hinternanderwech abarbeiten sonst schreibste
x Aufgabenplannungnen ...
Schon ok. ABER: Wenn nur x86 vorhanden sein sollte, brauchst du nur eine Zeile. Die Browsertasks zu killen habe ich nicht bedacht, zugegeben. Nur in dem Moment, in dem der IE einen neuen Tab offnen möchte, ist Feierabend, dann kommt ein Ätsch! Also könnte man evtl. auf das Killen verzichten.
1Das ist ja ok und reicht auch. Aber wenn du ständig darauf rumreitest, was man doch alles machen müsste und anschaffen könnte, anstatt dich zunächst einmal mit der konkret gestellten Frage zu beschäftigen, bist du hier imo auch falsch.
1
Nein, ist es nicht, denn es ist eben nicht zufällig der IE. Es wäre zufällig ein Programm, wenn es lokal zu einem lokalen Zweck ausgeführt werden würde. Ein IE ist aber ein Programm, welches anders effizienter beschränkt werden kann. Hier ist es eben kein herumreiten auf einer Sache mehr, sondern ein sachdienliches Hinterfragen der Zieldefinition um die beste Lösung zu finden, ohne dass der Lösungsweg einen ganzen Rattenschwanz an potentiellen Problemen mit sich bringt.
1
Schon klar. Der einzige Lösungsweg, der in Frage kommt, ist nätürlich deiner aufgrund deiner Mutmaßungen und Schätzungen.
Wenn ich das richtig verstanden habe, geht es hier um EINEN User und nicht um die Zerstlörung einer Unternehmensstruktur.
Vielleicht lässt du das einfach erst mal den TO entscheiden, ob ihm deine Lösungsmöglichkeit zusagt, ehe du hier weitere Mutmaßungen anstellst.
EOD
Wenn ich das richtig verstanden habe, geht es hier um EINEN User und nicht um die Zerstlörung einer Unternehmensstruktur.
Vielleicht lässt du das einfach erst mal den TO entscheiden, ob ihm deine Lösungsmöglichkeit zusagt, ehe du hier weitere Mutmaßungen anstellst.
EOD
1
Der Unterschied ist: Ich sage "hier fehlen Informationen", mit einem Angebot einer besseren Lösung. Aber evtl fehlen dir die Erfahrungen mit dem Rechte umbiegen in Systemnahen Programmen. Diese Auswirkungen wurden oben schon teilweise von anderen beschrieben. Dennoch bleibe ich bei der Nachfrage nach mehr Informationen seitens des Fragestellers, dem Hinweis auf eine UM/FW Blockade in betreffendem Zeitraum, falls es sich nicht um eine lokale WebApp handelt wie angemerkt und hoffe darauf, dass die Ferien bald vorbei sind, damit du wieder sinnvolles zu tun hast ;)
Schönen Gruß
Schönen Gruß
Jetzt kommt bitte erstmal alle wieder auf den Boden...
Tragen wir doch einmal zusammen, was wir von der Aufgabenstellung wissen.
- Es soll ein Programm programm.exe zuverlässig zwischen 16:00 und 21:00 geschlossen und dessen Startvorgang unterdrückt werden.
- Ein minütliches laufen per Taskplanung ist nicht erwünscht.
- Der PC-Benutzer, der eingeschränkt sein soll, hat mittleres Anwender-Know-How, ob er weiß, wie man Berechtigungen editiert, ist unbekannt.
- Der PC sitzt in einem ActiveDirectory.
Nachdem der TE nicht nach einer Lösung per Batch gefragt hat, sondern nur, wie man das mit MS-Tools lösen kann, hier eine Zusammenfassung der Lösungsmöglichkeiten:
Per Batch und Taskplanung, Prozess killen:
Per Batch und Taskplanung, Dateizugriff verhindern:
Per selbstprogrammierten Service:
Per Hook in der Prozesserstellung:
Falls es um die Verhinderung von IE geht - Firewall, Proxy per Richtlinie setzen:
Wenn ich was vergessen hab, einfach schreien. In Richtung Umsetzung der Punkte muss man ja nur weiter oben Nachlesen.
Tragen wir doch einmal zusammen, was wir von der Aufgabenstellung wissen.
- Es soll ein Programm programm.exe zuverlässig zwischen 16:00 und 21:00 geschlossen und dessen Startvorgang unterdrückt werden.
- Ein minütliches laufen per Taskplanung ist nicht erwünscht.
- Der PC-Benutzer, der eingeschränkt sein soll, hat mittleres Anwender-Know-How, ob er weiß, wie man Berechtigungen editiert, ist unbekannt.
- Der PC sitzt in einem ActiveDirectory.
