4
Richtlinien für Softwareeinschränkungen - RegistryKey
Hallo Leute,
nach einer AD-Migration haben wir folgendes Problem, uns wird verwehrt, Software auf Server zu isntallieren, davon haben wir jede Menge. Die auftretende Fehlermledung: Der Systemadminisrtator hat Richtlinien erlassen, um diese Softwareisntalltion zu verhindern geht langsam auf die Nerven und muss auf jedem Server manuell geändert werden, was Zeit und nerven kostet.
Hierfür gibt es doch sicher einen Registry-Key, den man über ne Batch verteilen könnte oder?
Hier der Weg zur Änderung:
-->Computerkonfiguration
-->Windows-Einstellungen
-->Sicherheitseinstellungen
-->Richtlinien für Softwareeinstellungen
PS. Die "Migrationsabteilung" hilft uns an dieser Stelle nicht!... Somit sind wir auf uns gestellt und müssen den Fehler bereinigen.
Mit freundlichen Grüßen
Tobi
nach einer AD-Migration haben wir folgendes Problem, uns wird verwehrt, Software auf Server zu isntallieren, davon haben wir jede Menge. Die auftretende Fehlermledung: Der Systemadminisrtator hat Richtlinien erlassen, um diese Softwareisntalltion zu verhindern geht langsam auf die Nerven und muss auf jedem Server manuell geändert werden, was Zeit und nerven kostet.
Hierfür gibt es doch sicher einen Registry-Key, den man über ne Batch verteilen könnte oder?
Hier der Weg zur Änderung:
-->Computerkonfiguration
-->Windows-Einstellungen
-->Sicherheitseinstellungen
-->Richtlinien für Softwareeinstellungen
PS. Die "Migrationsabteilung" hilft uns an dieser Stelle nicht!... Somit sind wir auf uns gestellt und müssen den Fehler bereinigen.
Mit freundlichen Grüßen
Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107888
Url: https://administrator.de/contentid/107888
Printed on: April 16, 2024 at 20:04 o'clock
4 Comments
Latest comment
Hi,
Es gibt gibt von Microsoft eine Ausführliche Dokumentation in der Alle Gruppenrichtlinieneinstellungen der Registry änderung gegenübergestellt werden. Mach dir halt mal die Mühe und such danach, ich weis momentan leider nicht mehr aus dem Kopf wo genau ich das gelesen habe.
Gruß pjm
Es gibt gibt von Microsoft eine Ausführliche Dokumentation in der Alle Gruppenrichtlinieneinstellungen der Registry änderung gegenübergestellt werden. Mach dir halt mal die Mühe und such danach, ich weis momentan leider nicht mehr aus dem Kopf wo genau ich das gelesen habe.
Gruß pjm
Moin Moin
Seid Ihr Dom. Admins oder nur Lokale Admins auf den jeweiligen Maschinen?
Falls Ihr nur lokale Adminrechte habt installiert die Software bevor die Maschine in die Domäne gehoben wird (soweit das möglich ist).
Gruß L.
Der Systemadminisrtator hat Richtlinien erlassen, um diese Softwareisntalltion zu verhindern geht langsam auf die Nerven und muss auf jedem Server manuell geändert werden, was Zeit und nerven kostet.
Wenn es Gruppenrichtlinien (GPO) gibt die diese Einstellungen umsetzten, wäre es dann nicht sinnvoller / einfacher / entspannter diese anzupassen?Seid Ihr Dom. Admins oder nur Lokale Admins auf den jeweiligen Maschinen?
Falls Ihr nur lokale Adminrechte habt installiert die Software bevor die Maschine in die Domäne gehoben wird (soweit das möglich ist).
Gruß L.
Wir sind Dom-Admins in unserer eigenen Domäne, also einem untergeordneten Tree in nem Forest... In der übergeordneten Domäne haben wir aber auch Dom-Admin-Rechte, aber nur eingeschränkt, d.h. wir können keine globalen Gruppenrichtlinien für unsere Firma erstellen, allerdings User anlegen, Sicherheitsgruppen verwalten, nur keine Gruppenrichtlinien.... Über gpedit.msc müsste das an jedem Server angepasst werden und das dauert bei den vielen Servern...
Den Registry-Key habe ich bereits herausgefunden, der gesetzt wird um die Softwareeinschränkung für Administratoren zu aktiveren/deaktiveren.
Hierbei handelt es sich um den Schlüssel PolicyScope mit dem dword Wert 00000000 für alle Benutzer und Administratoren oder 00000001 für alle, außer Administratoren.
Das Problem ist, dass dieser Schlüssel dynamisch ist, das bedeutet, dass nach jeder Anmeldung am System ein anderer Schlüssel verwendet wird.
Also unter HKEY_Users\{SID}\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{9DBDD367-7914-4539-A7AF-78AC4AAF8137}Machine\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
{9DBDD367-7914-4539-A7AF-78AC4AAF8137}Machine ist dynamisch, ändert sich nach jeder Anmeldung
Unter CodeIdentifiers liegt der Schlüssel PolicyScope.
Dieser muss von 0 auf 1 gesetzt werden und der Admin darf isntallieren
@Logan000
Woher sollen wir wissen, was demnächst auf den Servern aufgespielt werden soll, bzw. wie lange diese auf dem aktuellen Softwarestand sein werden?!
LG Tobi
Den Registry-Key habe ich bereits herausgefunden, der gesetzt wird um die Softwareeinschränkung für Administratoren zu aktiveren/deaktiveren.
Hierbei handelt es sich um den Schlüssel PolicyScope mit dem dword Wert 00000000 für alle Benutzer und Administratoren oder 00000001 für alle, außer Administratoren.
Das Problem ist, dass dieser Schlüssel dynamisch ist, das bedeutet, dass nach jeder Anmeldung am System ein anderer Schlüssel verwendet wird.
Also unter HKEY_Users\{SID}\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{9DBDD367-7914-4539-A7AF-78AC4AAF8137}Machine\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
{9DBDD367-7914-4539-A7AF-78AC4AAF8137}Machine ist dynamisch, ändert sich nach jeder Anmeldung
Unter CodeIdentifiers liegt der Schlüssel PolicyScope.
Dieser muss von 0 auf 1 gesetzt werden und der Admin darf isntallieren
@Logan000
Woher sollen wir wissen, was demnächst auf den Servern aufgespielt werden soll, bzw. wie lange diese auf dem aktuellen Softwarestand sein werden?!
LG Tobi
Moin Moin
Also Da Ihr keine Richtlinien in eurer Dom. erstellen / anpassen dürft. Diese GPO allerdings eure Arbeit nachhaltig behindert, bleibt euch aus meiner Sicht keine andere Möglichkeit als von dem Verwalter dieser GPO eine Anpassung zu verlangen.
Gruß L.
@Logan000
Woher sollen wir wissen, was demnächst auf den Servern aufgespielt werden soll, bzw. wie lange diese auf dem aktuellen Softwarestand sein werden?!
Naja garnicht. Es klang halt nur so durch als wäre das ein einmaliges Problem bei einer Ersteinrichtung / Migration.Woher sollen wir wissen, was demnächst auf den Servern aufgespielt werden soll, bzw. wie lange diese auf dem aktuellen Softwarestand sein werden?!
Also Da Ihr keine Richtlinien in eurer Dom. erstellen / anpassen dürft. Diese GPO allerdings eure Arbeit nachhaltig behindert, bleibt euch aus meiner Sicht keine andere Möglichkeit als von dem Verwalter dieser GPO eine Anpassung zu verlangen.
Gruß L.