Nachdem der TE nicht nach einer Lösung per Batch gefragt hat, sondern nur, wie man das mit MS-Tools lösen kann, hier eine Zusammenfassung der Lösungsmöglichkeiten:
Per Batch und Taskplanung, Prozess killen:
- Plus
- kann leicht angepasst werden
- kann per GPO leicht verteilt werden
- Minus
- Muss ständig laufen, um zu überprüfen, ob der Prozess läuft.
- Blindzeit, in der der Prozess läuft, ohne erkannt zu werden
Per Batch und Taskplanung, Dateizugriff verhindern:
- Plus
- kann leicht angepasst werden
- kann leicht per GPO verteilt werden,
- Minus
- Erfordert weitere Skripte und GPOs, um Ausführbarkeit nach Herunterfahren, Ruhezustand, etc. wieder Herzustellen
- Muss ständig laufen, um Blindzeit zu überbrücken (Ab-/Anmelden, Standby, Ruhezustand, ...) oder Benutzer muss das Anmelden in der Zeit verboten werden
- Falls iexplore.exe: Kann sehr unangenehme Nebeneffekte haben (man ahnt oft nicht, wo der IE überall gebraucht wird - ich musste das schmerzlich lernen)
Per selbstprogrammierten Service:
- Plus
- relativ leichte Anpassung, aber immer rekompilierung notwendig
- Programm überwacht autark ob Programm läuft, und terminiert es im Fall des Falles nahezu in Nullzeit
- Minus
- Aufwand ist höher als bei einer Batch-Lösung
- muss programmiert werden
- Verteilung nicht ganz so einfach wie mit Skript.
Per Hook in der Prozesserstellung:
- Plus
- Programm kann gar nicht starten, falls verboten.
- Nur, wer deine Implementation kennt / diese reverse-engineered kann das Tool umgehen.
- Minus
- Sehr kompliziert, will man keinen Bluescreengenerator
- Verteilung nicht ganz so einfach wie mit Skript
Falls es um die Verhinderung von IE geht - Firewall, Proxy per Richtlinie setzen:
- Plus
- einfache Verteilung per GPO
- Minus
- Proxy kann deaktiviert werden, lokale Seiten können dann aufgerufen werden
Wenn ich was vergessen hab, einfach schreien. In Richtung Umsetzung der Punkte muss man ja nur weiter oben Nachlesen.
1Zitat von @delirium:
> Zitat von @Metzger-MCP:
> Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen
hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn
das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.
> Zitat von @Metzger-MCP:
> Wenn du ne Batch baust ... kannste die Tools auch mit einbauen ...
Ja klar - nur, dass du dann den Rechner mit WMI-Calls zuspammst (und somit viel CPU-Last generierst). Datei-Rechte entziehen
hört sich zwar in der Theorie gut an, ändert aber nix an der Tatsache, dass diese überwacht sein wollen - denn wenn
das Skript aus irgendeinem Grund nicht (korrekt) läuft, hast du ein Problem.
Ich denke das ist nicht das Problem und die wenigen calls beim Systemstart sollte ein System aushalten dann kommen ja keine mehr ... also kein zuspammen
Max 3 Jobs Systemstart / 16 Uhr / 21 Uhr
Task 0
Beim Systemstart Batch 1 ( Erlaubenbatch ) ausführen -> Rechte werden restauriert und arbeiten möglich
liegt die Startzeit innerhalb der Surfverbotzeit -> Batch 2 ( Verbietenbatch ) ausführen -> Rechte entziehen und Prozesse Killen
Task 1
16 Uhr Batch 2 ( Verbietenbatch ) ausführen -> Rechte entziehen und Prozesse Killen
Task 2
21 Uhr Batch 1 ( Erlaubenbatch ) ausführen -> Rechte werden restauriert und arbeiten möglich
Wenn die Rechte entzogen sind brauch man nicht prüfen da der User die Rechte nicht ändern kann.
MFG Uwe
1
Nein, sind vier. Ruhezustand kommt noch dazu, sonst kann man das damit sehr einfach umgehen. Es sei denn, der ist deaktiviert, aber das sagt der TE ja nicht.
1
Guten Morgen an alle,
erst einmal vielen Dank für die Masse an Denkanstößen und eure investierte Zeit!
Problematik liegt hier:
In unserem UN gibt es eine Zentrale, diese ist bis 16:00 Uhr besetzt.
Nach 16:00 Uhr setzt sich der Wachschutz an diesen PC.
Da der Wachschutz auch verschiedene Aufgaben an diesen PC erledigen muss wollte ich den IE sperren.
Wollte aber hier nicht den Weg über neues Benutzerkonto gehen.
(Nun weiß ich, dass dies eine der schnellsten Varianten gewesen wäre.)
In meinem "jugendlichen" Leichtsinn dachte ich erst einmal daran, dies über Batch, vbs, Powershell zu lösen.
Man will ja immer was dazu lernen.
Nun, da es doch ausufert (an Arbeitszeit, Fehlerquellen, ... ).
Werde ich doch den Weg über die Firewall prüfen.
Falls dieses aus irgendwelchen Gründen nicht möglich sein sollte, werde ich kurzer Hand ein neues Benutzerkonto anlegen und diesen das Recht auf den IE Sperren.
Vielleicht hilft aber auch schon ein persönliches Gespräch.
Mit freundlichen Grüßen
Tsunami
erst einmal vielen Dank für die Masse an Denkanstößen und eure investierte Zeit!
Problematik liegt hier:
In unserem UN gibt es eine Zentrale, diese ist bis 16:00 Uhr besetzt.
Nach 16:00 Uhr setzt sich der Wachschutz an diesen PC.
Da der Wachschutz auch verschiedene Aufgaben an diesen PC erledigen muss wollte ich den IE sperren.
Wollte aber hier nicht den Weg über neues Benutzerkonto gehen.
(Nun weiß ich, dass dies eine der schnellsten Varianten gewesen wäre.)
In meinem "jugendlichen" Leichtsinn dachte ich erst einmal daran, dies über Batch, vbs, Powershell zu lösen.
Man will ja immer was dazu lernen.
Nun, da es doch ausufert (an Arbeitszeit, Fehlerquellen, ... ).
Werde ich doch den Weg über die Firewall prüfen.
Falls dieses aus irgendwelchen Gründen nicht möglich sein sollte, werde ich kurzer Hand ein neues Benutzerkonto anlegen und diesen das Recht auf den IE Sperren.
Vielleicht hilft aber auch schon ein persönliches Gespräch.
Mit freundlichen Grüßen
Tsunami
Hi,
heisst das die Mitarbeiter eurer Zentraler und der Wachschutz haben mit demselben User-Account gearbeitet? *grusel*
In dem Fall wäre schon Sicherheitstechnisch ein eigenes Benutzerkonto vorzuziehen. Und dann Gehts einfach GPO: "Internet Forbid" -> Applocker -> iexplorer und fertig.
heisst das die Mitarbeiter eurer Zentraler und der Wachschutz haben mit demselben User-Account gearbeitet? *grusel*
In dem Fall wäre schon Sicherheitstechnisch ein eigenes Benutzerkonto vorzuziehen. Und dann Gehts einfach GPO: "Internet Forbid" -> Applocker -> iexplorer und fertig.
1
Schließe mich hier an: Einen neuen User "Wachschutz" und von 4-9 abends die Firewall fürs Surfen von den betreffenden PCs dicht gemacht. Sonst brauchst du ja fast kein AD.
Grüße
Grüße
1
Moin
SOOOOOOOOOOVIEL denkaufwand für den POPO, naja anderseitz so quer zu denken schult den Findungssinn für Lösungen .... da sieht man wieder, was zuwenige Informationen anstellen können. Ich für meinen Teil dachte an Mitarbeiter und nicht an sowas triviales
... ohne Worte. Manchmal sind die altbewerten Dinge doch die Besten ;) .
Lokalen Admin User erstellen und die Proxyeinstellungen auf Mond verschieben, dann per Registryhack die USB Anschlüsse sperren ( USBSTICK -> Portable Software ), im Anschluss dem User die Rechte entziehen und der Drops ist gelutscht. Kleinster Aufwand, große Wirkung und vor allem Schutz des kompletten Netzes ..... !!!!!!!
MFG Uwe
SOOOOOOOOOOVIEL denkaufwand für den POPO, naja anderseitz so quer zu denken schult den Findungssinn für Lösungen .... da sieht man wieder, was zuwenige Informationen anstellen können. Ich für meinen Teil dachte an Mitarbeiter und nicht an sowas triviales
... ohne Worte. Manchmal sind die altbewerten Dinge doch die Besten ;) .Lokalen Admin User erstellen und die Proxyeinstellungen auf Mond verschieben, dann per Registryhack die USB Anschlüsse sperren ( USBSTICK -> Portable Software ), im Anschluss dem User die Rechte entziehen und der Drops ist gelutscht. Kleinster Aufwand, große Wirkung und vor allem Schutz des kompletten Netzes ..... !!!!!!!
MFG Uwe
Mit Dem Entfernen des Gateways der Netzwerkkarte gibt es auch kein Internet, vorausgesetzt, das Firmennetz benötigt keine externe Route..
1Zitat von @112778:
Mit Dem Entfernen des Gateways der Netzwerkkarte gibt es auch kein Internet, vorausgesetzt, das Firmennetz benötigt keine
externe Route..
Mit Dem Entfernen des Gateways der Netzwerkkarte gibt es auch kein Internet, vorausgesetzt, das Firmennetz benötigt keine
externe Route..
Hm Nachteil betrifft alle User nicht nur ein User ...
MFG Uwe
3Nachteil betrifft alle User nicht nur ein User
Wieso das? Der Rechner steht doch doch am Arbeitsplatz des Wachschutzes und hat eine eigene Netzwerkkarte. Übersehe ich da was?Oder meinst du, der Wachmann geht durch sämtliche Räume und probiert an allen PCs aus, ob er ins Internet kommt?
1
Ja, der Wachschutz nutzt die PCs der Mitarbeiter mit. Momentan in der Hinsicht, dass es nichtmal unterschiedliche Konten für unterschiedliche MA Gruppen gibt (Std, Wachschutz). Du übersiehst etwas.
1
Mahlzeit
Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @moddies ;)
Hm wenn der TO nur einzig für den Wachschutz den PC hätte, könnte man davon ausgehen, das er kein 'Netzwerkkabel" anschliest und ... eventuell noch ein Drucker dazustellt. Da in der Regel aber der Wachschutz am EMPFANG angesiedelt ist und da Tagsüber gearbeitet wird ... würdest du somit den PC für alle ohne Standartgateway Konfigurieren und somit wären alle USER betroffen .... Irgendwo hab ich das oben gelesen Zeitwechsel 16:00
könnte seine Aufgabe sein
wenn er sein Arbeitsaufgabenbereich vernachlässigt und einen Firmenzugang hat ...
Egal ... Es gibt viele Wege zur Lösung und wir haben schon einige hier gelesen... alle haben ihre Vorteil und Nachteile
MFG Uwe
Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @moddies ;)
Zitat von @112778:
> Nachteil betrifft alle User nicht nur ein User
Wieso das? Der Rechner steht doch doch am Arbeitsplatz des Wachschutzes und hat eine eigene Netzwerkkarte. Übersehe ich da
was?
> Nachteil betrifft alle User nicht nur ein User
Wieso das? Der Rechner steht doch doch am Arbeitsplatz des Wachschutzes und hat eine eigene Netzwerkkarte. Übersehe ich da
was?
Hm wenn der TO nur einzig für den Wachschutz den PC hätte, könnte man davon ausgehen, das er kein 'Netzwerkkabel" anschliest und ... eventuell noch ein Drucker dazustellt. Da in der Regel aber der Wachschutz am EMPFANG angesiedelt ist und da Tagsüber gearbeitet wird ... würdest du somit den PC für alle ohne Standartgateway Konfigurieren und somit wären alle USER betroffen .... Irgendwo hab ich das oben gelesen Zeitwechsel 16:00
Oder meinst du, der Wachmann geht durch sämtliche Räume
könnte seine Aufgabe sein
und probiert an allen PCs aus, ob er ins Internet kommt?
wenn er sein Arbeitsaufgabenbereich vernachlässigt und einen Firmenzugang hat ...
Egal ... Es gibt viele Wege zur Lösung und wir haben schon einige hier gelesen... alle haben ihre Vorteil und Nachteile
MFG Uwe
2Mahlzeit
Moin!@ Metzger-MCP
Ob du nun für die betreffenden PCs oder den speziellen PC die Firewall aktivierst für den Zeitraum von 16.00 Uhr bis 21.00 Uhr oder das Gateway wegnnimmst, bleibt sich doch wohl gleich. In beiden Fällen wären die User der oder des PCs betroffen.
Egal
Der Worte sind genug gewechselt, lasst mich auch endlich Taten sehen
Gruß
1
Zitat von @Metzger-MCP:
Mahlzeit
Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN
Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @moddies ;)
Habe die "unnötigen" Kommentare entfernt ...Mahlzeit
Holla Ihr beiden .... ich gebe euch beiden gleich mal eine Möhre und 1 Zuckerwürfel ... dann kommen die BEIDEN JUNGEN
Pferde wieder runter ... .... uih uih uih hoffe das nimmt mir keiner Übel @moddies ;)
... Wer damit ein Problem hat kann sich gerne bei mir melden
Gruß
@kontext (Mod)
1
Hallo,
Rückmeldung:
Habe nun die Firewall unseres UN so eingestellt, dass der User nach xx:xx Uhr nicht mehr ins Internet kommt.
Danke an alle.
Grüße
Tsunami
Rückmeldung:
Habe nun die Firewall unseres UN so eingestellt, dass der User nach xx:xx Uhr nicht mehr ins Internet kommt.
Danke an alle.
Grüße
Tsunami
2
Super, dann haben wir endlich eine Lösung.
Grüße,
Christian
Grüße,
Christian
